Les opérateurs français utilisent-ils le DPI ? demande une députée

Les opérateurs français ont-ils reçu consigne du gouvernement d’utiliser d’une manière ou d’une autre le Deep Packet Inspection ? C’est en substance la question que vient d’adresser Isabelle Attard à la garde des Sceaux.

La députée écologiste vient de questionner la ministre de la justice sur l’usage du deep packet inspection (DPI) par les opérateurs de télécommunication. Cette technologie d’analyse fine des flux vise à scruter les paquets transmis dans les réseaux. Elle est évidemment la technique la plus attentatoire à la vie privée et aux libertés fondamentales garanties par la Constitution.

La députée écologiste souhaite savoir donc spécialement si ces entreprises « ont reçu pour consigne, du gouvernement actuel ou d'un précédent, d'étudier, d'expérimenter ou de mettre en place des moyens d'analyser le contenu détaillé d'un paquet réseau de façon à en tirer des statistiques, à filtrer ceux-ci ou à détecter des intrusions, du spam ou tout autre contenu prédéfini. » Anticipant une possible réponse négative, elle prie par ailleurs le gouvernement de lui dire s’il a eu « connaissance de tels projets de la part d'un ou plusieurs opérateurs de télécommunication français et, si oui, lesquels. »

La députée Isabelle Attard veut aussi d’autres détails. Ainsi dans le cadre du projet annoncé d'un habeas corpus numérique, elle souhaite connaître les intentions du gouvernement « sur les règles qui permettraient de garantir la protection des données personnelles et de la vie privée sur Internet. »

Des tests menés en Allemagne par les ayants droit français

Les ayants droit ont depuis longtemps dans leur carton un projet une solution de filtrage par deep packet inspection. Cela nous avait été dévoilé par Marc Guez, président de la SCPP, qui réunit les majors de la musique. « C’est un robot qui vérifie : est-ce qu’il y a un fichier protégé dedans ou pas, si oui, le fichier protégé ne suit pas » expliquait-il en septembre 2010. Testé en Allemagne, ce filtrage, programmé à l’époque dans l’écosystème Hadopi, avait été évoqué à Bruxelles. « On l’a évoqué devant la Commission européenne de manière non positive avec les FAI » admettait-il.

Plus récemment, devant la mission Lescure, la SCPP a revu à la baisse ses ambitions suite à une jurisprudence de la Cour de Justice de l’Union Européenne (affaire Sabam). « On dit à la Mission Lescure qu’en dehors de la réponse graduée, si jamais elle devait être abandonnée, le filtrage fait aussi partie des mesures qui fonctionnent » nous a relaté toujours Marc Guez. « On sait que le filtrage par DPI a été rejeté par la CJUE qui l’estime trop intrusif, mais le filtrage par DNS, lui, ne l’est pas. »

Le deep packet inspection au-delà de nos frontières

En attendant la réponse gouvernementale, Isabelle Attard considère sans mal que « ces technologies [de DPI] pouvant servir à censurer ou à mettre sous surveillance des citoyens, hors de toute procédure judiciaire, il serait particulièrement dangereux pour notre démocratie que des opérateurs privés les utilisent sur les réseaux français. »

La sensibilité du DPI varie toutefois selon le côté de la frontière. Questionné en mars 2013, Laurent Fabius, ministre des Affaires étrangères, a considéré – comme ses prédécesseurs - que l’exportation des outils de DPI ne pose aucune difficulté particulière puisqu’il s’agit de solutions développées sur la base de produits « grand public ». Aucune autorisation n’est nécessaire pour leur vente, même dans des pays à la démocratie chancelante : « Ces matériels de communication, qui sont développés sur la base de produits du marché grand public et qui n'ont pas d'usage militaire, n'ont a priori pas vocation à faire partie de l'une des catégories d'équipements soumis à autorisation d'exportation. »

Une belle cacophonie puisque quelques jours avant, le premier ministre exprimait son souhait d’ « inclure les technologies de surveillance et de contrôle de l’internet dans la liste des biens à double usage dont l’exportation est soumise à autorisation »...