Des milliers de contributions avaient nourri la consultation publique organisée en préparation du projet de loi pour une République Numérique. Le gouvernement a répondu à certaines d’entre elles. À cette occasion, il s’est opposé au chiffrement intégral comme au renforcement du secret des correspondances privées.
Six semaines après la clôture de cette consultation, Bercy a donc isolé 170 modifications législatives et 85 nouveaux articles parmi les contributions ayant fait l’objet de plus grand nombre de votes.
L’une d'elles avait ainsi proposé que la loi sur la confiance dans l’économie numérique soit modifiée afin d’imposer « le chiffrement par défaut des courriers électroniques » par les FAI et autres intermédiaires techniques. Ils seraient spécialement « tenus d'assurer la confidentialité des échanges en mettant en œuvre un chiffrement de bout en bout », sous peine d’une amende de 300 000 euros.
Dans sa réponse, le gouvernement partage « l’objectif de développement de l’usage des techniques du chiffrement », cependant de son chapeau, il préfère amplement sortir la charte signée en octobre sous l’égide de l’ANSSI, avec cinq FAI (Bouygues Telecom, Free, La Poste, Numericable-SFR et Orange). Elle vise en effet à « activer les fonctions de chiffrement sur leurs serveurs de messagerie de manière à protéger les courriels véhiculés entre ces serveurs ». Elle n’intéresse donc que le seul chiffrement des flux, assurant toutefois des passages en clair chez ces intermédiaires afin de faciliter les interceptions de sécurité. Bref, nul besoin d'aller plus loin car « il convient d’attendre les premiers retours d’expérience sur cette initiative avant d’envisager un renforcement de ces mesures par voie législative, qui apparait prématuré. »
Dans cette autre réponse à une contribution qui voudrait créer un droit absolu de refuser la transmission de ses clefs de chiffrement aux autorités en cas de réquisition, le gouvernement craint un dispositif disproportionné « car il permettrait notamment d’entraver les enquêtes judiciaires. L’accès aux clés de chiffrement par les autorités est néanmoins légalement encadré. »
Les données de connexion exclues du secret des correspondances
Sur la question du secret des correspondances, le blogueur Authueil avait suggéré que les données de connexion soient désormais intégrées dans ce spectre afin de garantir et renforcer le droit à la vie privée. Alexandre Archambault, ancien responsable des affaires réglementaires de Free, avait proposé une mesure similaire.
Le gouvernement a balayé le tout d’un revers de main, estimant que la conception du secret des correspondances « est rigoureusement attachée au secret des contenus échangés, et non aux informations périphériques afférentes aux supports techniques de communication ».
Décider l’extension du secret des correspondances aux métadonnées ou aux données de connexion serait selon lui une façon « d’anéantir de façon extrêmement dommageable la distinction juridique fondamentale entre « données de contenu » et « données techniques », distinction qui est un repère essentiel dans le régime de protection des libertés ». Cette réponse ajoute que « les données de connexion ne sont d’ailleurs pas toutes sans protection : certaines d’entre elles (telles que « l’adresse IP » dans certains cas, la donnée de géolocalisation) relèvent du régime de la protection des données personnelles, et à ce titre, bénéficient de garanties spéciales que ce projet de loi a précisément vocation à renforcer. »
On notera cependant que la CJUE avait exposé dans son arrêt fondamental Digital Rights que les données de connexion étaient désormais pour le moins sensibles, non reléguées à de simples identifiants techniques. Pourquoi ? Car « prises dans leur ensemble, [elles] sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes (…) telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci ». Pour l'exécutif, l’assimilation législative entre « données de connexion » et « données de contenu » aurait eu des conséquences très vastes notamment dans le cadre de la loi sur le renseignement, laquelle a prévu des procédures plus allégées pour les premières, considérées comme moins intrusives.
Le statut de l'adresse IP
Dans une autre contribution à souligner, il a été proposé de ne plus analyser l’adresse IP publique « comme un élément d'identification suffisant à garantir l'identité de la personne physique utilisatrice de l'appareil ». Olivier Seror-Droin, son auteur, pense en effet qu’il n’est plus possible aujourd’hui d’identifier une personne physique par ce seul biais, notamment « de par la possibilité de la dissimuler avec plus ou moins de facilité » et parce qu’elle « simplifie trop la pensée du "une IP, un propriétaire responsable", dans le cadre de familles ou de connexion partagée. »
En retour, le gouvernement rétorque que ce sont surtout les circonstances qui permettent de savoir si l’adresse IP revêt ou non un caractère personnel. Il prévient au surplus que le considérant 24 du projet de règlement relatif à la protection des données à caractère personnel rejoint cette position, lorsqu’il pose que « les numéros d'identification, les données de localisation, les identifiants en ligne ou d'autres éléments spécifiques ne devraient pas être considérés, en soi, comme des données à caractère personnel s'ils n'identifient pas ou ne rendent pas identifiable une personne physique. »
