22/11
Surveillance des données fixes et mobiles : une loi de programmation militaire aux allures de Big Brother
C’est aujourd’hui que s’ouvre l’examen du projet de Loi de Programmation Militaire, qui contient notamment des dispositions qui permettent d’étendre les modalités d’accès aux données des utilisateurs, leur historique de navigation, la localisation et l’identification des correspondants pour "traquer les ennemis de l’Etat" :
" Art. L. 2321-2. –Pour répondre à une attaque informatique des systèmes d’information portant atteinte au potentiel de guerre ou économique, à la sécurité ou à la capacité de survie de la Nation, les services de l’Etat peuvent, dans les conditions fixées par le Premier ministre, procéder aux opérations techniques nécessaires à la caractérisation de l’attaque et à la neutralisation de ses effets en accédant aux systèmes d’information qui en sont à l’origine."
Un texte de loi aux allures du Patriot Act, mis en place, non sans susciter les craintes des associations d’internet comme l’ASIC, représentant des entreprises comme Google, Deezer, Facebook ou en encore Yahoo.
Il s’agit d’une extension des régimes d’exceptions fixées par la loi Anti-terroriste de 2006. Ce "régime d’exception" prévoit d’offrir un accès administratif "aux données de l’internautes" conservées par l’ensemble des intermédiaires d’internet et de l’étendre à d’autres fonctionnaires de l’Etat que les seuls services de polices.
Si jusqu’à présent, seuls les services de police et de gendarmerie sous mandat d’un juge pouvait avoir accès à ces données, avec cette loi, la France se dote d’un système de surveillance de la cybercriminalité qui sera étendu à toutes les sphères gouvernementales, autrement dit, des agents administratifs appartenant aux ministères chargés de la sécurité intérieure, de la défense, de l’économie et du budget. Ces agents néanmoins assermentés pourront, sans l’avis d’un juge, exiger de l’opérateur, le FAI ou l’hébergeur, l’accès "en temps réel" à des données personnelles.
L’ASIC (Association des Services internet Communautaires) dénonce à cet effet l’absence de réaction de la CNIL (Commission Nationale de l’Informatique et des Libertés) et de l’absence "de réelle photographie transparente de la manière dont l’ensemble des dispositifs juridiques ont été mis en œuvre sur le territoire français. Il n’existe pas non plus de transparence sur les volumes de réquisitions réalisées chaque année par les autorités françaises auprès des intermédiaires de l’internet."
Les FAI n’ont pas encore réagi à ce texte qui les place nécessairement au cœur de ce dispositif de surveillance. À la différence du litige entre FAI et Hadopi sur le remboursement des frais de procédure, cette fois le texte de loi précise :
"Art. L. 1332-6-1. – Le Premier ministre fixe les règles de sécurité nécessaires à la protection des systèmes d’information des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 et des opérateurs publics ou privés qui participent à ces systèmes dont l’atteinte à la sécurité ou au fonctionnement risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation. Ces opérateurs sont tenus d’appliquer ces règles à leurs frais." Ces derniers n’auront également pas le choix que de "répondre aux crises majeures" sous peine de 150 000 euros d’amendes.
Enfin le projet de loi estime que l’ANSSI, Agence Nationale de Sécurité des Systèmes d’Information, et ses agents " habilités par le premier ministre et assermentés" […] pourront obtenir "l’identité, l’adresse postale et l’adresse électronique d’utilisateurs ou de détenteurs de systèmes d’information vulnérables, menacés ou attaqués."
Interrogé par BFM TV, le porte-parole du P.S, Eduardo Rihan-Cypel "il ne s’agit pas d’espionner, mais plutôt que personne ne vienne espionner nos réseaux d’informations. Il ne se passe pas un jour sans qu’une administration ou une grande entreprise ne subisse de cyber-attaque."
Le texte précise néanmoins que :
« Art. L. 1332-6-5. – L’État préserve la confidentialité des informations qu’il recueille auprès des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 dans le cadre de l’application des dispositions prévues à la présente section.
Le texte prévoit également qu’un décret en Conseil d’Etat précisera "les conditions et limites dans lesquelles s’appliquent les dispositions." Le projet de loi est en discussion à l’Assemblée Nationale aujourd’hui et demain.