Données de connexion : toujours du flou sur le périmètre de la surveillance

Données de connexion : toujours du flou sur le périmètre de la surveillance

Retour sur la QPC de la Quadrature du Net, FDN et FFDN

Avatar de l'auteur
Marc Rees

Publié dans

Droit

28/07/2015 8 minutes
26

Données de connexion : toujours du flou sur le périmètre de la surveillance

Le 24 juillet dernier, la quasi-totalité des médias s'est focalisée sur la décision du Conseil constitutionnel relative à la loi Renseignement. Le même jour, pourtant, le même juge rendait sa décision sur la question prioritaire de constitutionnalité (QPC) de la Quadrature du Net, FDN et FFDN. Une excellente occasion de revenir dessus.

Alors que les débats autour du projet de loi sur le renseignement faisaient rage, la Quadrature du Net, French Data Network et FFDN avaient victorieusement soulevé une QPC à l’encontre d’un autre texte sécuritaire datant de 2013, la loi de programmation militaire (ou LPM). Pour les associations en cause, le régime des réquisitions administratives manque cruellement de précision. Ce flou frappe aussi bien le type de données pouvant être collectées par les services du renseignement que les conditions de leur collecte.

Comme développé dans cette actualité, le ministère de l’Intérieur, de la Défense et ceux de Bercy peuvent aspirer sur « sollicitation du réseau », les « documents » et « informations » dans les infrastructures des « opérateurs de télécommunication électronique ». Il leur suffisait de justifier de la poursuite d’une série de finalités :

  • La sécurité nationale,
  • La sauvegarde des éléments essentiels du potentiel scientifique et économique de la France,
  • La prévention du terrorisme,
  • La prévention de la criminalité et
  • la prévention de la délinquance organisées
  • La prévention de la reconstitution ou du maintien de groupe dissous

Précisément, l’expression d’ « informations et documents », telle que dénoncée dans la QPC, peut laisser craindre la possibilité pour les services administratifs d’accéder à d’autres données que celles de connexion. De plus, les termes de « sollicitation du réseau » semblent permettre l’aspiration directe de ces éléments dans les infrastructures des opérateurs, ce qui n’est permis que depuis la toute récente loi sur le renseignement. Enfin, se pose un problème assez aigu : le législateur n’a prévu aucune garantie spécifique pour protéger le secret professionnel des avocats et des journalistes : lorsque les services aspirent ces informations, ils peuvent en effet prendre connaissance des sources des journalistes, et savoir par exemple qui est le lanceur d’alerte qui alimente tel titre de presse.

Le Conseil constitutionnel a répondu à chacun de ces points, en auscultant d’abord la définition, puis l’accès aux données de connexion, pour terminer avec la question des professions sensibles.

Les « informations et documents » excluent les « informations consultées »

Dans sa décision, le juge va calquer sa réponse en prenant pour point de départ les positions du gouvernement, mais en apportant une précision importante (voir cette actualité).

Selon lui, le Code de la sécurité intérieure définit le spectre des personnes pouvant être tenus de répondre aux réquisitions administratives (article L. 246-1), soit essentiellement les « opérateurs de communications électroniques ». Il n’a donc pas spécialement répondu à l’un des autres griefs des requérants, lesquels estimaient l’expression trop vague.

Une fois ce champ posé, les neuf sages se sont appuyés sur le VI de l'article L. 34-1 du code des postes et des communications électroniques pour dire que les données conservées et traitées par les opérateurs « portent exclusivement » sur l'identification des personnes utilisatrices des services, sur les caractéristiques techniques des communications et sur la localisation des équipements terminaux (log de connexion). Le même article prévient d’ailleurs que ces données ne portent jamais « sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit, dans le cadre de ces communications ». Enfin, côté FAI et hébergeurs, ces données ont une seule vocation, selon cette fois le paragraphe II de l'article 6 de la loi du 21 juin 2004 (dite LCEN) : permettre l'identification de quiconque a contribué à la création du contenu (log de contribution).

