Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Un FAI agacé du silence de la CNIL sur les abus de droit de communication

Avant Prism

Un FAI agacé du silence de la CNIL sur les abus de droit de communication

Le 22 novembre 2013 à 15h20

Agacé, cet opérateur ! Alors que la CNIL a montré ses muscles face à l’ampleur du scandale PRISM, l’un des principaux fournisseurs d’accès français a écrit à la Commission Informatique et Liberté pour lui réclamer un avis sur le droit de communication dont dispose l’administration, droit qui le place, selon lui, dans une situation intenable.

réseau

 

Le 24 octobre dernier, la CNIL publiait un communiqué pour décrire ses différentes actions face à l’affaire PRISM. « Si la lutte contre le terrorisme ou certaines menaces à l'ordre public peuvent justifier des atteintes ponctuelles et ciblées à la vie privée des personnes, la CNIL rappelle que, dans un État de droit, aucune considération ne saurait justifier une surveillance généralisée et indifférenciée de la population, pas plus que la " mécanisation " de cette surveillance par une aspiration automatique des données » exposait sans rondeur la Commission informatique et libertés, qui évoquait alors une violation de la vie privée « d'une ampleur inédite ».

 

Elle rappelait alors les discussions en cours dans le cadre du projet de règlement européen sur la protection des données personnelles, soulignant qu’elle milite pour que « tout transfert de données relatives à des citoyens européens à la demande d'États tiers soit subordonné à l'autorisation des autorités des pays des citoyens concernés ». Elle demandait par ailleurs la nécessité d'un accord intergouvernemental pour encadrer ces échanges de données.

 

Surtout la CNIL faisait état d’un courrier adressé à l’exécutif, spécialement aux ministres de l'Intérieur et de la Défense, « sur l'éventuelle existence d'un programme français similaire au programme Prism, qui serait ainsi réalisé en dehors du cadre juridique prévu par le législateur ». Elle regrettait par la même occasion qu’à ce jour, « la loi du 6 janvier 1978 ne permet pas à la CNIL de contrôler, de manière générale, les fichiers de renseignement. La CNIL a donc proposé au Gouvernement de renforcer son pouvoir de contrôle en la matière, selon des modalités adaptées à la nécessité de protéger les secrets attachés à ces activités. »

 

Mais alors que la CNIL s’inquiète l’existence d’un potentiel Prism français, un des principaux fournisseurs d’accès français s’inquiète lui du profond silence de cette même commission.

 

Et pour cause, cet opérateur a alerté la Commission en novembre 2012 sur la conception extensive du droit de communication dont font preuve certaines administrations. Une mesure qui rappelle qu’en France comme ailleurs, ces types d’indiscrétions viennent avant tout de l’État, non des intermédiaires techniques.

Le droit de communication de l'administration sur les opérateurs

En France, l’administration a le pouvoir de réclamer, sans passage préalable devant un juge, le transfert de plusieurs données loguées par les opérateurs, lesquelles doivent être anonymisées au bout d'un an. Il s’agit des données techniques de connexion (où, à quelle heure, sous quel numéro ou IP, l’abonné s’est-il connecté, etc.) et de facturation (référence du contrat, l’adresse de l’abonné, ses coordonnées bancaires...). Ces informations peuvent être sollicitées par des OPJ mais aussi par des administrations (l’Autorité des marchés financiers, les douanes, le fisc, l’Hadopi, les organismes sociaux) ou le Groupement interministériel de contrôle qui, sur contrôle du premier ministre, centralise et valide les demandes de l'administration pour des volets sensibles (contre-espionnage, fisc, douanes, blanchiment).

 

Si la CNIL pose la question d’un potentiel Prism français, le FAI marque du coup son étonnement sur la grande liberté dont bénéficient les administrations avec ce droit de communication « à notre connaissance, aucun contrôle n’existe sur les modalités d’exploitation par l’administration des données ainsi obtenues qui au titre notamment des dispositifs de coopération internationale, peuvent être susceptibles d’être partagés avec d’autres États ». De même, l’opérateur dénonce la dégénérescence de ce droit de communication chez les administrations et autorités qui ont tendance à avoir « une interprétation extensive [de ce droit] en vue d’obtenir des détails de trafic tels que la liste des appels entrants et sortants, ainsi que les SMS et/ou courriers électroniques. »

Avant l'affaire Prism

Dans un nouveau courrier adressé le 25 octobre, ce FAI s’adresse ainsi à la présidente de la CNIL, Isabelle Falque-Perrotin : « vos préoccupations exprimées quant à l’éventualité d’un « Prism français », pour reprendre vos propres termes, rejoignent celles que nous exprimions bien avant que l’opinion publique découvre l’étendue des pratiques alléguées ».

 

Il reformule ainsi la problématique : est-ce que oui ou non, en dehors des cas prévus par le Code de la sécurité intérieur, un opérateur est tenu « de communiquer à une autorité administrative se prévalant de dispositions législatives lui octroyant un droit de communication des données de trafic telles la liste des appels téléphoniques entrants d’un abonné, la liste des SMS émis et reçus, la liste des courriers électroniques envoyés et reçus. »

 

Dénonçant l’ambiguïté de ces pratiques, et en creux le silence de la CNIL, ce même FAI rappelle la situation intenable : si les intermédiaires communiquent ces infos touchant aux données de trafic, ils sont susceptibles de tomber sous le coup de l’article L226-22 du Code pénal (5 ans de prison et 300 000 euros d’amende pour avoir porté à la connaissance de tiers des données personnelles dont la divulgation porte atteinte à la vie privée). S’ils refusent de communiquer, ils sont susceptibles d’être poursuivis pour entrave aux missions d’enquête de l’administration (2 ans de prison et 300 000 euros d’amende en matière financière par exemple). Ajoutons à cela l'article 34-bis de la loi CNIL qui oblige les opérateurs télécoms à alerter sans délai la CNIL d'une violation de données à caractère personnel ou touchant à la vie privée...

La loi  de programmation militaire

Ces problématiques ne sont pas étrangères à l’actualité parlementaire et spécialement à l’examen des députés du projet de loi de programmation militaire.

 

Le texte muscle et étend en effet le régime d’exception mis en œuvre avec la loi antiterrorisme de 2006 en matière d’accès aux données des utilisateurs. Comme l’a pointé l’ASIC, l’association des acteurs du web communautaire, au rang desquels on trouve Google et Microsoft entre autres, le texte étend le régime du droit de communication sans intervention du juge à de nombreuses administrations, dont celles relevant de Bercy, même dans le cadre la prévention de la criminalité.

 

Mieux, comme décrit dans nos colonnes, le texte permettra à ces acteurs d’avoir un accès en « temps réel » via une « sollicitation du réseau » à de nombreuses données détenues par les opérateurs. « Alors que jusqu’à présent, toute réquisition judiciaire devait être adressée à l’intermédiaire technique, la loi souhaite offrir à ces autorités la possibilité d’accéder “sur sollicitation du réseau et transmises en temps réel” aux données de l’ensemble des utilisateurs Internet. Est-ce que cette “sollicitation du réseau” signifie que les autorités souhaitent donner un cadre juridique à une “interconnexion directe” sur les réseaux ? »

 

L’Asic regrette surtout qu’« il n’existe pas à ce jour de réelle photographie transparente de la manière dont l’ensemble des dispositifs juridiques a été mis en oeuvre sur le territoire français. Il n’existe pas non plus de transparence sur les volumes de réquisitions réalisées chaque année par les autorités françaises auprès des intermédiaires de l’internet. Alors que la société civile et de nombreux acteurs s’alarment des révélations quotidiennes en la matière, il est inconcevable que le Gouvernement français se lance dans cette course effrénée à généraliser des régimes d’exception offrant à de nombreuses administrations un accès en temps réels aux données d’internautes. »

 

L’association en vient du coup à réclamer un moratoire avant l’adoption de nouveaux pouvoirs d’accès aux données d’internautes. « Face à l’inaction de la CNIL, il est urgent que le Ministère de la Justice, lui-même, lance immédiatement un audit complet du cadre juridique existant, de la manière dont ce cadre juridique est mis en oeuvre par les autorités et sur l’étendue du respect des droits et libertés individuelles. »

Commentaires (23)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Et qui est l’heureux gagnant <img data-src=" />

votre avatar

On nage en effet dans un brouillard épais : qu’est-ce qui est autorisé, et jusqu’où ?



On n’a pas le droit de tracer les gens, mais il faut dévoiler les données pour la sécurité intérieure, il faut respecter la vie privée mais être à la disposition de Hadopi et le CSA…



On vit une époque formidable ! <img data-src=" />

votre avatar

Aucune chance que ce soit Orange, je me trompe ?



SFR, peu probable aussi, encore que ?



Reste Free ou Bouygues…

votre avatar







tybreizh a écrit :



Aucune chance que ce soit Orange, je me trompe ?



SFR, peu probable aussi, encore que ?



Reste Free ou Bouygues…





Bouygues, j’ai des doutes également.



J’ai pensé à OVH, mais il est dit “un des principaux fournisseurs d’accès français”, donc ça ne colle pas.


votre avatar

”..une aspiration automatique des données » ..



salut

plus besoin de se fatigués à surveiller les données informatiques, les robots s’en chargent ..pour eux* !



* ET, ils font quoi, de leurs temps libres ? <img data-src=" />

votre avatar







tybreizh a écrit :



Aucune chance que ce soit Orange, je me trompe ?



SFR, peu probable aussi, encore que ?



Reste Free ou Bouygues…





Ou OVH ? <img data-src=" />


votre avatar

Cet article permettra au moins de mettre la pression sur la CNIL; et je ne vais pas me priver de le partager sur tous mes réseaux.



Il faut que ça bouge!



Merci PCI <img data-src=" />

votre avatar



L’Asic regrette surtout qu’« il n’existe pas à ce jour de réelle photographie transparente de la manière dont l’ensemble des dispositifs juridiques a été mis en oeuvre sur le territoire français. Il n’existe pas non plus de transparence sur les volumes de réquisitions réalisées chaque année par les autorités françaises auprès des intermédiaires de l’internet

,

Aucune « transparence » ne verra le jour, et pour cause : la transparence n’est pa rentable, parce qu’encadrée par des lois. L’idéal est l’opacité, permettant de confondre les pédo-nazis-terroristes-téléchargeurs, et accessoirement de disposer de fichiers sur tout le monde en réalité, mis à disposition contre bonne rétribution à des multinationales qui sauront quoi en faire, et tout le monde est content.



Tout le monde est soupçonné, un peu comme l’automobiliste aux radars de tronçons, dont les données sont gardées x temps, même s’il n’a rien fait d’illicite. Il faut juste croiser les doigts pour qu’un bogue malencontreux ne vienne foutre en l’air sa vie, un peu comme avec les doublettes de plaques : que le mec se démerde avec l’Administration après ça.

votre avatar

”..fatiguer”



voilà, c’est mieux, je préfère !

(un homme peut pas faire 2 choses à la fois : “discuter ET écrire”) ..lol ! <img data-src=" />

votre avatar







paradise a écrit :



,

Aucune « transparence » ne verra le jour, et pour cause : la transparence n’est pa rentable, parce qu’encadrée par des lois. L’idéal est l’opacité, permettant de confondre les pédo-nazis-terroristes-téléchargeurs, et accessoirement de disposer de fichiers sur tout le monde en réalité, mis à disposition contre bonne rétribution à des multinationales qui sauront quoi en faire, et tout le monde est content.



Tout le monde est soupçonné, un peu comme l’automobiliste aux radars de tronçons, dont les données sont gardées x temps, même s’il n’a rien fait d’illicite. Il faut juste croiser les doigts pour qu’un bogue malencontreux ne vienne foutre en l’air sa vie, un peu comme avec les doublettes de plaques : que le mec se démerde avec l’Administration après ça.





L’usurpation d’identité de manière plus générique est une vraie plaie pour la victime…<img data-src=" />


votre avatar







MasterDav a écrit :



Ou OVH ? <img data-src=" />





T’arrives à faire des barbecue avec ce temps, toi ? <img data-src=" />


votre avatar







paradise a écrit :



On nage en effet dans un brouillard épais : qu’est-ce qui est autorisé, et jusqu’où ?



On n’a pas le droit de tracer les gens, mais il faut dévoiler les données pour la sécurité intérieure, il faut respecter la vie privée mais être à la disposition de Hadopi et le CSA…



On vit une époque formidable ! <img data-src=" />





+1


votre avatar







ActionFighter a écrit :



T’arrives à faire des barbecue avec ce temps, toi ? <img data-src=" />



<img data-src=" />En tout juste une minute <img data-src=" />


votre avatar







feuille_de_lune a écrit :



L’usurpation d’identité de manière plus générique est une vraie plaie pour la victime…<img data-src=" />





La faute à qui ?



À l’usurpateur, certes, mais aussi à une Administration qui préfère considérer le propriétaire de la CG comme responsable, et à l’automatisation du PV sans se donner la peine d’identifier l’auteur du délit, un comble !



Qui conduisait ? On s’en fout ! Au proprio de la CG de mener l’enquête, trouver les preuves de son innocence et la culpabilité de l’autre, ou que ce n’est pas sa voiture, qu’il était absent, etc…. <img data-src=" /> Pareil pour les papiers d’dentité : même une fois prouvé que le gars n’est pas celui qui a procédé à un achat, il est toujours interdit bancaire !



Donc, d’un côté on bafoue les droits à la vie privée du pékin moyen pour un rien et à des fins douteuses, et d’un autre côté pour le disculper, point d’enquête, il est livré à lui-même §



Ah ben oui, là ça coûte d’innocenter un homme, mais le rendre coupable ça rapporte et c’est automatique, pas de frais de personnel !



C’est bien que la police ne fait plus son travail, ni même la Justice ; tous coupables, allez hop ! <img data-src=" />


votre avatar







tybreizh a écrit :



Aucune chance que ce soit Orange, je me trompe ?



SFR, peu probable aussi, encore que ?



Reste Free ou Bouygues…





Free, ça leur coûte de l’argent alors ils veulent être sûrs de ne faire que le strict nécessaire.



<img data-src=" />


votre avatar







paradise a écrit :



La faute à qui ?



À l’usurpateur, certes, mais aussi à une Administration qui préfère considérer le propriétaire de la CG comme responsable, et à l’automatisation du PV sans se donner la peine d’identifier l’auteur du délit, un comble !



Qui conduisait ? On s’en fout ! Au proprio de la CG de mener l’enquête, trouver les preuves de son innocence et la culpabilité de l’autre, ou que ce n’est pas sa voiture, qu’il était absent, etc…. <img data-src=" /> Pareil pour les papiers d’dentité : même une fois prouvé que le gars n’est pas celui qui a procédé à un achat, il est toujours interdit bancaire !



Donc, d’un côté on bafoue les droits à la vie privée du pékin moyen pour un rien et à des fins douteuses, et d’un autre côté pour le disculper, point d’enquête, il est livré à lui-même §



Ah ben oui, là ça coûte d’innocenter un homme, mais le rendre coupable ça rapporte et c’est automatique, pas de frais de personnel !



C’est bien que la police ne fait plus son travail, ni même la Justice ; tous coupables, allez hop ! <img data-src=" />





On bascule dans une vision seulement économique et neglige completement l’être humain … Et on se dit dans le pays des droit de l’homme ?<img data-src=" />


votre avatar

La politique, c’est comme un système d’exploitation : on fait x Mises à Jour, mais il arrive un moment où il faut ré-installer le système pour obtenir quelque chose de propre et qui tourne bien ! <img data-src=" />



Eh bien en politique il faut faire une révolution et on recommence tout, en remettant tout à plat et en refixant des règles de démocratie, des limites dans les écarts de richesse dans une société équilibrée, en ré-évaluant des pouvoirs avec des contre-pouvoirs. <img data-src=" />

votre avatar







feuille_de_lune a écrit :



On bascule dans une vision seulement économique et neglige completement l’être humain … Et on se dit dans le pays des droit de l’homme ?<img data-src=" />





Tout àa fait.



Voilà qui mène à la double peine pour… la victime : victime d’un usurpateur, et victime de l’Administration qui s’acharne sur lui, c’est insensé, et je pense que ça va s’aggraver avec l’automatisation des PV, que ce soit pour la route ou n’importe où ailleurs et dans toutes les circonstances.



On aimerait voir le même zèle pour espionner les gens, les tracer, les identifier, leur piquer leurs données persos, être au service de la Justice, du rétablissement des droits des gens à être innocentés, et donc de l’identification des vrais auteurs physiques des délits/crimes.


votre avatar







yeti4 a écrit :



“..une aspiration automatique des données » ..



salut

plus besoin de se fatigués à surveiller les données informatiques, les robots s’en chargent ..pour eux* !



* ET, ils font quoi, de leurs temps libres ? <img data-src=" />







du VPinMAME bien évidemment :)

JPSalas, meilleur ami des datamineurs du renseignement depuis 2004


votre avatar







tybreizh a écrit :



Aucune chance que ce soit Orange, je me trompe ?



SFR, peu probable aussi, encore que ?



Reste Free ou Bouygues…





Pourtant ça pourrait bien être le cas, car il y a aussi un business international avec OBS.


votre avatar

Vous pouvez aussi ajouter à la liste des lois en contraduction l’article 9 du code civil : “Chacun a droit au respect de sa vie privée.”



Et tant que j’y suis : “Le but de toute association politique est la conservation des droits naturels et imprescriptibles de l’homme. