Après bien des efforts, la CNIL a bien voulu nous communiquer son avis sur le projet de décret relatif aux données de connexion qu’elle ne souhaitait pas diffuser d’elle-même, contrairement à l’ARCEP. Next INpact diffuse du coup ce document.
Le décret dont il est ici question est celui publié au Journal officiel le 31 janvier dernier. « Relatif aux techniques de recueil de renseignements », il touche au cœur du pouvoir de surveillance des services spécialisés revu et corrigé à la hausse par la loi Renseignement. Il définit notamment les phases administratives du recueil des données de connexion, tout en expliquant préalablement ce que sont ces fameuses métadonnées (voir notre actualité), à savoir tout sauf le contenu des échanges et les informations consultées.
L'avis publié de l'ARCEP, l'avis secret de la CNIL
Consultée sur le projet de décret, l’ARCEP a pris l’initiative de diffuser son avis sur le projet initial de ce texte. Même si sa plume est prudente et courtoise, le gendarme des télécoms l’égraine de quelques considérations épicées. Ainsi, pressés par les services du renseignement, les opérateurs auront parfois quelques difficultés à distinguer les données de contenant et celles de contenus. Autre chose, l’armada sécuritaire de la loi risque d’occasionner des coûts douloureux pour les Bouygues, Free, Numericable et autres Orange. En creux, l’ARCEP suggère à l’Intérieur de ne surtout pas suivre l’exemple du ministère de la Culture face à Hadopi. La Rue de Valois a en effet bataillé ferme pour éviter que les FAI perçoivent leur obole, en contrepartie de leur collaboration obligée dans la riposte graduée.
Bref. Un autre avis est visé dans cet important décret, c’est celui de la CNIL… qu’Isabelle Falque-Pierrotin n’a pas jugé utile de diffuser. Sollicités, ses services nous ont d’abord opposé un refus explicite au motif que « la CNIL s’est prononcée sur ce décret sur le fondement de l’article 11-4°-a) de la Loi Informatique et Libertés. Conformément aux dispositions de cet article, cet avis n’a pas vocation à être publié ». Circulez !
Seulement, l’article en cause indique que « [la CNIL] est consultée sur tout projet de loi ou de décret relatif à la protection des personnes à l'égard des traitements automatisés. À la demande du président de l'une des commissions permanentes prévue à l'article 43 de la Constitution, l'avis de la commission sur tout projet de loi est rendu public. »
Selon nous, rien n’interdit pareille publicité, du moins sur cette base. Certes, cette diffusion est parfois liée à la demande du président d’une des commissions permanentes, mais ce filtre ne concerne que les projets de loi, pas les projets de décret.
L'URL, une donnée révélant des informations consultées
Après insistance, nous avons donc pu obtenir non la publication, mais la communication de ce document. Avec une précision de rigueur : l'avis de la CNIL vise le projet de texte, lequel a pu connaître des modifications lors de sa publication au Journal officiel.
Mais que dit son avis ? La CNIL se plaint d’abord de la difficile « lisibilité » des nouveaux textes encadrant les pouvoirs des services du renseignement. Elle relève aussi que le projet de décret a élargi le périmètre des données de connexion pouvant être recueillies, notamment celles sur la géolocalisation des équipements, ou sur l’acheminement des communications électroniques.
Fait notable : la CNIL prend soin de considérer que l’URL est « porteuse par nature des informations consultées ». Inspirée par le Conseil constitutionnel dans sa QPC Quadrature du Net, FDN, FFDN, elle considère que l’adresse ne devrait donc pas être alpaguée par les services, sauf à faire l’objet préalablement d’une anonymisation. Contrairement à ce qu’affirmait le ministre de la Défense, les boites noires ne devraient donc pas permettre de renifler l’identité des personnes venant voir une décapitation sur site tel YouTube. Elle insiste en ce sens : « si elle est nécessaire à l’acheminement d’une communication, l’URL permet également de révéler des informations consultées ».
Autre chose, la CNIL estime que ces différents droits de regard des services ne doivent pas se muer en une obligation de conservation par les acteurs du Net et les opérateurs… Nous reviendrons plus en détail sur les remarques faites dans cet avis dans une prochaine actualité.
