Les nouvelles obligations des prestataires de services Internet

• Le projet de loi d’Orientation et de programmation de la sécurité intérieure voté en première lecture, selon la procédure d’urgence, par les députés et les sénateurs les 17 et 31 juillet dernier est un texte devant permettre « aux officiers de police judiciaire, agissant dans le cadre d'une enquête judiciaire, sur autorisation d'un magistrat, d'accéder directement à des fichiers informatiques et de saisir à distance par la voie télématique ou informatique, les renseignements qui paraîtraient nécessaires à la manifestation de la vérité » (Annexe I – Rapport sur les orientations de la politique de sécurité intérieure).

Selon le Forum des droits sur l’internet, cette proposition imposerait aux prestataires de services Internet l’obligation d’assurer aux autorités judiciaires l’accès direct et en ligne aux adresses IP pour identifier, dans des délais raisonnables, les auteurs d’infractions commises sur le réseau.

Cette procédure devra être strictement encadrée par des mesures garantissant la sécurité des données personnelles archivées par les prestataires de services internet.

En effet, aménager un accès direct et en ligne de ces données sensibles suppose la mise en oeuvre d’un haut niveau de sécurité technique et juridique apte à empêcher toutes consultations abusives par des personnes non autorisées.

A ce titre l’association IRIS (Imaginons un Réseau Internet Solidaire) rappelle que de tels abus ont été constatés pour le fichier de police judiciaire STIC (Système de traitement des infractions constatées).

• Ce texte constituera le bras armé de la loi « Sécurité quotidienne » (LSQ) du 15 novembre 2001 promulguée également selon la procédure d’urgence à la suite des événements du 11 septembre.

Pour mémoire cette loi a introduit trois mesures sécuritaires spécifiques à Internet dont notamment la conservation, pendant une durée maximale d’un an, des données relatives à une communication.

Elle a donc posé le principe de rétention de ces données « pour les besoins de la recherche, de la constatation et de la poursuites des infractions » (article 29).

Cette disposition sera juridiquement opérationnelle après adoption du décret d’application.

Le décret devra déterminer les catégories de données visées et la durée de leur conservation selon l'activité des opérateurs et la nature des communications, ainsi que les modalités de compensation.

Pour les prestataires de services Internet, il s’agira vraisemblablement des données de connexion qui enregistrent les adresses IP, les adresses e-mails des messages envoyés ou reçus (à l’exclusion de leur contenu) ainsi que les adresses des sites visités.

Ce texte réglementaire devra également définir une procédure précise ne permettant pas la mise en œuvre d’une surveillance générale des réseaux afin de respecter la vie privée des citoyens dans une société démocratique, conformément au droit communautaire et à la Convention européenne des droits de l’homme.

Dès la publication du décret, le stockage de ces données sera obligatoire pour les prestataires de services internet.

D’ailleurs, les fournisseurs d’accès Internet conservent d’ores et déjà les données de connexion, généralement pendant une période de trois mois voire six mois pour certains.

Cette pratique répond aux exigences de la loi du 1er août 2000, qui imposent aux fournisseurs d’accès Internet et aux hébergeurs « de détenir et de conserver des données de nature à permettre l'identification de toute personne ayant contribué à la création d'un contenu dont elles sont prestataires. » (article 43-9).

Ces derniers engagent en effet leur responsabilité en cas d’incapacité à fournir ces données dans le cadre d’une procédure judiciaire d’identification.

*****

Au sein de l’Union européenne, la démarche sécuritaire française n’est pas isolée, loin s’en faut.

Depuis le 1er août dernier, les fournisseurs d’accès Internet britanniques sont dans l’obligation d’assurer l’accès aux données de connexion de leurs abonnés dans un délai d’un jour ouvrable à compter de la réception d’un mandat policier (Regulation of Investigatory Powers Act).

L’Information Commissioner (équivalent de la CNIL outre-manche) considère que cette loi risque fortement d’être contraire à l’Human Rights Act qui intègre en droit interne les Conventions internationales sur les droits de l’homme et la vie privée (10 juillet 2002, dataprotection.gov.uk).

Certes il ne sera pas facile pour les PSI de naviguer entre respect des données personnelles et de la vie privée et nouvelles exigences sécuritaires.

Le décret d’application de l’article 29 de la LSQ est donc à la fois attendu et redouté par les professionnels.

(19-08-2002)
Source : Me Martine Ricouart-Maillet & Nicolas Samarcq - Cabinet BRM Avocats