Après bien des efforts, la CNIL a bien voulu nous communiquer son avis sur le projet de décret relatif aux données de connexion qu’elle ne souhaitait pas diffuser d’elle-même, contrairement à l’ARCEP. Next INpact diffuse du coup ce document.
Le décret dont il est ici question est celui publié au Journal officiel le 31 janvier dernier. « Relatif aux techniques de recueil de renseignements », il touche au cœur du pouvoir de surveillance des services spécialisés revu et corrigé à la hausse par la loi Renseignement. Il définit notamment les phases administratives du recueil des données de connexion, tout en expliquant préalablement ce que sont ces fameuses métadonnées (voir notre actualité), à savoir tout sauf le contenu des échanges et les informations consultées.
L'avis publié de l'ARCEP, l'avis secret de la CNIL
Consultée sur le projet de décret, l’ARCEP a pris l’initiative de diffuser son avis sur le projet initial de ce texte. Même si sa plume est prudente et courtoise, le gendarme des télécoms l’égraine de quelques considérations épicées. Ainsi, pressés par les services du renseignement, les opérateurs auront parfois quelques difficultés à distinguer les données de contenant et celles de contenus. Autre chose, l’armada sécuritaire de la loi risque d’occasionner des coûts douloureux pour les Bouygues, Free, Numericable et autres Orange. En creux, l’ARCEP suggère à l’Intérieur de ne surtout pas suivre l’exemple du ministère de la Culture face à Hadopi. La Rue de Valois a en effet bataillé ferme pour éviter que les FAI perçoivent leur obole, en contrepartie de leur collaboration obligée dans la riposte graduée.
Bref. Un autre avis est visé dans cet important décret, c’est celui de la CNIL… qu’Isabelle Falque-Pierrotin n’a pas jugé utile de diffuser. Sollicités, ses services nous ont d’abord opposé un refus explicite au motif que « la CNIL s’est prononcée sur ce décret sur le fondement de l’article 11-4°-a) de la Loi Informatique et Libertés. Conformément aux dispositions de cet article, cet avis n’a pas vocation à être publié ». Circulez !
Seulement, l’article en cause indique que « [la CNIL] est consultée sur tout projet de loi ou de décret relatif à la protection des personnes à l'égard des traitements automatisés. À la demande du président de l'une des commissions permanentes prévue à l'article 43 de la Constitution, l'avis de la commission sur tout projet de loi est rendu public. »
Selon nous, rien n’interdit pareille publicité, du moins sur cette base. Certes, cette diffusion est parfois liée à la demande du président d’une des commissions permanentes, mais ce filtre ne concerne que les projets de loi, pas les projets de décret.
L'URL, une donnée révélant des informations consultées
Après insistance, nous avons donc pu obtenir non la publication, mais la communication de ce document. Avec une précision de rigueur : l'avis de la CNIL vise le projet de texte, lequel a pu connaître des modifications lors de sa publication au Journal officiel.
Mais que dit son avis ? La CNIL se plaint d’abord de la difficile « lisibilité » des nouveaux textes encadrant les pouvoirs des services du renseignement. Elle relève aussi que le projet de décret a élargi le périmètre des données de connexion pouvant être recueillies, notamment celles sur la géolocalisation des équipements, ou sur l’acheminement des communications électroniques.
Fait notable : la CNIL prend soin de considérer que l’URL est « porteuse par nature des informations consultées ». Inspirée par le Conseil constitutionnel dans sa QPC Quadrature du Net, FDN, FFDN, elle considère que l’adresse ne devrait donc pas être alpaguée par les services, sauf à faire l’objet préalablement d’une anonymisation. Contrairement à ce qu’affirmait le ministre de la Défense, les boites noires ne devraient donc pas permettre de renifler l’identité des personnes venant voir une décapitation sur site tel YouTube. Elle insiste en ce sens : « si elle est nécessaire à l’acheminement d’une communication, l’URL permet également de révéler des informations consultées ».
Autre chose, la CNIL estime que ces différents droits de regard des services ne doivent pas se muer en une obligation de conservation par les acteurs du Net et les opérateurs… Nous reviendrons plus en détail sur les remarques faites dans cet avis dans une prochaine actualité.
