Numéro 47 - Semaine du 28 février au 6 mars 2011

dimanche 6 mars 2011

Les thèmes de la protection des données (1) et de la neutralité du Net (2) dominent, cette semaine, l’actualité du droit des nouvelles technologies.

Protection des données, surveillance

Alors que 44% des internautes français se disent vigilants avec leurs données personnelles, l’événement marquant concernant la protection des données et la surveillance des internautes est la publication, près de 7 ans après l’entrée de vigueur de la Loi pour la Confiance dans l’Économie Numérique (LCEN), du décret d’application n°2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne.

Ce décret définit les données que les intermédiaires devront collecter, et la durée de leur conservation, lorsqu’un internaute publie un contenu sur Internet. L’article 1er du décret énumère la liste des données à conserver par chaque type d’intermédiaire.

1) Ce sont d’abord les données à collecter à chaque opération qui sont énumérées. Ces données doivent toujours être collectées, c’est une obligation : les intermédiaires devront donc modifier leurs infrastructures, si nécessaire, pour les collecter et les conserver.

Pour les fournisseurs d’accès, les données à conserver sont les suivantes : a) L’identifiant de la connexion (c’est-à-dire ? le numéro de téléphone ? et dans le cadre d’un accès par Wifi, sans ligne téléphonique associée ? de quoi parle-t-on exactement ?) ; b) L’identifiant attribué par ces personnes à l’abonné (le numéro d’abonné ? l’adresse IP ?) ; c) L’identifiant du terminal utilisé pour la connexion lorsqu’elles y ont accès (l’adresse MAC du périphérique ? son numéro de série ?) ; d) Les dates et heure (sic) de début et de fin de la connexion ; e) Les caractéristiques de la ligne de l’abonné (notamment le débit, le type de connexion, filiaire ou wifi, etc.).

Les hébergeurs doivent conserver : a) L’identifiant de la connexion à l’origine de la communication (adresse IP ?) ; b) L’identifiant attribué par le système d’information au contenu, objet de l’opération (en pratique, cela se résumera souvent à la colonne «id» de la table MySQL…) ; c) Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus (Http pour le Web, Smtp, Pop, ou Imap pour le courrier électronique, etc.) ; d) La nature de l’opération (si l’on se contente de stocker le type de requête http, GET, POST, PUT, DELETE, cela suffit-il ?) ; e) Les date et heure de l’opération ; f) L’identifiant utilisé par l’auteur de l’opération lorsque celui-ci l’a fourni (pseudonyme).

2) Ensuite, les données à conserver lors de l’inscription de l’utilisateur au service. Ces données ne doivent être conservées que si les intermédiaires «les collectent habituellement». Autrement dit, pas d’obligation de modifier son infrastructure pour collecter ces données. Il s’agit : a) Au moment de la création du compte, l’identifiant de cette connexion (l’adresse IP ? quel intérêt si celle-ci est dynamique ?) ; b) Les nom et prénom ou la raison sociale (heureusement, ces données ne sont à conserver que si la personne les fournit) ; c) Les adresses postales associées (idem) ; d) Les pseudonymes utilisés ; e) Les adresses de courrier électronique ou de compte associées (idem) ; f) Les numéros de téléphone (idem) ; g) Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour (le hash MD5 ou SHA1, c’est-à-dire le mot de passe chiffré ? ou bien, le mot de passe en clair !?).

Doivent en outre être conservées les données relatives au paiement lorsque le service fourni est payant.

L’article 3 définit la durée de conservation : pour les données relatives aux opérations, 1 an à compter du jour de la création du contenu ; pour les données relatives au compte utilisateur, 1 an à compter de la fermeture du compte ; pour les données relatives au paiement, 1 an à compter du jour d’émission de la facture ou de l’opération de paiement (ce n’est pourtant pas la même chose…).

