Dans un tweet, le ministère de l’Intérieur est revenu hier soir sur l’incident survenu chez Orange. À savoir le blacklistage par erreur de Google, OVH et Wikipédia. Il exige ainsi des explications, outre l’effacement des IP collectées par erreur.
Cet incident survenu en début de semaine a provoqué un beau pataquès dans le ronronnement discret du blocage administratif des sites géré par l’Office Central de Lutte contre la Criminalité liée aux Technologies de l'Information et de la Communication (OCLCTIC). En lieu et place de leurs pages Google.fr, Wikipédia et OVH.com favorites, les abonnés Orange se sont retrouvés nez à nez avec la page du ministère de l’Intérieur annonçant un blocage pour apologie ou incitation du terrorisme. Ambiance.
L’explication ? Un magnifique cafouillage lié, selon Orange, à une « erreur humaine », très précisément « lors de l’actualisation des sites bloqués, qui s’est mal passée. Les sites se sont retrouvés bloqués alors qu’ils n’avaient évidemment aucune raison de l’être ».
Hier, peu après 20 heures, la Place Beauvau a publié un communiqué relatif à cet incident du « mardi 18 octobre » (en fait, lundi 17) où a été demandé « à l’opérateur Orange une clarification des conditions dans lesquelles ce dysfonctionnement est intervenu ». Le plus intéressant arrive : le ministère de l’Intérieur a demandé au prestataire assurant un « suivi statistique des consultations de ses pages et notamment de cette page de blocage » un « effacement définitif des adresses IP collectées lors des consultations redirigées, pour la plage horaire au cours de laquelle l’incident s’est produit ». Suite à ce coup de gomme, juré, craché : « aucune trace des connexions malencontreusement orientées vers la page d’alerte ne sera donc conservée par ce prestataire ».
De l'obligation ou non de conserver les adresses IP
Une lecture rapide et a contrario laisse entendre qu’il puisse y avoir un « effacement temporaire » des adresses IP des abonnés Internet venus consulter ces pages. Le fait le plus notable est que le site Pages Jaunes avait déjà été sanctionné pour avoir sans autorisation légale, conservé les adresses IP « associées aux contenus, date et heure des requêtes effectuées sur son portail ».
Dans la décision initiale de la CNIL, vainement contestée devant le Conseil d’État , on peut lire que « lors du contrôle comme dans ses observations en réponse, la société [avait] indiqué conserver ces données à la seule fin de répondre aux réquisitions judiciaires, et aucunement à des fins statistiques, contrairement à ce qu'a soutenu le rapporteur ». Problème, selon la haute juridiction administrative, « une telle collecte porte atteinte aux droits fondamentaux des personnes ».
Légalement, le cadre de la conservation des adresses IP est strictement encadré. L’article L. 34-1 du CPCE « impose aux opérateurs de communications électroniques de conserver les données relatives au trafic durant un an pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales » (ou dans le cadre de la loi Hadopi).
La loi du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN) impose quant à elle « aux fournisseurs d'hébergement et aux fournisseurs d'accès à Internet de conserver les données de nature à permettre l'identification des personnes ayant contribué à la création de contenus mis en ligne (blogs, pages personnelles, annonces sur un site de vente aux enchères ...), aux fins de communication éventuelle aux autorités judiciaires ainsi qu'aux services en charge de la lutte contre le terrorisme ».
La relecture de la délibération de la CNIL sur le blocage administratif
Qu’en est-il alors pour le cas du site de redirection géré par cet organe du ministère de l’Intérieur ? Pour le savoir, il faut revenir à la délibération initiale de la CNIL, publié au début 2015, en même temps que le décret actionnant le blocage administratif des sites terroristes et pédopornographiques. « La commission relève que le cadre juridique actuel ne permet ni la collecte ni l'exploitation, par l'OCLCTIC, des données de connexion des internautes qui seraient redirigés vers la page d'information du ministère de l'intérieur » avait insisté celle chargée de contrôler le respect des données personnelles.
Seulement, elle n’avait pas totalement fermé la porte à un possible traitement, Elle rappelait ainsi que « si des traitements de données à caractère personnel spécifiques étaient alimentés par ces données, ils devraient être soumis à l'examen préalable de la commission ».
Nous allons évidemment contacter la CNIL pour avoir plus de détails, spécifiquement sur d'éventuels traitements effectués à partir des adresses des visiteurs de ces sites dont l’accès est interdit. Avant de glaner sa réponse, rappelons que celle-ci autorise de longue date des mesures de fréquentations sans recueil préalable du consentement de l’internaute. Les outils de mesures d’audience doivent ainsi être accompagnées « d’une information claire et complète », associés à un mécanisme d’opposition, sans recoupement avec d’autres traitements. De plus, « l’adresse IP permettant de géolocaliser l’internaute ne doit pas être plus précise que l’échelle de la ville. Concrètement, poursuit la CNIL, les deux derniers octets de l’adresse IP doivent être supprimés ».
Dans une réponse parlementaire, l’Intérieur avait déjà expliqué que « lorsqu’un internaute tente de se connecter à un site dont l’accès est bloqué, il est immédiatement renvoyé sur une page d’information du ministère de l’Intérieur, lui expliquant la nature du blocage et l’informant sur les voies de recours ». Là, son « adresse IP est enregistrée » mais ces informations collectées « ne sont pas exploitées mais permettent une comptabilisation précise du nombre de connexions à chacune des pages bloquées ». En théorie, ces informations ne pourraient donc pas être utilisées pour mesurer les traces d’un possible délit de consultation habituelle à des sites faisant l’apologie de ces crimes.