Bref, ces deux articles sur la table, le Conseil constitutionnel en déduit de manière ample que « le législateur a suffisamment défini les données de connexion, qui ne peuvent porter sur le contenu de correspondances ou les informations consultées. »

Des boites un peu plus plongées dans le noir ?

Selon Alexandre Archambault, ex-directeur des affaires juridiques de Free, la petite phrase excluant les « informations consultées » soulignée par le Conseil devrait finalement obliger les services à ignorer les requêtes DNS. Analyse partagée par Benjamin Bayart, contacté par nos soins : « le juge constitutionnel rappelle ce que sont les informations et documents et qu’il ne peut y avoir dans le lot des contenus ni des informations consultées ». Conclusion ? « Pour moi, quand le ministre nous explique qu’on va surveiller ceux qui regardent des vidéos de décapitation, il se met le doigt dans l’œil jusqu’au coude ».

Le porte-parole de French Data Network va plus loin encore : le Conseil assimilant métadonnées et « informations et documents », « la seule chose que pourra faire la boite noire sera de nous dire quelle IP a été donnée à tel abonné à telle heure, point barre. »

Pourquoi cette jonction avec la boîte noire ? Simple : ce dispositif algorithmique injecté par la loi sur le Renseignement est censé deviner une potentielle menace terroriste en traitant justement les « informations et documents », tout comme d'autres outils prévus désormais par cette loi. Voilà pourquoi, pour Benjamin Bayart, cette réserve « fait également tomber les sondes. Relever et transmettre à l’administration qui a consulté quoi est interdit. »

Il reste que la notion d'information consultée reste d'appréciation bien mal aisée : le Conseil constitutionnel n'a pas borné le terrain, il s'est contenté de reprendre des expressions déjà très floues dans la loi. Les uns en déduiront donc qu'une URL est bien une information consultée, hors du spectre du renseignement, quand d'autres, au hasard place Beauvau, estimeront que l'URL n'est que de la dernière porte avant d'accéder véritablement à l'information.

L’accès sur « sollicitation du réseau »

Une certitude : dans l'esprit du juge, contrairement aux craintes de la Quadrature du Net, FDN et FFDN, le fait que l’administration puisse alpaguer ces « informations et documents » sur simple « sollicitation du réseau » ne signifie pas un accès open bar.

L'article L. 246-1 du Code de la sécurité intérieure indique en effet que ces données de connexion sont transmises par les opérateurs aux autorités administratives. Et selon l'article L. 246-3, ici en cause, « lorsque les données de connexion sont transmises en temps réel à l'autorité administrative, celles-ci ne peuvent être recueillies qu'après « sollicitation » de son réseau par l'opérateur ». Et le Conseil de conclure : « les autorités administratives ne peuvent accéder directement au réseau des opérateurs dans le cadre de la procédure prévue aux articles L. 246-1 et L. 246-3. »

Pas de garantie constitutionnelle spécifique pour les journalistes et les avocats

Cela a été dit et redit : en plongeant le nez sur les métadonnées d’un journaliste il est très simple de connaître ses sources. De même, en scrutant celles d’un avocat, on peut deviner ses clients, ses futurs moyens de défense (témoins, etc.). Par la même occasion, la Quadrature du Net, FDN et FFDN espéraient donc voir enfin consacrer la protection constitutionnelle de ces professions, notamment au regard de la liberté d’information ou des droits à un procès équitable. Raté.

En effet, le Conseil constitutionnel n’a pas poussé l’analyse jusque-là, sans doute en parfaite conscience que ces outils de surveillance sont en contradiction frontale avec ces secrets : « Aucune disposition constitutionnelle ne consacre spécifiquement un droit au secret des échanges et correspondances des avocats et un droit au secret des sources des journalistes » a-t-il tambouriné, refusant donc d’offrir à ces professions sensibles un rang de protection supérieur.

Partant de là, la suite a été logique : puisque les informations et documents excluent « l'accès au contenu des correspondances », elles ne violent pas « le droit au secret des correspondances et la liberté d'expression ». Cela signifie donc, selon lui, que l’accès aux métadonnées ne viole nullement le contenu des correspondances.

Il ajoute enfin qu’au regard de l’encadrement procédural (des finalités définies par la loi, des agents spécialement habilités, accord préalable d'une personnalité qualifiée, placée auprès du Premier ministre, désignée par la commission nationale de contrôle des interceptions de sécurité, etc.), le législateur a bien prévu des garanties suffisantes pour éviter « une atteinte disproportionnée au droit au respect de la vie privée, aux droits de la défense, au droit à un procès équitable, y compris pour les avocats et journalistes. »

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Les « informations et documents » excluent les « informations consultées »

Des boites un peu plus plongées dans le noir ?

L’accès sur « sollicitation du réseau »

Pas de garantie constitutionnelle spécifique pour les journalistes et les avocats

Commentaires (26)


* La sauvegarde des éléments essentiels du potentiel scientifique et économique de la France

 

késako ?&nbsp;&nbsp; (définition)&nbsp; <img data-src=" />


L’on dit que le code du travail gagne quelques pages supplémentaires chaque année et qu’il devient inexploitable (enfin, les avocats ne le disent pas).

Alors une loi toute fraîche qui se contredit d’emblée <img data-src=" />



Enfin bon, j’ai eu une procédure qui a duré 5 ans d’échanges avec mon avocat, et Google a bien plus que les méta-données.


Espionnage industriel et contre-mesures, plus pudiquement appelé « intelligence économique », par exemple.








kade a écrit :



Enfin bon, j’ai eu une procédure qui a duré 5 ans d’échanges avec mon avocat, et Google a bien plus que les méta-données.



C’est pas une raison !



juste un petit truc de rien du tout comme plan d’un nouveau réacteur nucléaire BIO, plan d’un nouvel avion/train/voiture/autres








Nozalys a écrit :



C’est pas une raison !





Non, c’est pas une raison.









trash54 a écrit :



juste un petit truc de rien du tout comme plan d’un nouveau réacteur nucléaire BIO, plan d’un nouvel avion/train/voiture/autres





Sans oublier le droit d’auteur, et les industries “culturelles” <img data-src=" />





&nbsp;…

Bref, ces deux articles sur la table, le Conseil constitutionnel en déduit de manière ample que « le législateur a suffisamment défini les données de connexion, qui ne peuvent porter sur le contenu de correspondances ou les informations consultées. »

&nbsp;



&nbsp;Gnééé…???

&nbsp; Pourtant quand on lit l’article L246-1, il renvoie à l’article L. 241-2 qui dit très clairement:

&nbsp;

Peuvent être autorisées, à titre exceptionnel, dans les conditions prévues par l’article L. 242-1, les interceptions de correspondances émises par la voie des communications électroniques (…)



&nbsp;Il exprime très clairement le fait que les informations récupérées peuvent être des correspondances pas seulement des “données de connexion”.

&nbsp;



&nbsp;C’est moi ou le CC a sciemment occulté la lecture du texte?








trash54 a écrit :



juste un petit truc de rien du tout comme plan d’un nouveau réacteur nucléaire BIO, plan d’un nouvel avion/train/voiture/autres







Airbus et Boeing ne voient pas du tout de quoi tu veux parler ^^









js2082 a écrit :



….

 C’est moi ou le CC a sciemment occulté la lecture du texte?







Il semble que tout ceux qui ont lu leur “réponse” ont eu la même réaction ^^



De toute façon il fallait faire vite avant de se barrer 2 mois sur l’Ile de Ré ou à Ramatuelle








eliumnick a écrit :



Il semble que tout ceux qui ont lu leur “réponse” ont eu la même réaction ^^





Ouais mais là ce n’est même plus de la mauvaise interprétation, c’est plus que volontaire.

&nbsp;C’est un peu comme si tu avais une pomme rouge en face de toi et que tu disais qu’elle est blanche en la montrant à tout le monde. Même les daltoniens n’y croiraient pas. <img data-src=" />









js2082 a écrit :



Gnééé…???