L’article 4 précise que la conservation des données est soumise aux règles de la loi Informatique et Libertés, notamment ses dispositions concernant la sécurité des données. Le décret n’est pas plus précis que la loi, et l’on reste dans le flou…

En 2007, l’ARCEP avait émis un avis dans lequel elle s’inquiétait de la conservation de certaines données qui, manifestement, «n’ont que peu de rapport ou même aucun avec l’identification de la personne ayant créé un contenu» : les caractéristiques de la ligne de l’abonné ; la nature de l’opération ; les mots de passe ou données permettant de le vérifier ou de le modifier ; les données relatives au paiement. En effet, toutes les données énumérées plus haut n’ont pas un rapport direct avec l’identification de l’abonné. Par exemple, l’adresse e-mail ou le numéro de téléphone n’entrent pas en compte dans la procédure d’identification, qui consiste généralement à associer un pseudonyme ou une adresse IP à un nom réel. Peu importe que l’on connaisse l’adresse e-mail ou le numéro de téléphone de l’internaute, car dès lors que l’on connaît son nom, celui-ci est bel et bien identifié. La conservation de ces données doit donc avoir un autre motif : préparer le terrain pour mettre en oeuvre rapidement et efficacement une surveillance complète de l’internaute, après qu’il ait été identifié.

Le site Numérama identifie un autre «bug» dans le décret : les intermédiaires (FAI et hébergeurs) ont l’obligation de conserver certaines données (celles relatives à chaque opération) pendant 1 an «à compter du jour de la création des contenus» ; or, puisqu’ils sont de simples intermédiaires (et non des éditeurs), ils n’ont pas à savoir qu’un contenu a été créé… Certains hébergeurs pourront satisfaire à cette obligation : par exemple, un logiciel de blog peut enregistrer dans la base de données MySQL l’heure de création de chaque enregistrement. D’autres hébergeurs, en revanche, auront plus de mal : tel est le cas de ceux qui se contentent de fournir les machines, l’internaute pouvant créer ou transférer du contenu avec les outils qu’il désire (par exemple avec le protocole FTP, sans passer par MySQL). Quant aux FAI, ils se contentent de fournir un accès à Internet, c’est-à-dire une adresse IP… ils n’ont strictement rien à voir avec les contenus créés sur les sites visités par l’internaute, et n’ont aucun moyen direct de savoir si telle ou telle requête crée un contenu. Pour le savoir, il faudrait mettre en oeuvre un filtrage DPI des données transmises sur le réseau. Or, un tel filtrage ne serait efficace que lorsque les données sont transmises au clair (exit, donc, les connexions SSL et celles passant par un proxy VPN).

On le voit, le décret sur la conservation des données est loin d’être parfait. Un recours devant le Conseil d’État devrait prochainement être déposé afin d’en obtenir l’annulation.

Neutralité du Net

Aux États-Unis, la question de la neutralité du Net fait toujours l’objet d’une polémique entre républicains et démocrates, depuis la publication du réglement de la FCC. Les républicains accusent la FCC de vouloir «contrôler» le Net. Plutôt étrange lorsqu’on sait que les républicains n’ont jamais hésité à élaborer des lois liberticides, comme le PATRIOT Act, au nom de la lutte contre le terrorisme…

En France, la proposition PS sur la neutralité du Net a été rejetée le 1er mars par 311 voix contre 218.

Nous parlions la semaine dernière de la volonté de Google d’amoindrir la visibilité des «fermes de contenu». Sachant que ces sites sont au Web ce que les spams sont au courrier électronique, on est tenté de dire qu’il s’agit d’une bonne chose. Néanmoins, les mesures prises par Google posent deux problèmes. D’abord, les effets collatéraux, ou le déréférencement de sites parfaitement légitimes. Ensuite et surtout, le rôle de Google. La société américaine se présente comme un intermédiaire, qui n’est pas responsable des résultats de recherche (dans le cas où les liens pointent vers des contrefaçons, par exemple). Mais en opérant un tri des résultats selon un critère fondé sur le contenu des sites référencés, n’exerce-t-elle pas une forme d’activité éditoriale ?

