Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

Terrorisme et Internet: vers une dérive sécuritaire?

Publié le par

Tout le monde conserve à l’esprit les images terrifiantes des attentats du 11 septembre. La seule idée qu’une tragédie pareille puisse nous frapper fait frissonner d’effroi et on applaudit légitimement lorsque les responsables sont impitoyablement sanctionnés. Les mesures adoptées ou en passe de l’être se revendiquent de cet objectif. Parmi les « victimes » de…

Tout le monde conserve à l’esprit les images terrifiantes des attentats du 11 septembre. La seule idée qu’une tragédie pareille puisse nous frapper fait frissonner d’effroi et on applaudit légitimement lorsque les responsables sont impitoyablement sanctionnés. Les mesures adoptées ou en passe de l’être se revendiquent de cet objectif. Parmi les « victimes » de ce tour de vis, l’internet figure en bonne place. A voir la société sécuritaire – ce qui ne veut pas encore dire plus sûre ! – qu’on nous promet, on peut légitimement s’interroger : le prix à payer en terme de restrictions aux libertés individuelles est-il encore raisonnable ? Petit tour d’horizon …

L’exemple américain

En toute logique, les Américains ont été les premiers à prendre des mesures législatives suite aux attentats. En octobre, le Sénat adoptait le « USA Act », acronyme de « Uniting and Strenghtening America » que l’on pourrait traduire par « Unir et Renforcer l’Amérique ». Réponse du berger à la bergère : dans une inflation verbale qui serait amusante si elle n’était surtout démagogique, la Chambre des représentants adoptait quelques jours plus tard une loi intitulée « PATRIOT Act », acronyme de « Provide Appropriate Tools Required to Intercept and Obstruct Terrorism » que l’on pourrait traduire par « Donner les Outils Appropriés pour Déceler et Contrer le Terrorisme ». Finalement, un compromis sera trouvé en novembre.

La loi donne de nouveaux pouvoirs aux autorités publiques dans la lutte contre le terrorisme. Parmi ceux-ci, notons essentiellement les mesures suivantes qui concernent directement l’environnement électronique :

Le partage de l’information. Des procédures simplifiées et des droits élargis pour permettre aux agences gouvernementales (CIA, NSA, INS, et autres services secrets civil et militaire) d’échanger leurs informations et de les croiser ;

La collecte proactive d’informations. Les agences gouvernementales peuvent recueillir proactivement des informations en dehors d’une enquête, sans le signaler aux personnes visées, et les réutiliser éventuellement ultérieurement si une enquête devait viser ces personnes. La mise en œuvre est particulièrement aisée puisque le gouvernement a admis l’existence et le fonctionnement de Carnivore (à ne pas confondre avec Echelon !) qui permet de suivre à la trace les courriels et consultations Web ;

L’élargissement des écoutes. Tout en allégeant le contrôle judiciaire sur les écoutes (si l’écoute a pour finalité de lutter le « terrorisme » elle est exemptée de ce contrôle), la loi les facilite, par exemple en autorisant dans certains cas de ne pas spécifier le numéro écouté.

A cela s’ajoute une définition particulièrement extensive du « terrorisme », qui y assimile tout acte de piratage informatique au sens d’une intrusion non autorisée dans un système, serveur ou site web gouvernemental.

L’exemple anglais

La Grande-Bretagne a suivi de près l’exemple du grand frère américain. Adoptée à la mi-décembre 2001 sous le bénéfice d’un quasi « état d’urgence » (dixit le ministre de l’Intérieur), le texte est à peine plus nuancé. Le texte est assorti d’une annexe sous forme d’une « Supplemental Regulatory Impact Assessment : Retention of communications data » qui se veut être une sorte de code de bonne conduite pour les fournisseurs.

L’exemple français

Au lendemain des attentats, le législateur français a adopté dans une certaine précipitation une « loi sur la sécurité au quotidien (LSQ) », promulguée le 15 novembre 2001.

