Dans un avis remis au gouvernement, la Commission nationale de contrôle des techniques de renseignement (CNCTR) estime qu'il serait théoriquement possible pour les services de collecter les URL visitées par les internautes surveillés, mais uniquement si elles ne sont pas trop précises. Inextricable.

Le gouvernement a fait publier vendredi dernier au Journal Officiel l’avis que lui avait transmis la Commission nationale de contrôle des techniques de renseignement (CNCTR), en prévision de la publication du décret du 29 janvier 2016 relatif aux techniques de recueil de renseignement. L’un des enjeux de fond était de savoir quelles sont les « informations et documents » que les services peuvent recueillir dans le cadre de simples procédures administratives, sans passer par le truchement d’un juge.

L’article L851-1 du code de la sécurité intérieure créé par la loi sur le renseignement de 2015 dit en effet que les services de l’État peuvent recueillir auprès des FAI et hébergeurs les « informations ou documents traités ou conservés par leurs réseaux ou services de communications électroniques », « y compris » mais pas seulement un certain nombre d’informations explicitement mentionnées (adresses IP, numéros de téléphone, de carte SIM, géolocalisation des terminaux, numéros appelés, durée des appels, etc.).

Un débat porte sur l’interprétation qu’il faut avoir de l’expression « y compris ». S’agit-il d’énumérer simplement quelques exemples pour les rendre impératifs, tout en laissant la porte ouverte à d’autres données potentiellement plus intrusives encore ? Ou s’agit-il de donner les exemples des données les plus intrusives, pour dire implicitement qu’on ne peut pas aller plus loin ?

Les URL, contenant ou contenu ?

URL
Une URL saisie dans le navigateur.

Dans son avis, la CNCTR rappelle d’abord que dans sa décision sur la loi renseignement, le Conseil a explicitement rappelé que les données de connexion énumérées par l’article L851-1 « ne peuvent porter sur le contenu de correspondances ou les informations consultées ». Mais où se termine le simple contenant, et où commence le contenu ? Dès lors, comme l’écrit la CNCTR, que le recueil des données de connexion « permet de connaître ou de déduire de très nombreuses informations sur les personnes visées », à partir de quel moment une information sur le contenant devient-elle à ce point précise qu’elle permet d’en deviner le contenu ?

La question se pose en particulier pour les URL, c’est-à-dire pour les adresses des sites et des pages web visitées. Or sur ce point, la CNCTR aménage un boulevard aux services de renseignement.

Plutôt que d’exclure purement et simplement les URL, la CNCTR estime que ça dépend

Plutôt que d’exclure purement et simplement la collecte et l’analyse des URL visitées par les internautes surveillés, la Commission de contrôle estime que… ça dépend des URL. Il y a un moment où l’URL elle-même bascule du simple contenant vers le contenu, lorsqu’elle devient trop précise. Dès lors, et bravo si vous y comprenez quelque chose, « le recueil ne peut avoir pour objet que de reconstituer, grâce aux seules parties d’URL pertinentes, le chemin informatique utilisé pour échanger des correspondances ou consulter des informations ».

En clair, il pourrait être légal pour les services de renseignement de savoir que vous visitez www.facebook.com parce que ça ne dit pas ce que vous y lisez, mais pas forcément que vous visitez www.facebook.com/Numerama/ parce que ça dit que vous lisez Numerama. Ou alors c’est aussi légal de savoir que vous visitez Facebook.com/Numerama, mais pas forcément que vous avez ouvert www.facebook.com/Numerama/posts/1064910886863466, qui porte sur une info précise. Et donc, peut-être, c’est légal de savoir que vous visitez www.numerama.com, mais pas forcément de savoir que vous visitez JeSuisGayEtMusulman.com, parce que ça en dit un peu trop sur vous. Où est la ligne rouge pour définir les « parties d’URL pertinentes » ? La CNCTR n’en dit rien.

 Des données accessibles… si elles sont conservées

Reste un problème pratique. La CNCTR a pris soin d’indiquer dans son avis que «  les données de connexion susceptibles d’être recueillies (…) ne peuvent être que des données préalablement conservées par les opérateurs de communications électroniques, les hébergeurs et les fournisseurs de services sur internet », et obtenues a posteriori, pas en temps réel.

Or en principe, les FAI ne conservent pas et n’ont pas le droit de conserver la liste des URL visitées par leurs clients, quelle que soit la longueur ou le degré explicite ou non de l’URL. Précisément parce qu’il s’agit de données personnelles trop sensibles. Un fournisseur d’accès à internet à qui un service de renseignement viendrait demander la liste des sites web visités par une cible ne doit donc pas, théoriquement, être en capacité de la fournir.

L’article L34-1 VI du code des postes et communications électroniques dit en effet que « les données conservées et traitées » par les FAI « ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit, dans le cadre de ces communications ». Mais tout le trouble jeté par l’avis de la CNCTR est qu’il considère que les URL ne sont pas toujours porteuses d’informations sur les correspondances échangées ou les informations consultées.

Dit autrement : on tourne en rond, jusqu’à ce que la justice finisse peut-être enfin, un jour, par mettre un terme au débat.

Partager sur les réseaux sociaux

Articles liés