Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Données de connexion : les avis de la CNCTR classés secret-défense

La boîte un peu plus noire
Droit 6 min
Données de connexion : les avis de la CNCTR classés secret-défense
Crédits : Thinglass/iStock/Thinkstock

Quelles sont exactement les nouvelles données de connexion que peuvent surveiller les services du renseignement ? Saisie d’une demande de communication de documents administratifs, la Commission nationale de contrôle des techniques du renseignement (CNCTR) s’abrite derrière le secret défense pour refuser de révéler ses avis.

Lorsqu’on s’intéresse à l’activité de surveillance des agents des services du renseignement, la question du périmètre des données de connexion est de premier ordre. Ces données de contenant, pourrait-on résumer, s’opposent aux données de contenu.

Selon l’une ou l’autre des deux catégories, les techniques de renseignement ne sont pas les mêmes. Un exemple : les boîtes noires, tout juste lancées, ne peuvent aspirer que les données de connexion, alors que les interceptions frappent au contraire le cœur de l’échange, le contenu.

Une atteinte différente à la vie privée

On pourrait estimer que l’atteinte à la vie privée consécutive à l’espionnage d’une donnée de connexion est moindre que face à une donnée de contenu. Dans le premier cas, on s’attaque à la surface ou au sillage des données (expéditeur, destinataire, lieux, adresse IP, heures, etc.), dans le second, à l’intérieur des échanges (le contenu).

Mais ce n’est vraiment pas l’analyse de la Cour de justice de l’Union européenne :

« Ces données (de connexion, ndlr), prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes (…) telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci ».

Voilà ce qu’elle a dit dans son arrêt Digital Rights du 8 avril 2014. En somme, contenant ou connexion, il y a toujours une atteinte à la vie privée, celle-ci est simplement différente.

Le 14 avril 2015, durant les débats sur la loi Renseignement, la députée Isabelle Attard ne disait pas autre chose. Armée de deux exemples, elle expliquait elle aussi comment « les données de connexion fournissent finalement autant d’informations que le contenu des messages » :

« Vous vous êtes par exemple connectés à un site de rencontres échangiste ou fétichiste deux fois par jour pendant un mois, mais – nous dit-on – on ne sait pas du tout ce que vous avez écrit ou lu… Autre exemple, vous avez appelé Sida Info Service pendant douze minutes, puis un laboratoire d’analyses médicales pendant deux minutes. Une semaine plus tard, le laboratoire vous a rappelé. On ne sait pas ce que vous vous êtes dit, mais il vous a rappelé, et vous avez ensuite appelé votre médecin pendant quinze minutes, mais, encore une fois, on ne sait pas vraiment de quoi vous avez parlé. »

De ces éléments, il est donc assez simple de tirer bon nombre d’indices sur la vie privée d’une personne.

Juridiquement, que sont exactement ces données de connexion ?

En décembre 2015, un décret a fixé la liste intégrale des services du renseignement. Un mois plus tard, un autre décret fondamental signé du Premier ministre Manuel Valls a cette fois énuméré les données de connexion susceptibles d'être aspirées par chaque technique de renseignement.

À l’aide de plusieurs articles du Code des postes essentiellement, nous avions alors dressé ce long inventaire des métadonnées. Un inventaire imparfait, déjà parce que non exhaustif, mais surtout en raison d'un nœud existant sur l’adresse URL. Est-ce une donnée de connexion ou de contenu ?

Pour la CNIL, prudence. L’URL a parfois une nature mixte : « Si elle est nécessaire à l’acheminement d’une communication, l’URL permet également de révéler des informations consultées ». Lorsqu’elle véhicule ces éléments, l’adresse se range donc dans les données de contenus. Dans la lignée de cette décision du Conseil constitutionnel (considérant n°55), elles ne peuvent donc être exploitées, fouillées, analysées, que par le biais d’une interception administrative.

Dans son avis accompagnant ce deuxième texte, la CNCTR a partagé l'analyse, considérant ces URL « comme des données mixtes, qui peuvent comporter à la fois des données de connexion et des mots faisant référence au contenu de correspondances échangées ou d’informations consultées ».

Pour la Commission présidée par Francis Delon, le recueil au titre des données de connexion serait donc possible, mais seulement s’il a « pour objet que de reconstituer, grâce aux seules parties d’URL pertinentes, le chemin informatique utilisé pour échanger des correspondances ou consulter des informations ».

L’ingénieur Stéphane Bortzmeyer avait critiqué vertement cette ventilation : « Même un nom de domaine est une information très précise sur ce que l’on consulte : http://www.lutte-ouvriere.org/ donne des informations tout aussi précises sur l’engagement de l’internaute. Un nom de domaine relatif aux alcooliques anonymes peut aussi être révélateur de ce sur ce que l’on est ».

Une demande CADA visant les avis de la CNCTR sur les données de connexion

Un peu plongée dans le flou, la même commission avait dans sa foulée estimé que « les développements (...) sur la nature des données de connexion constituent une analyse globale, empirique, non exhaustive et non définitive » . Elle suggérait au Premier ministre que « les nouveaux types de données qui pourraient être regardées comme faisant partie des données de connexion fassent l’objet d’un avis de sa part avant toute autorisation de recueil, afin qu’elle puisse s’assurer qu’aucun contenu de communications ne sera collecté ».

Cette prudence laisse entendre que des flottements existent sur la catégorisation de certaines données. La suggestion a en tout cas inspiré le FAI French Data Network qui, le 12 octobre dernier, a demandé communication des avis de la Commission nationale sur ces « nouveaux types de données qui pourraient être regardées comme faisant partie des données de connexion ».