Cette loi pose un principe d’effacement ou d’anonymisation des données relatives à une communication électronique, tout en prévoyant deux exceptions : pour les besoins de facturation des opérateurs, d’une part, et à des fins de poursuite des infractions pénales, d’autre part. La loi limite ces exceptions, puisqu’elle précise que les données conservées ne peuvent « en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit ». Deux décrets doivent préciser ces exceptions tant sur la nature des données conservées que sur leur durée de conservation.

Les autorités d’enquête avaient sollicité ces mesures en rappelant trois éléments : (1) elle ont besoin d’outils pour lutter non seulement contre la cybercriminalité mais aussi contre la criminalité traditionnelle utilisant l’internet comme un simple moyen de communication ; (2) la durée de conservation des données doit être d’au moins un an pour permettre un bon déroulement des enquêtes, en particulier internationales ; (3) elles doivent disposer de données suffisamment détaillées pour mener à bien ces enquêtes. A cela, l’industrie répliquait par un refus d’assurer un rôle d’auxiliaire de justice, et avançait des arguments liés aux coûts de ces mesures. La société civile insistait, elle, sur le respect des libertés individuelles.

Le Forum des droits de l’internet, organisme créé par le gouvernement français (à l’instar de son cousin belge, l’Observatoire des droits de l’internet), s’est ému de la situation et a émis un avis d’initiative proposant quelques jalons que devraient respecter les décrets. Deux points méritent d’être soulignés ; le Forum recommande :

  • D’interdire toute mise en place par les services de sécurité d’un accès général aux informations sauvegardées : l’interrogation des données conservées doit se faire dans le cadre d’une procédure précise, sur base de requêtes au cas par cas. Il ne saurait être possible d’instaurer un accès permanent à ces données permettant la mise en place de traitements automatisés pouvant s’apparenter à une surveillance générale des réseaux ;

  • D’adopter une durée de conservation des données différenciée en fonction des données : si les données relatives à la facturation doivent être conservées pendant une année par les opérateurs (du fait du délai de prescription prévu à l’article L.32-3-2 de Code des postes et télécommunications), la durée de conservation des données à des fins d’enquête peut être plus courte.

    Illustration des rêves – et dérives – que ce régime génère chez certains, le législateur a modifié le 7 décembre 2001 la loi de finance rectificative 2001, pour donner accès à ces données aux agents des douanes et aux enquêteurs de la Commission des opérations boursières (COB). A qui le tour à présent … ?

    L’exemple belge

    Le nouvel article 88quater §1 du Code pénal permet au juge d’instruction ou à un officier de police judiciaire auxiliaire du Procureur du Roi, d’ordonner à toute personne dont il estime qu’elle a une connaissance particulière d’un système informatique, de fournir des informations sur le fonctionnement du système et sur la manière d’y accéder ou d’accéder aux données (cette obligation ne peut être imposée à l’égard de l’inculpé et de ses proches).

    Le §2 donne pouvoir au juge d’instruction d’ « ordonner à toute personne appropriée de mettre en fonctionnement elle-même le système informatique ou, selon le cas, de rechercher, rendre accessible, copier, rendre inaccessible ou retirer les données pertinentes qui sont stockées, transmises ou traitées par ce système ». Le texte précise que « ces personnes sont tenues d’y donner suite, dans la mesure de leur moyens ».

    La loi apporte également des modifications au régime des écoutes de télécommunications par les services judiciaires. Ainsi, la liste d’infractions autorisant une mesure de mise sur écoute est élargie aux nouvelles infractions de faux en informatique, de fraude informatique, de hacking, et de sabotage informatique.

    Enfin, la loi impose aux opérateurs de réseaux de télécommunications et les fournisseurs de services de télécommunications d’enregistrer et de conserver, pendant un certain délai en vue de l’investigation et de la poursuite d’infractions pénales, dans les cas à déterminer par arrêté royal, les données d’appel de moyens de télécommunications et les données d’identification d’utilisateurs de services de télécommunications. Ce délai (qui ne peut être inférieur à 12 mois) et les données visées, seront déterminés par arrêté royal après avis de la Commission pour la protection de la vie privée.

    L’exemple international

    Le 23 novembre 2001, trente Etats membres du Conseil de l’Europe ont signé à Budapest la Convention sur la cybercriminalité. Ce traité, contraignant, entrera en vigueur dès que cinq Etats, dont au moins trois membres du Conseil de l’Europe, l’auront ratifié.

