Loi Renseignement : l’avis de l’ARCEP sur le recueil des données de connexion

Loi Renseignement : l’avis de l’ARCEP sur le recueil des données de connexion

Avec un bisou à la Hadopi

Avatar de l'auteur
Marc Rees

Publié dans

Droit

09/02/2016 4 minutes
2

Loi Renseignement : l’avis de l’ARCEP sur le recueil des données de connexion

Début février, le gouvernement publiait au Journal officiel un des derniers décrets d’application de la loi Renseignement. Touchant au cœur du système de la surveillance, il a été accompagné d’une analyse de l’ARCEP.

Ce décret orchestre les liens entre les services du renseignement et les opérateurs. À cette fin, il décrit tout d'abord – par une liste presque interminable – ce que sont les données de connexion pouvant être aspirées par les nouveaux outils programmés par la loi. Seconde phase, il décrit la phase administrative de ces transferts qui peuvent être en temps différé, sur sollicitation du réseau, via l’opérateur, mais aussi, et c’est la grande nouveauté, en temps réel.

Le recueil en temps réel, direct, est possible à l’égard de toute personne présentant une menace terroriste, ou bien afin de déceler une telle menace en fouillant et analysant le big data des données de connexion. On trouvera dans cette nasse toutes les données permettant de localiser les équipements terminaux, celles relatives à l'accès des équipements terminaux aux réseaux ou aux services de communication au public en ligne, celles concernant l'acheminement des communications électroniques par les réseaux, l'identification et l'authentification d'un utilisateur, d'une connexion, d'un réseau ou d'un service de communication au public en ligne. Enfin, celles touchant aux caractéristiques des équipements terminaux et aux données de configuration de leurs logiciels.

Un rappel de base : le secret des correspondances

Invitée à donner son avis, l’Autorité de régulation des communications électroniques (ARCEP) a rappelé que les opérateurs sont aussi « tenus de veiller au respect du secret des correspondances ». Jamais, du coup, ces différents outils, lorsqu'ils sont  taillés pour les données de contenant, ne devraient permettre d’alpaguer les échanges et les informations consultés.

Voilà pour la théorie. En pratique, l’ARCEP estime qu’au regard de la rédaction du projet de décret qui lui avait été soumis, « il pourrait être délicat pour les opérateurs de communications électroniques, de déterminer de manière certaine » les informations et documents qui relèvent des métadonnées, et celles, en principe inaccessibles, qui touchent au contenu et aux informations consultées (URL, etc.). L'institution avait invité à cette fin le gouvernement à « définir précisément la nature des informations ou documents en cause », ce que l’exécutif a visiblement tenté de faire dans le texte publié au Journal officiel (nous prenons des pincettes, n'ayant pu comparer avec le projet de décret).

La question des coûts

Surtout, dans son rôle de compétence, l'autorité administrative rappelle que cet attirail sécuritaire va occasionner des coûts pour les opérateurs, pour lesquels le gouvernement devra veiller à une indemnisation « rapide et homogène ». Les opérateurs, ajoute-t-elle, « rencontrent parfois, avec certaines autorités administratives, des difficultés dans le paiement des sommes correspondantes ». Elle ne cite pas le cas Hadopi, mais difficile de ne pas penser au litige initié par SFR et Free : les deux FAI peinent à obtenir indemnisation des frais occasionnés par la riposte graduée, en raison du refus gouvernemental de publier le texte d’application huilant ces relations.

Enfin, l’ARCEP, gardien des télécoms, demande aux opérateurs de lui signaler toute « perturbation effective » liée à la mise en œuvre des outils de surveillance. Ce scénario est jugé peu probable « a priori », mais un message de prévention n’est jamais de trop...

L'avis de l'institution présidée par Sébastien Soriano est le seul publié. Celui de la CNIL et de la CNCTR, visés dans le décret, restent à ce jour non publics. Nous allons donc en demander communication au besoin via la CADA.

2

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Un rappel de base : le secret des correspondances

La question des coûts

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (2)




L’avis de l’institution présidée par Sébastien Soriano est le seul publié. Celui de la CNIL et de la CNCTR, visés dans le décret, restent à ce jour non publics. Nous allons donc en demander communication au besoin via la CADA.



Pourtant ils devraient avoir compris maintenant que tu vas saisir la CADA à chaque fois qu’ils oublient de publier. <img data-src=" />


Nan mais faut répéter encore et encore pour que ça devienne pavlovien dans leur cervelle <img data-src=" />



Pour les “informations et documents”, ça m’a l’air d’être pile les critiques (une partie d’entre elles en tout cas) formulées par les exégètes amateurs