  Pourtant quand on lit l’article L246-1, il renvoie à l’article L. 241-2 qui dit très clairement:

 

 Il exprime très clairement le fait que les informations récupérées peuvent être des correspondances pas seulement des “données de connexion”.

 



 C’est moi ou le CC a sciemment occulté la lecture du texte?





Bon, je n’y comprend rien au texte de loi, j’ai l’impression qu’il y a plus de citation d’article connecte et de contexte général que de vrai fond, mais je note personnellement :





legifrance a écrit :



Article L241-2




 Abrogé par LOI n°2015-912 du 24 juillet 2015 - art. 23









Qui semple être un article de notre fameuse loi. Mais alors niveau fond, je suis incapable de comprendre ce qu’elle fait, elle supprime un tripoté de loi en modifie quelques une et ajoute une nouvelle.



Dans le cas d’une requete HTTPS, il ne leur sera pas possible d’acceder à l’URL demandée. Me trompe-je?&nbsp;(Sans installer de certificat special sur la machine utilisée, j’entend).








tazvld a écrit :



Bon, je n’y comprend rien au texte de loi, j’ai l’impression qu’il y a plus de citation d’article connecte et de contexte général que de vrai fond, mais je note personnellement :



Qui semple être un article de notre fameuse loi. Mais alors niveau fond, je suis incapable de comprendre ce qu’elle fait, elle supprime un tripoté de loi en modifie quelques une et ajoute une nouvelle.



Tu te souvient d’un des travaux d’Astérix, dans une administration?

Bah là c’est pareil, un jeu fléché ou un livre dont on est le héros… aux ramifications perpétuelles.

Seuls les “Sages” (et les castors junior) ont la réponse à une question de loi basique…



il y a bcp d’articles qui ont été renumérotés par la LSR, si je peux t’être utile je veux bien t’aider.


En fait la réponse est plus compliqué car la sécurité de HTTPS repose sur SSL et TLS… côté serveur et client.

&nbsp;

Si par malheur le serveur avec qui tu dialogues est pas up to date au niveau des failles la DGSI doit avoir les moyens d’obtenir l’url exact…


Au fait si l’on considère l’url comme de la métadonnée les cookies c’est aussi de la métadonnée.

Et le vole de cookie peut être dommageable. (cookie d’identification mal sécurisé par exemple)








tazvld a écrit :



Bon, je n’y comprend rien au texte de loi, j’ai l’impression qu’il y a plus de citation d’article connecte et de contexte général que de vrai fond, mais je note personnellement :






Qui semple être un article de notre fameuse loi. Mais alors niveau fond, je suis incapable de comprendre ce qu'elle fait, elle supprime un tripoté de loi en modifie quelques une et ajoute une nouvelle.








On dirait une erreur de transcription.     



&nbsp;Ce ne devrait pas être “abrogé” mais “modifié” ou “codifié”, d’ailleurs en revenant à la structure générale, le texte apparait bien (càd, qu’il n’est pas abrogé)

&nbsp;

&nbsp;Edit: petite correction:

&nbsp;Il s’agit d’une VT (version avec terme): clair, il est écrit “abrogé” pour l’avenir. La version donnée est valable jusqu’en 2022.

&nbsp;Nul doute que le texte sera modifié ou prorogé d’ici là









MarcRees a écrit :



il y a bcp d’articles qui ont été renumérotés par la LSR, si je peux t’être utile je veux bien t’aider.







Disons pour faire simple que je ne comprend rien aussi bien à la façon dont les lois sont rédigées et à la façon dont elle sont publiées. Le français utilisé est tellement cryptique parfois si j’avais envie de faire des textes compréhensible que par un groupe limité de personnes que je n’aurai pas fait autrement.

Ensuite, la façon de publier les lois avec toutes ses références nécessite d’avoir lu 3 fois le sites intégralement avant de te dire que c’est bon, j’ai à peu prêt compris le texte.



Du coup, laisse tomber, il faut juste que je retrouve à quoi ça fait référence cette article 23 que j’imagine être de la loi sur le renseignement (les dates semblent concorder et j’ai vu que les articles touchés sont en rapport avec le renseignement).







js2082 a écrit :



On dirait une erreur de transcription.

