Loi Renseignement : l’avis de l’ARCEP sur le recueil des données de connexion

Début février, le gouvernement publiait au Journal officiel un des derniers décrets d’application de la loi Renseignement. Touchant au cœur du système de la surveillance, il a été accompagné d’une analyse de l’ARCEP.

Ce décret orchestre les liens entre les services du renseignement et les opérateurs. À cette fin, il décrit tout d'abord – par une liste presque interminable – ce que sont les données de connexion pouvant être aspirées par les nouveaux outils programmés par la loi. Seconde phase, il décrit la phase administrative de ces transferts qui peuvent être en temps différé, sur sollicitation du réseau, via l’opérateur, mais aussi, et c’est la grande nouveauté, en temps réel.

Le recueil en temps réel, direct, est possible à l’égard de toute personne présentant une menace terroriste, ou bien afin de déceler une telle menace en fouillant et analysant le big data des données de connexion. On trouvera dans cette nasse toutes les données permettant de localiser les équipements terminaux, celles relatives à l'accès des équipements terminaux aux réseaux ou aux services de communication au public en ligne, celles concernant l'acheminement des communications électroniques par les réseaux, l'identification et l'authentification d'un utilisateur, d'une connexion, d'un réseau ou d'un service de communication au public en ligne. Enfin, celles touchant aux caractéristiques des équipements terminaux et aux données de configuration de leurs logiciels.

Un rappel de base : le secret des correspondances

Invitée à donner son avis, l’Autorité de régulation des communications électroniques (ARCEP) a rappelé que les opérateurs sont aussi « tenus de veiller au respect du secret des correspondances ». Jamais, du coup, ces différents outils, lorsqu'ils sont  taillés pour les données de contenant, ne devraient permettre d’alpaguer les échanges et les informations consultés.

Voilà pour la théorie. En pratique, l’ARCEP estime qu’au regard de la rédaction du projet de décret qui lui avait été soumis, « il pourrait être délicat pour les opérateurs de communications électroniques, de déterminer de manière certaine » les informations et documents qui relèvent des métadonnées, et celles, en principe inaccessibles, qui touchent au contenu et aux informations consultées (URL, etc.). L'institution avait invité à cette fin le gouvernement à « définir précisément la nature des informations ou documents en cause », ce que l’exécutif a visiblement tenté de faire dans le texte publié au Journal officiel (nous prenons des pincettes, n'ayant pu comparer avec le projet de décret).

La question des coûts

Surtout, dans son rôle de compétence, l'autorité administrative rappelle que cet attirail sécuritaire va occasionner des coûts pour les opérateurs, pour lesquels le gouvernement devra veiller à une indemnisation « rapide et homogène ». Les opérateurs, ajoute-t-elle, « rencontrent parfois, avec certaines autorités administratives, des difficultés dans le paiement des sommes correspondantes ». Elle ne cite pas le cas Hadopi, mais difficile de ne pas penser au litige initié par SFR et Free : les deux FAI peinent à obtenir indemnisation des frais occasionnés par la riposte graduée, en raison du refus gouvernemental de publier le texte d’application huilant ces relations.

Enfin, l’ARCEP, gardien des télécoms, demande aux opérateurs de lui signaler toute « perturbation effective » liée à la mise en œuvre des outils de surveillance. Ce scénario est jugé peu probable « a priori », mais un message de prévention n’est jamais de trop...

L'avis de l'institution présidée par Sébastien Soriano est le seul publié. Celui de la CNIL et de la CNCTR, visés dans le décret, restent à ce jour non publics. Nous allons donc en demander communication au besoin via la CADA.