Toutes les adresses IP des internautes qui ont visité Google.fr ou Wikipedia France ce lundi matin avec Orange ont été collectées à des fins statistiques pour le ministère de l'Intérieur. Faut-il s'en inquiéter, et peut-on demander l'effacement ?

Lundi matin, les abonnés d’Orange étaient tous dirigés vers une page anxiogène du ministère de l’Intérieur lorsqu’ils tentaient d’accéder notamment à Google.fr, fr.wikipedia.org ou OVH.com. Tout en rouge et en majuscules, la page prévient l’internaute que « VOUS AVEZ ÉTÉ REDIRIGÉ VERS CETTE PAGE DU SITE DU MINISTÈRE DE L’INTÉRIEUR CAR VOUS AVEZ TENTÉ DE VOUS CONNECTER À UN SITE DONT LE CONTENU INCITE À DES ACTES DE TERRORISME OU FAIT PUBLIQUEMENT L’APOLOGIE D’ACTES DE TERRORISME ».

google-bloque

Officiellement, Orange affirme qu’il s’agit uniquement d’une « erreur humaine », même si l’explication a bien du mal à convaincre. En interne, on explique que l’erreur aurait été présente dans le fichier des sites à bloquer transmis régulièrement par la place Beauvau aux fournisseurs d’accès à internet, ce qui n’en dit pas davantage sur l’origine précise d’une telle bourde. Véritable erreur d’inattention (mais l’on se demande bien comment), ou manipulation malveillante des fichiers, à un endroit ou autre de la chaîne ?

Toujours est-il qu’à cause de cette bévue, les adresses IP de centaines de milliers voire des millions d’internautes sont désormais associées, dans une base de données, à la consultation de sites terroristes. Les adresses IP ont été collectées pour nourrir les logs du serveur gouvernemental, mais pas uniquement.

Des adresses IP conservées à des fins statistiques

En effet le code source de la page du ministère de l’intérieur contient un appel à un script du prestataire Xiti (AT Internet) qui permet au ministère de l’Intérieur d’avoir des statistiques précises et historiées sur les visites de ses pages de redirection vues en raison des différents motifs de blocage (terrorisme, pédophilie, jeux d’argent…).

Or pour compter le nombre de visiteurs et pas seulement le nombre de visites, Xiti doit collecter les adresses IP et autres données liées au navigateur. Cela lui permet de compter comme un seul visiteur celui qui revient avec la même adresse IP et le même navigateur. Sur son site Internet, AT Internet explique qu’il recueille les adresses IP, mais « traitées afin que l’identification personnelle soit impossible ».

xiti-log

Si vous êtes abonné Orange et que vous avez visité Google.fr ce matin, ou que vous avez voulu lire une entrée de l’encyclopédie Wikipedia, votre adresse IP figure donc désormais quelque part, associée à la visite d’un site terroriste.

Le ministère de l’Intérieur l’avait reconnu en décembre 2015 dans la réponse à une question du député Lionel Tardy, rappelée ce matin par Les Exégètes Amateurs :

« S’agissant du nombre de connexions à un site dont l’accès est bloqué, il fait l’objet d’une comptabilisation assurée par la sous-direction de lutte contre la cybercriminalité de la direction centrale de la police judiciaire. Cette comptabilisation s’inscrit dans une démarche d’évaluation du dispositif mais vise aussi à mieux appréhender l’évolution du comportement des internautes. Lorsqu’un internaute tente de se connecter à un site dont l’accès est bloqué, il est immédiatement renvoyé sur une page d’information du ministère de l’intérieur, lui expliquant la nature du blocage et l’informant sur les voies de recours. L’adresse IP est enregistrée. Les adresses IP ainsi collectées ne sont pas exploitées mais permettent une comptabilisation précise du nombre de connexions à chacune des pages bloquées. Les premiers chiffres enregistrés depuis la mise en place du dispositif font apparaître plus de 30 000 connexions par semaine concernant les sites de pédo-pornographie, et 250 connexions en moyenne par semaine concernant les sites à caractère terroriste. »

Quels recours si l’on veut faire supprimer son adresse IP ?

Il n’y a pas de véritables risques à voir son adresse IP figurer ainsi dans une telle base de données dont l’exploitation judiciaire serait illégale, et l’on imagine bien que le ministère de l’Intérieur considérera de toute façon que toutes les statistiques du 17 octobre 2016 sont erronées et inexploitables, fût-il tenté d’en faire une utilisation officieuse.

L’internaute paranoïaque qui aurait des craintes de voir ainsi son adresse IP associée à la visite de sites terroristes (devenue un délit autonome) peut toutefois, théoriquement, faire appliquer le droit de rectification imposé par la loi CNIL.

L’article 40 de la loi de 1978 relative à l’informatique, aux fichiers et aux libertés prévoit en effet que « toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite ».

Le ministère de l’Intérieur a obligation d’appliquer les demandes pour ses propres logs, et de faire suivre les demandes auprès de Xiti puisque « lorsqu’il a transmis les données en cause à un tiers lui-même responsable de traitement, il prend des mesures raisonnables, y compris d’ordre technique, compte tenu des technologies disponibles et des coûts de mise en œuvre, pour informer le tiers qui traite ces données que la personne concernée a demandé l’effacement de tout lien vers celles-ci, ou de toute copie ou de toute reproduction de celles-ci ».

Cependant l’effacement n’est pas obligatoire lorsque le traitement est réputé « nécessaire » pour, entre autres, « exercer une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ». On comprend qu’il y aurait alors débat pour savoir si la tenue de statistiques agrégées sur la fréquentation des pages bloquées relève, ou non, de la mission d’intérêt public du ministère de l’Intérieur.

Il paraît selon nous très peu probable que le ministère accède aux demandes de ceux qui demanderaient une rectification. Toutefois ceux qui souhaitent aller au bout de la démarche pourront toujours saisir la CNIL en cas de refus, et tenter d’obtenir son soutien.

Partager sur les réseaux sociaux

Articles liés