Commentaires (22)
Holala, on touche aux limites de la “démocratie a la Française” là, du bon boulot tout ça =)
Avec beaucoup de détermination derrière, j’en viens a penser que l’équipe de NextInpact doit surement être plus compétente sur le sujet que nos experts au gouvernement x)
Merci à la CNIL pour cet avis consultatif qui ira rejoindre les autres.
Profitons en pour rappeler les 3 fondamentaux de la gestion de crise:
J’vais relire ! J’ai l’impression qu’il y a du sarcasme dans vos propos.
" />
Le point de vue est pertinent et par la meme occasion rejoint la définition qui en est donnée sur le wiki. C’est toujours une pierre de plus a l’édifice, y reste plus qu’a y poser une couche de ciment
Polémiques à la française par Anne Roumanoff - jdd.fr 07/02/2016
Bien joué NXi
" />
Inpactient de voir la suite.
" />
" />
Merci.
Edit: Pfff qu’est-ce que c’est indigeste ce genre de document..
A force de répétition des mêmes processus d’enlisement, on finit tous par s’en rendre compte.
Le ministre va recevoir une délégation… Une écoute constructive… organiser une concertation… nommer un médiateur… mettre en place une commission…. remettre un rapport… étudier les propositions… annoncer des mesures…
Bref, l’immobilisme est en marche !
NXi ou l’art de malaxer les textes pour n’en faire ressortir que leur vision des choses.
Marrant comme le “A la demande du président d’une des commissions” a été expédié très vite dans la conversation. Tout cela pour donner un beau titre racoleur: car en l’état la CNIL n’a pas aucune obligation de publication (sinon on peut être sur que NXi nous l’aurait rabaché plus d’une fois dans l’article).
Pour en revenir à l’avis de la CNIL, il serait intéressant aussi de voir si les recommandations/questionnements par rapport au projet de décret ont été “entendus” pour aucun, pour certains d’entre eux ou pour tous (même s’il ne faut pas rêver)
« car en l’état la CNIL n’a pas aucune obligation de publication (sinon on peut être sur que NXi nous l’aurait rabaché plus d’une fois dans l’article). »
Pourtant, l’article de Next Inpact indique : « Seulement, l’article en causeindique que « [la CNIL] est consultée sur tout projet de loi ou de décret relatif à la protection des personnes à l’égard des traitements automatisés. À la demande du président de l’une des commissions permanentes prévue à l’article 43 de la Constitution, l’avis de la commission sur tout projet de loi est rendu public. » »
“A la demande…” ce n’est donc en rien une obligation.
Tu reproches à Next Inpact son reproche à la CNIL de ne pas être suffisamment transparente et dans un second temps, tu souhaiterais savoir si l’avis de la CNIL a été suivi par l’Autorité éxécutive (la Présidence de la République et le Gouvernement). Ca me paraît assez paradoxal.
L’avis de la CNIL est un document administratif et, de ce fait, en principe, sa transmission à un citoyen qui en fait la demande est obligatoire (sauf rares exceptions).
Alors que reproches-tu à Next Inpact ? De parler de ses difficultés dans sa recherche d’informations ? S’il faut menacer de procédure CADA à chaque fois qu’on demande un document à l’administration, c’est normal d’après toi ?
Et quand on sait qu’il est prévu de fusionner CADA et CNIL parce que, soit-disant leurs rôles sont complémentaires, personnellement ça m’inquiète pour la transparence future de la CNIL
source : Le gouvernement lance le rapprochement CNIL/CADA
Carbier ou l’art de malaxer les actus pour n’en faire ressortir que sa vision des choses
la je vais la jouer très gros con et très anglo saxon,
" />
à la demande, ouais, la notre contribuable du privé, générant de la plus valus qui permet d’être taxée pour alimenter les salaires du public.
la cnil, organisme payé avec les impôts du privé, ce sont donc MES employés, et j’aimerais bien voir comment TOI dans ta boite tu dis à ton patron, bun j’ai fait un boulot, mais je vous le montre pas…