 Ce ne devrait pas être “abrogé” mais “modifié” ou “codifié”, d’ailleurs en revenant à la structure générale, le texte apparait bien (càd, qu’il n’est pas abrogé)





Ha… si en plus il font des fautes, comment voulez vous que je comprenne !



Hum…

&nbsp;

&nbsp;Quand Benjamin dit :



&nbsp;“la seule chose que pourra faire la boite noire sera de nous dire quelle IP a été donnée à tel abonné à telle heure, point barre.”

&nbsp;



&nbsp;… sauf que la boite, justement , on sais pas ce qu’elle fait. On sais pas si ce qu’elle fait est légal ou pas , on sais pas si à un jour J ce qu’elle fait est légal puis 1 mois plus tard, mise à jour , et hop ! Plus légal. On sais juste, en tant qu’opérateur, qu’on est obligé de tuyauter tout le trafic dedans, requêtes DNS comprises.

&nbsp;



&nbsp;Oui, en théorie ils ont pas le droit de les logguer, et que les infos ainsi récoltées sont censé être encadrées. Bon courage pour le prouver.

&nbsp;



Pour moi cette loi sert essentiellement à lever des restrictions sur les marchés publics passés à Qosmo & autre dealers de boites noires (un domaine dans lequel la France est en pointe) - une manière de faire passer des ronds du public au privé.

&nbsp;

Et accessoirement d’espionner les gens à grande échelle - ils pouvaient déjà le faire, mais il fallait rester discret notamment au niveau de la mise en place des infra & des achats, là, c’est openbar, avec un contrôle d’alcoolémie de pacotille qui , comme la FISA, sera un béni-oui-oui.

&nbsp;



&nbsp;








kade a écrit :



Enfin bon, j’ai eu une procédure qui a duré 5 ans d’échanges avec mon avocat, et Google a bien plus que les méta-données.





Qui lui a donné ?









Jarodd a écrit :



Qui lui a donné ?





Nos mails (enfin MON mail Gmail)… avec les off et toutes les PJ en PDF









kade a écrit :



Nos mails (enfin MON mail Gmail)… avec les off et toutes les PJ en PDF





ça fait 2 ans que je sépare mes univers par services mails concurents: emploi gmail, commerce live, autre yandex, et désormais personnel/familial protonmail.

Ainsi personne n’aura mon profil complet.









tazvld a écrit :



Disons pour faire simple que je ne comprend rien aussi bien à la façon dont les lois sont rédigées et à la façon dont elle sont publiées. Le français utilisé est tellement cryptique parfois si j’avais envie de faire des textes compréhensible que par un groupe limité de personnes que je n’aurai pas fait autrement.

Ensuite, la façon de publier les lois avec toutes ses références nécessite d’avoir lu 3 fois le sites intégralement avant de te dire que c’est bon, j’ai à peu prêt compris le texte.



Du coup, laisse tomber, il faut juste que je retrouve à quoi ça fait référence cette article 23 que j’imagine être de la loi sur le renseignement (les dates semblent concorder et j’ai vu que les articles touchés sont en rapport avec le renseignement).





Ha… si en plus il font des fautes, comment voulez vous que je comprenne !





Oui le 23 est dans la loi, tout en bas ;)









MuadJC a écrit :



ça fait 2 ans que je sépare mes univers par services mails concurents: emploi gmail, commerce live, autre yandex, et désormais personnel/familial protonmail.

Ainsi personne n’aura mon profil complet.





Pour me faire une usurpation d’ID, Gmail a tout sur un de mes comptes : de l’état civil complet, aux jugements, en passant par les adresses, les identités et les comptes bancaires…

Donc dans un fil particulier que ce soit tel ou tel provider mail, c’est mort.

Le seul truc “fiable” c’est le mail du taf, mais pas question de faire transiter par là, pour les raisons que l’on sait (et c’est pas du taf).

Et chez toi, ok ça semble prudent, mais ça en fait des “clients mails” à consulter H24 (gamail, live, yandex, etc. etc.)