    La Convention énonce notamment que chaque Partie adopte les mesures législatives et autres qui se révèlent nécessaires pour veiller à la conservation rapide des données relatives au trafic, qu’un seul ou plusieurs fournisseurs de service aient participé à la transmission de cette communication. Selon le rapporte explicatif, ces nouvelles mesures ont été mises en place de façon à s’assurer que les procédures classiques de collecte, comme la perquisition et la saisie, demeurent effectives dans un contexte technologique caractérisé par la volatilité.

    L’exemple européen

    La directive 97/66 du 15 décembre 1997 (qui concerne le secteur des télécommunications est appelée à être remplacée .

    L’Article 6 du projet énonce le principe d’effacement : les données relatives au trafic concernant les abonnés et les utilisateurs traitées aux fins de la transmission d’une communication et stockées par le fournisseur d’un réseau ou d’un service public de communications doivent être effacées ou rendues anonymes dès l’achèvement de la transmission.

    Il existe toutefois certaines exceptions, dont une créée par l’article 15 : les Etats membres peuvent prendre des mesures législatives atténuant ce principe lorsqu’une telle limitation constitue une mesure nécessaire pour sauvegarder la sûreté de l’Etat, la défense, la sécurité publique, la prévention, la recherche, la détection et la poursuite d’infractions pénales ou de l’utilisation non autorisée du système de communications électroniques. On a vu que la France et la Belgique, notamment, ont anticipé l’adoption de cette exception.

    La Commission a organisé le 27 novembre 2001 une audition publique consacrée aux données de connexion. Signe des temps : elle avait lieu dans le cadre du European Forum on Cybercrime. N’est-il pas révélateur de discuter du principe dans un Forum consacré en principe à son exception ?

    Conclusion

    Notre propos n’est pas de prendre position pour ou contre le régime sécuritaire créé, mais de le présenter objectivement en attirant l’attention sur les risques potentiels qu’il contient par rapport aux libertés individuelles.

    Les données de connexion ne sont pas innocentes.

    A cause de leur définition tout d’abord : il est parfois difficile de départager ce qui est une donnée relative à une communication, et ce qui est la communication elle-même : le « sujet » d’un courriel est-il une donnée de ce courriel ou fait-il partie de son contenu ?

    A cause de leur enregistrement et conservation ensuite : comparaison n’est pas raison, mais la conservation de ces données dans l’environnement papier impliquerait que La Poste conserve pendant 12 mois les données relatives à toutes les lettres postées. Par exemple : monsieur X a écrit à madame Y une lettre de telle taille et de tel poids, utilisant tel type d’enveloppe, estampillée de tel timbre, dont l’adresse est écrite dans telle langue à l’aide de telle encre et typographie, cachetée de telle manière, postée à partir de tel endroit à tel moment, délivrée le lendemain à telle heure, etc.

    A cause de leur omniprésence enfin : les réseaux se multiplient et se chevauchent, avec tout au long du parcours de l’information une infinité de prestataires : une opération aussi banale que l’utilisation d’une connexion WebTV, pour accéder à un site permettant d’envoyer un SMS vers un téléphone mobile, implique trois réseaux et des dizaines d’intermédiaires.

    Les défenseurs de la vie privée rappellent souvent la réplique du président américain Thomas Jefferson : « si tu es prêt à sacrifier un peu de liberté pour te sentir en sécurité, tu ne mérites ni l’une ni l’autre ». Au lendemain des attentats, la formule ne fait plus recette, même pas dans l’opinion publique légitimement apeurée et assoiffée de sécurité. Elle mérite pourtant plus d’attention qu’on veut bien lui en donner actuellement. Comme toujours, tout est affaire d’arbitrage : soupeser deux aspirations aussi légitimes l’une que l’autre pour aboutir à un juste équilibre. Mais que la balance penche trop d’un côté ou de l’autre et le but est manqué.

    Droit & Technologies
  • Publié dans

    Thèmes

    Soyez le premier au courant !

    Inscrivez-vous à notre lettre d’informations

    close

    En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

    OK