Les thèmes de la protection des données (1) et de la neutralité du Net (2) dominent, cette semaine, l’actualité du droit des nouvelles technologies.

Protection des données, surveillance

Alors que 44% des internautes français se disent vigilants avec leurs données personnelles, l’événement marquant concernant la protection des données et la surveillance des internautes est la publication, près de 7 ans après l’entrée de vigueur de la Loi pour la Confiance dans l’Économie Numérique (LCEN), du décret d’application n°2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne.

Ce décret définit les données que les intermédiaires devront collecter, et la durée de leur conservation, lorsqu’un internaute publie un contenu sur Internet. L’article 1er du décret énumère la liste des données à conserver par chaque type d’intermédiaire.

1) Ce sont d’abord les données à collecter à chaque opération qui sont énumérées. Ces données doivent toujours être collectées, c’est une obligation : les intermédiaires devront donc modifier leurs infrastructures, si nécessaire, pour les collecter et les conserver.

Pour les fournisseurs d’accès, les données à conserver sont les suivantes : a) L’identifiant de la connexion (c’est-à-dire ? le numéro de téléphone ? et dans le cadre d’un accès par Wifi, sans ligne téléphonique associée ? de quoi parle-t-on exactement ?) ; b) L’identifiant attribué par ces personnes à l’abonné (le numéro d’abonné ? l’adresse IP ?) ; c) L’identifiant du terminal utilisé pour la connexion lorsqu’elles y ont accès (l’adresse MAC du périphérique ? son numéro de série ?) ; d) Les dates et heure (sic) de début et de fin de la connexion ; e) Les caractéristiques de la ligne de l’abonné (notamment le débit, le type de connexion, filiaire ou wifi, etc.).

Les hébergeurs doivent conserver : a) L’identifiant de la connexion à l’origine de la communication (adresse IP ?) ; b) L’identifiant attribué par le système d’information au contenu, objet de l’opération (en pratique, cela se résumera souvent à la colonne «id» de la table MySQL…) ; c) Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus (Http pour le Web, Smtp, Pop, ou Imap pour le courrier électronique, etc.) ; d) La nature de l’opération (si l’on se contente de stocker le type de requête http, GET, POST, PUT, DELETE, cela suffit-il ?) ; e) Les date et heure de l’opération ; f) L’identifiant utilisé par l’auteur de l’opération lorsque celui-ci l’a fourni (pseudonyme).

2) Ensuite, les données à conserver lors de l’inscription de l’utilisateur au service. Ces données ne doivent être conservées que si les intermédiaires «les collectent habituellement». Autrement dit, pas d’obligation de modifier son infrastructure pour collecter ces données. Il s’agit : a) Au moment de la création du compte, l’identifiant de cette connexion (l’adresse IP ? quel intérêt si celle-ci est dynamique ?) ; b) Les nom et prénom ou la raison sociale (heureusement, ces données ne sont à conserver que si la personne les fournit) ; c) Les adresses postales associées (idem) ; d) Les pseudonymes utilisés ; e) Les adresses de courrier électronique ou de compte associées (idem) ; f) Les numéros de téléphone (idem) ; g) Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour (le hash MD5 ou SHA1, c’est-à-dire le mot de passe chiffré ? ou bien, le mot de passe en clair !?).

Doivent en outre être conservées les données relatives au paiement lorsque le service fourni est payant.

L’article 3 définit la durée de conservation : pour les données relatives aux opérations, 1 an à compter du jour de la création du contenu ; pour les données relatives au compte utilisateur, 1 an à compter de la fermeture du compte ; pour les données relatives au paiement, 1 an à compter du jour d’émission de la facture ou de l’opération de paiement (ce n’est pourtant pas la même chose…).