On comprend la démarche : lorsque les services du renseignement contactent un intermédiaire pour glaner par diverses techniques des données de contenant, il est important que le FAI, l’opérateur, l’hébergeur ou le service en ligne sache si les agents sont bien dans les clous de la loi ou du règlement.

Un refus pour cause de secret-défense

Surprise : la CNCTR a finalement refusé d’apporter cet éclairage élémentaire. Le 8 novembre, Francis Delon a répondu en effet à FDN que, « comme la majeure partie des travaux de la commission (…), les avis correspondant à votre demande sont couverts par le secret de la défense nationale ». Or, le Code des relations entre le public et l’administration rend vaines les demandes CADA dans une telle hypothèse.

Selon le président de cette autorité indépendante, la communication de ces avis n’est pas possible, car de nature « à révéler des méthodes d’investigations et des capacités techniques de certains services de renseignement ».

Et pour fermer plus sèchement encore les vannes, Delon ajoute que « les avis demandés sont intégralement composés d’informations couvertes par le secret : il n’est pas possible d’envisager leur communication après occultation ou disjonction des mentions protégées ».

Hier, à Grenoble, le même personnage a révélé qu’une boite noire était mise en œuvre en France depuis début octobre. Aujourd’hui, on apprend donc que les avis sur le périmètre même des futures données de connexion traitées par ces outils sont eux-mêmes classés secret défense.

avis CNCTR données de connexionavis CNCTR données de connexion

21 commentaires
Avatar de ragoutoutou Abonné
Avatar de ragoutoutouragoutoutou- 15/11/17 à 15:42:15

Pour reprendre l'adage populaire: "celui qui n'a rien à se reprocher n'a rien à cacher" :)

Ah, on me dis que ce n'est valable que pour les citoyen.ne.s, tou.te.s potentiel.le.s ennemi.e.s de la nation, pas pour les autorités bienveillantes et éclairées de la "nation des droits de l'homme".

Bien bas nos démocraties tombent.

Avatar de ArchangeBlandin Abonné
Avatar de ArchangeBlandinArchangeBlandin- 15/11/17 à 15:45:43

On s'en serait doutés, les actions par la CADA concernant les renseignements ou la défense, ça va être difficile.

J'ai eu la vague impression que plein de choses ont été classées confidentiel défense pour pas grand chose quand il y a quelques années.
Des projets qui n'avaient pas de classification qui se retrouvent confidentiel et où ça génère de la paperasse afin que les équipes puissent juste continuer à travailler.
Est-ce que le ministère de la défense a réagi de cette manière à la création de la CADA ?

Au final, ils ont fait fort, directement les classer "secret défense" si c'est bien le statut précis qu'ils ont, ils ne veulent vraiment pas les communiquer. Si leur classification avait été plus élevée, la réponse aurait plutôt été qu'ils ne savaient pas de quoi on parle...
Selon ce qu'ils font à l'avenir, les réponses de la CADA pourraient devenir comiques concernant les sujets de renseignement et de défense.

Avatar de anonyme_8ce6f4774d9018fb0696aa6b7572a96b INpactien

ragoutoutou a écrit :

Pour reprendre l'adage populaire: "celui qui n'a rien à se reprocher n'a rien à cacher" :)

 
C'est parce que je n'ai rien à me reprocher qu'il est contre-productif de me surveiller.

Avatar de graphseb INpactien
Avatar de graphsebgraphseb- 15/11/17 à 15:49:16

« Selon que vous serez puissant ou misérable, Les jugements de cour vous rendront blanc ou noir. »

Donc nous qui n'aurions de choix que de tout exposer ou devenir immanquablement suspects, nous devrions souffrir que nous soient cachés — pour notre bien (?!) — tout un tas de choses qui n'ont pas à l'être par essence, comme en l'espèce (la liste des) des méta-données d'usage de biens et services du commerce, placés dans ce contexte sous le sceau du secret-défense ?

Merci M. de La Fontaine, tes enseignements passent les siècles sans perdre une once de leur richesse.

Avatar de fred42 INpactien
Avatar de fred42fred42- 15/11/17 à 16:00:08

:bravo:

Avatar de fred42 INpactien
Avatar de fred42fred42- 15/11/17 à 16:12:56

C'est simple, la prochaine fois où un service demandera à FDN des données de connexion "nouvelles", FDN demandera le texte qui définit ces données nouvelles comme données de connexion.

Enfin, je parle de FDN parce que c'est eux qui ont fait la demande. Dans les faits, il y a peu de chance qu'on leur demande des URL qu'ils n'ont pas obligation de stocker en tant que FAI. Et les URL consultées sur leurs sites WEB, pas sûr qu'elle soient très utiles aux services de renseignement.

Avatar de Ricard INpactien
Avatar de RicardRicard- 15/11/17 à 16:33:00

ragoutoutou a écrit :

les citoyen.ne.s, tou.te.s potentiel.le.s ennemi.e.s

:kill:

Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 15/11/17 à 17:46:32

Ricard a écrit :

:kill:

+1

Avatar de moozkit INpactien
Avatar de moozkitmoozkit- 15/11/17 à 17:55:46

manque plus q'un petit malin créé un logiciel résident qui va se connecter à des urls au hasard pour noyer le poisson...

Avatar de flan_ Abonné
Avatar de flan_flan_- 15/11/17 à 18:13:45

Ricard a écrit :

:kill:

+2 (sans compter le sexisme de cette écriture…)

Il n'est plus possible de commenter cette actualité.
Page 1 / 3
  • Introduction
  • Une atteinte différente à la vie privée
  • Juridiquement, que sont exactement ces données de connexion ?
  • Une demande CADA visant les avis de la CNCTR sur les données de connexion
  • Un refus pour cause de secret-défense
S'abonner à partir de 3,75 €