Gandi, qui fait partie des quelques hébergeurs invités à négocier avec le Gouvernement suite à leur menace de partir de France en cas d'adoption des boîtes noires, a apporté sur son blog quelques précisions sur les raisons pour lesquelles les menaces ne seront pas mises à exécution. Certains y verront de la naïveté, d'autre du réalisme, d'autre enfin l'expression d'un sens des responsabilités. C'est selon.
En préambule, Gandi continue à s'opposer au projet de loi Renseignement, et aux méthodes du Gouvernement. "Les professionnels du secteur n'ayant pas été consultés au préalable, notre intervention s'est vue limitée à des amendements sur une loi qui nous a été présentée comme déjà finalisée dans ses aspects les plus cruciaux", regrette-t-il. "Nous n'avons donc pu intervenir que sur les modalités d'application, l'idée étant que Gandi reste maître d'oeuvre de son réseau et de ses serveurs".
A défaut de garanties, Gandi se seraient vu assurer du fait que :
- "Les opérateurs auront la possibilité, ainsi que le précise le renvoi à l’article L.861-3 du code de la sécurité intérieure, de s'assurer par eux-mêmes que les données de contenu seront exclues de la mise en œuvre de ces traitements". Mais la loi modifiée par l'amendement n'apporte pas explicitement cette garantie. L'article L861-3 en question (actuel 242-9) dit simplement que "les opérations matérielles nécessaires à la mise en place des [techniques de renseignement]" doivent être réalisées "sur ordre du ministre" des télécoms par des agents qualifiés de l'opérateur. Il ne donne pas la possibilité à cet agent de choisir à quel endroit du réseau installer la "boite noire" et quelles données lui fournir. Il devra se plier aux instructions, telles que validées par la CNCTR. S'il y a des assurances opérationnelles fournies aux opérateurs, elles ne figurent pas explicitement dans la loi.
- "Il ne s'agit pas d'un système d'écoute global mais bien de mesures spécifiques et ponctuelles, dont la mise en oeuvre est limitée à un périmètre technique bien défini. Ces dispositifs, classés "Secret défense", ne pourront être mis en oeuvre que dans le strict cadre de la lutte anti-terroriste" : C'est exact que la loi limite l'exploitation des boîtes noires à la seule prévention du terrorisme. En revanche le degré de précision du "périmètre technique" dépendra du sens que la CNCTR entendra donner au contrôle de proportionnalité. Observer toutes les communications à destination d'un site qui relaie des informations de l'Etat Islamique sera-t-il "proportionné" ? Se donner la possibilité de croiser ces données de connexion avec d'autres données plus "innocentes" pour permettre à l'algorithmes de mieux écarter les faux positifs restera-t-il proportionné ? Beaucoup de questions restent en suspens, et tout dépendra des besoins exprimés par les ingénieurs pour leur intelligence artificielle. Ce sont eux qui auront le véritable pouvoir.
- "Gandi pourra s'assurer que les données de contenu sont exclues de la mise en oeuvre des traitements automatisés. Toute demande d'identification ou de transmission de données qui découlerait de la mise en place d'un dispositif de surveillance, pour identifier un client ou se voir transmettre un contenu hébergé par Gandi, serait soumise au régime de droit commun d'ores et déjà applicable" : même remarque qu'au premier point.
- "La procédure d'urgence n'est plus applicable, ce qui garantit la consultation de la CNCTR avant toute mise en oeuvre de ces dispositifs/mesures de surveillance" : comme indiqué hier, c'est une garantie heureuse mais qui semblait déjà évidente en pratique, car l'on ne voit pas comment une boîte noire pourrait être installée "dans l'urgence". Il est toutefois mieux que ça soit effectivement écrit.
"Pour être très clairs : l'esprit de la loi ne nous convient pas et nous espérons pouvoir vivre avec ses modalités d'application dans un pays où la majorité de la population ne semble pas s'en préoccuper. Si tel n'était pas le cas, nous prendrions avec gravité et tristesse les mesures qui s'imposent, que ce soit en terme de recours légaux ou de déploiement de notre infrastructure", conclut Gandi.
L'opérateur rappelle à toute fin utile qu'il propose à ses clients d'héberger leurs données aux Luxembourg, et assure que la loi n'est pas applicable aux datacenters situés à l'étranger, même s'ils sont la propriété d'une entreprise française.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
