Données de connexion : de la Raudière et Tardy contre-attaquent

Le projet de loi de programmation militaire subit ses premiers amendements à l’Assemblée nationale. Ce texte, trop souvent passé inaperçu dans les médias, va considérablement muscler les pouvoirs de l’administration sur les données détenues par les FAI et les opérateurs de télécommunication. Les députés Laure de la Raudière et Lionel Tardy ont du coup démultiplié ces rustines pour encadrer ce dispositif mis en oeuvre sans contrôle préalable du juge.

Avec ce texte (notre analyse), les services de renseignement du ministère de la Défense et ceux du ministère du Budget pourront notamment accéder aux sept fichiers administratifs (immatriculation, carte nationale d’identité, passeports, etc.) dès lors que sont mises en avant des « atteintes aux intérêts fondamentaux de la Nation ». Mais c’est surtout vis-à-vis des données détenues par les opérateurs et FAI que l’attention se focalise.

L’article 13 du projet de loi autorise en effet des agents habilités de la sécurité intérieure, de la Défense, de l’Économie et du Budget à solliciter des opérateurs la communication en temps réel la transmission « des informations ou documents traités ou conservés par leurs réseaux ou services de communication électronique ».

Ces flux viseront notamment les données techniques relatives à l’identification des numéros d’abonnement ou de connexion à des services de communication électronique, mais aussi l’ensemble des numéros d’abonnement ou de connexion d’une personne désignée, les données relatives à la localisation des équipements terminaux utilisés, les données techniques relatives aux communications d’un abonné portant sur la liste des numéros appelés et appelant, la durée et la date des communications.

Ce mécanisme sera conditionné à la recherche de renseignements intéressant la sécurité nationale, à la sauvegarde d'éléments essentiels du potentiel scientifique et économique de la France, mais encore à la prévention du terrorisme, de la criminalité et de la délinquance organisée, ce qui ouvre grandement les vannes comme l’a regretté l’ASIC, l’association des acteurs du web communautaire (Google, Microsoft, etc.).

Refuser ce droit de communication musclé à Bercy

Les députés Laure de la Raudière et Lionel Tardy voudraient du coup raboter quelque peu ces pouvoirs. Ainsi, ils souhaitent que cet accès soit refusé au ministère du Budget et de l’Économie, et donc réservé à la sécurité intérieure et à la défense.

Les deux parlementaires notent que c’est un décret qui exposera les éventuels surcoûts et donc le droit à remboursement des FAI et opérateurs sollicités. Par mesure de sécurité, les deux députés demandent encore à ce que ce décret soit pris au plus tard six mois après l’entrée en vigueur de la loi. En effet, soulignent-ils, « il ne faudrait pas que la compensation des fournisseurs d’accès prévue à cet article ne soit jamais mise en place », à l’instar de ce qui se passe avec le dispositif Hadopi.

Le député de Haute Savoie voudrait également qu’un rapport soit remis chaque année au Parlement afin de fournir des statistiques sur le nombre de données sollicitées.

Accès en temps réel aux données et documents

Ce n’est pas tout. Si on observe bien l’article 13, celui-ci autorise le transfert des « données » mais aussi des « documents » en possession des intermédiaires. Ce terme est jugé bien trop vague. Les deux députés UMP veulent par conséquent limiter ce flux aux seules données de connexions. « Il concerne donc des données techniques, numéros de connexion, données temporelles, données de localisation, etc. Elles constituent donc des informations que les services en ligne auront à transmettre. Le recueil de « documents » dépasse le simple cadre des données de connexion et ne saurait être rendu possible. »

Autre largesse autorisée par le projet de loi, la liste des informations que devront fournir les FAI et les opérateurs télécom sur « sollicitation » et « en temps réel » n’est pas limitative. Dans un autre amendement, ces mêmes parlementaires veulent fermer cette liste pour la rendre exhaustive.

Une interconnexion directe et en temps réel

De la Raudière et Tardy réclament aussi la suppression de « sur sollicitation du réseau ». Ils jugent l’expression « floue, inopérante, et ne recouvre aucune réalité précise ». Mais dans le même temps, dans l'exposé des motifs, ils réclament, sans détour, une interconnexion directe et en temps réel avec les réseaux des opérateurs. 

L’expression est pour le moins ambitieuse, mais devrait pour l’occasion pousser le gouvernement à exposer clairement ce qu’il entend par « sur sollicitation du réseau. »

Vulnérabilités

Notons encore qu’un autre article de ce texte – très riche - permet aux agents habilités et assermentés de l’agence nationale de sécurité des systèmes d’information (ANSSI) d’« obtenir des opérateurs de communications électroniques l’identité, l’adresse postale et l’adresse électronique d’utilisateurs ou de détenteurs de systèmes d’information afin de les alerter sur la vulnérabilité ou la compromission de leur système ».

Cette demande de données de connexion sera cadrée « pour les besoins de la prévention des atteintes aux systèmes de traitement automatisé » et nécessitera la mise en cause de la sécurité des systèmes d'information de l'État et des opérateurs d’infrastructure vitale (OVI).

Toujours pour éviter un transfert trop généreux, Tardy voudrait que ce recueil soit clairement fléché et limité à l’information des utilisateurs identifiés sur « la vulnérabilité ou la compromission de leur système. ». Selon le député, en effet « il est nécessaire de préciser les finalités du recueil de données prévu à cet article. Ce recueil vise bien à informer les détenteurs que leur système est vulnérable, menacé ou attaqué ».