Coup de tonnerre aux États-Unis. Le 4 avril, Donald Trump a promulgué un texte très controversé sur la vie privée des internautes qui autorise les opérateurs à collecter et vendre les données personnelles de leurs clients à des tiers, sans avoir à récolter leur consentement explicite. Cette évolution calamiteuse pour la confidentialité de ceux et celles qui surfent sur Internet interroge évidemment de ce côté-ci de l’Atlantique : cela pourrait-il se produire en France ?
Non, tient à rassurer Alexandre Archambault, avocat fin connaisseur des réseaux et ancien responsable des affaires réglementaires chez Free : « à ce stade, la situation américaine, à savoir le traitement des données de navigation sans accord des internautes, n’est pas transposable en Europe et en France ». Il existe suffisamment de garde-fous, tant au niveau hexagonal que communautaire, pour empêcher les fournisseurs d’accès à Internet de faire comme leurs homologues américains.
« Il faut savoir que la confidentialité des communications est un principe très ancien dans notre droit, remontant à la Révolution », explique l’avocat. Il provient du décret de la l’Assemblée constituante du 17 août 1790, complété par celui de juillet 1791 portant sur le secret et l’inviolabilité des lettres. Ensuite, « leurs principes ont été transposés aux nouveaux modes de communications qu’étaient le télégraphe, le télégramme, le téléphone, le minitel… »
Aujourd’hui, « les textes qui encadrent ces pratiques sont au niveau communautaire, pour encore quelques temps, la directive 2002/58/CE — étant précisé que son champ d’application est historiquement cantonné aux réseaux — ainsi que l’article L.34-1 VI du Code des postes et des communications électroniques au niveau national », note-il. Or, dans la directive de 2002, aux articles 5 et 6, « on ne peut conserver les données techniques que lorsqu’elles sont nécessaires à l’acheminement et / ou à la facturation d’une communication ».
Et ces données techniques n’incluent pas l’URL, qui peut en dire long sur les centres d’intérêt de l’internaute, rappelle Alexandre Archambault. « Pour un FAI, en tout cas ici en France compte tenu de la configuration des réseaux (attention, je parle bien de réseau, et non de système d’information ; un portail captif WiFi relève du système d’information), une URL n’est pas une donnée pertinente pour l’acheminement ». En clair, les opérateurs ne sont pas en mesure de voir l’historique de leurs clients puisqu’ils n’ont pas la main sur les adresses.
« Un routeur IP n’en a rien à faire, il commute sur les couches basses au niveau du transport et non sur des informations relevant des couches hautes applicatives », explique-t-il, avant de prendre un exemple : « quand on tape sur entrée dans son navigateur pour valider le surf sur http ://www.numerama.com/politique/246974-les-fai-francais-peuvent-ils-revendre-nos-donnees-personnelles-un-avocat-nous-repond.html, le navigateur garde l’URL pour lui et demande au système d’exploitation de demander au résolveur DNS — qui peut très bien ne pas être celui du fournisseur de connectivité lorsque l’utilisateur contourne ce dernier — quelle est l’adresse IP du serveur qui répond pour le web à http ://www.numerama.com ».
« Une fois que le résolveur DNS renvoie cette information, il émet une requête HTTP auprès du serveur web en lui demandant de lui renvoyer le contenu correspondant à l’URL. Le FAI ne voit rien de ces informations qui sont encapsulées dans des paquets IP — principe des enveloppes, on se fie à l’adresse de l’enveloppe sans chercher à savoir ce qu’il y a dedans tant que sa taille est normale », ajoute-t-il.
Ce qui d’ailleurs rend illusoire une mesure comme les boîtes noires dans les opérateurs au niveau de la lutte antiterroriste. « C’est une bien belle mesure d’affichage sans efficacité concrète », observe l’avocat. En tout cas, là où elles sont placées, au niveau d’un opérateur de téléphonie mobile ou d’un fournisseur d’accès à Internet. Il ajoute qu’elles auraient plus de sens au niveau des fournisseurs de services, mais pour diverses raisons juridiques et de sécurité, ce n’est en l’état pas possible.