L’article 4 précise que la conservation des données est soumise aux règles de la loi Informatique et Libertés, notamment ses dispositions concernant la sécurité des données. Le décret n’est pas plus précis que la loi, et l’on reste dans le flou…

En 2007, l’ARCEP avait émis un avis dans lequel elle s’inquiétait de la conservation de certaines données qui, manifestement, «n’ont que peu de rapport ou même aucun avec l’identification de la personne ayant créé un contenu» : les caractéristiques de la ligne de l’abonné ; la nature de l’opération ; les mots de passe ou données permettant de le vérifier ou de le modifier ; les données relatives au paiement. En effet, toutes les données énumérées plus haut n’ont pas un rapport direct avec l’identification de l’abonné. Par exemple, l’adresse e-mail ou le numéro de téléphone n’entrent pas en compte dans la procédure d’identification, qui consiste généralement à associer un pseudonyme ou une adresse IP à un nom réel. Peu importe que l’on connaisse l’adresse e-mail ou le numéro de téléphone de l’internaute, car dès lors que l’on connaît son nom, celui-ci est bel et bien identifié. La conservation de ces données doit donc avoir un autre motif : préparer le terrain pour mettre en oeuvre rapidement et efficacement une surveillance complète de l’internaute, après qu’il ait été identifié.

Le site Numérama identifie un autre «bug» dans le décret : les intermédiaires (FAI et hébergeurs) ont l’obligation de conserver certaines données (celles relatives à chaque opération) pendant 1 an «à compter du jour de la création des contenus» ; or, puisqu’ils sont de simples intermédiaires (et non des éditeurs), ils n’ont pas à savoir qu’un contenu a été créé… Certains hébergeurs pourront satisfaire à cette obligation : par exemple, un logiciel de blog peut enregistrer dans la base de données MySQL l’heure de création de chaque enregistrement. D’autres hébergeurs, en revanche, auront plus de mal : tel est le cas de ceux qui se contentent de fournir les machines, l’internaute pouvant créer ou transférer du contenu avec les outils qu’il désire (par exemple avec le protocole FTP, sans passer par MySQL). Quant aux FAI, ils se contentent de fournir un accès à Internet, c’est-à-dire une adresse IP… ils n’ont strictement rien à voir avec les contenus créés sur les sites visités par l’internaute, et n’ont aucun moyen direct de savoir si telle ou telle requête crée un contenu. Pour le savoir, il faudrait mettre en oeuvre un filtrage DPI des données transmises sur le réseau. Or, un tel filtrage ne serait efficace que lorsque les données sont transmises au clair (exit, donc, les connexions SSL et celles passant par un proxy VPN).

On le voit, le décret sur la conservation des données est loin d’être parfait. Un recours devant le Conseil d’État devrait prochainement être déposé afin d’en obtenir l’annulation.

Neutralité du Net

Aux États-Unis, la question de la neutralité du Net fait toujours l’objet d’une polémique entre républicains et démocrates, depuis la publication du réglement de la FCC. Les républicains accusent la FCC de vouloir «contrôler» le Net. Plutôt étrange lorsqu’on sait que les républicains n’ont jamais hésité à élaborer des lois liberticides, comme le PATRIOT Act, au nom de la lutte contre le terrorisme…

En France, la proposition PS sur la neutralité du Net a été rejetée le 1er mars par 311 voix contre 218.

Nous parlions la semaine dernière de la volonté de Google d’amoindrir la visibilité des «fermes de contenu». Sachant que ces sites sont au Web ce que les spams sont au courrier électronique, on est tenté de dire qu’il s’agit d’une bonne chose. Néanmoins, les mesures prises par Google posent deux problèmes. D’abord, les effets collatéraux, ou le déréférencement de sites parfaitement légitimes. Ensuite et surtout, le rôle de Google. La société américaine se présente comme un intermédiaire, qui n’est pas responsable des résultats de recherche (dans le cas où les liens pointent vers des contrefaçons, par exemple). Mais en opérant un tri des résultats selon un critère fondé sur le contenu des sites référencés, n’exerce-t-elle pas une forme d’activité éditoriale ?