Ajit Pai, président de gendarme des télécoms américain.
CC FCC
Aux États-Unis, c’est cette inquiétude qui prédomine chez les associations de défense des libertés individuelles, rappelle Le Monde. En effet, avec l’historique de navigation, on peut connaître des informations sensibles, comme les préférences politiques, l’orientation sexuelle, l’appartenance religieuse, l’emplacement géographique ou l’état de santé. Mais les craintes des organisations n’ont pas empêché le Sénat, le 23 mars, puis la Chambre des Représentants, le 28 mars, d’adopter ce projet de loi.
La loi va même plus loin en désarmant la commission fédérale des communications (FCC). En effet, outre la suppression des mesures protectrices prises sous l’ère Obama, qui n’ont même pas eu le temps d’entrer en application, le régulateur n’a plus l’autorisation d’édicter de nouvelles dispositions qui permettraient de restreindre la revente des données personnelles. Il ne peut plus non plus contraindre les opérateurs faire le nécessaire pour sécuriser ces informations et notifier les personnes concernées en cas de piratage.
Calamiteux pour les internautes, en particulier pour ceux et celles dont la protection de la vie privée importe, le texte représente une immense victoire pour les fournisseurs d’accès à Internet américains. Ces derniers cherchaient à casser les règles du gendarme des télécoms et à bénéficier d’un régime plus conciliant par rapport au cadre qui existe pour des entreprises de l’environnement numérique comme Google et Facebook, qui brassent aussi un nombre incalculable de données personnelles.
Et à l’avenir ?
Le cadre européen devrait toutefois évoluer, rappelle Alexandre Archambault. Avec l’adoption du règlement européen sur la protection des données, dont l’entrée en vigueur est prévue en mai 2018, s’ajoutera la mise en place d’un nouveau règlement, baptisé ePrivacy, qui remplacera la directive 2002/58/CE, avec la prise en compte des métadonnées et des services dits over the top (OTT) via un volet consacré sur les communications électroniques.
Un nouveau règlement, ePrivacy, doit étendre le cadre actuel fixé par la précédente directive européenne
« Le cadre envisagé traite enfin le cas des métadonnées, considérées sur le même niveau que le contenu, et étend le principe de la directive aux services OTT, et précise que la sécurité et la qualité de service est une finalité pertinente pour la collecte, traitement et conservation des métadonnées », précise l’avocat, mais toujours avec un impératif : il faut que les utilisateurs donnent leur consentement express pour le traitement, l’analyse, la conservation des métadonnées et l’accès au contenu.
Alexandre Archambault précise d’ailleurs que ce consentement ne se fait pas qu’au niveau du récepteur, il faut aussi le feu vert de l’émetteur, ce qui offre une restriction supplémentaire.
CC Lars Plougmann
Métadonnées bavardes
Il s’avère que les métadonnées, qui sont en fait toutes les informations techniques autour d’une communication (par exemple, dans le cas d’un appel téléphonique : date et heure du coup de fil, numéros de l’appelant et de l’appelé, durée de l’échange, etc), sont en réalité très bavardes. même si elles n’indiquent pas directement le contenu d’une conversation. Elles peuvent aider à en connaître la teneur.
Pour illustrer le problème, l’Electronic Frontier Foundation, une puissante organisation américaine spécialisée dans la défense des libertés individuelles dans l’environnement numérique, avait pris quelques exemples : par exemple, de quoi a bien pu parler quelqu’un qui a appelé un service de téléphone rose à 2h24 du matin pendant 18 minutes ? Ou bien quel a été le sujet de conversation d’une femme qui a appelé à quelques minutes d’intervalle son petit copain, sa mère, le docteur et le planning familial ?
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
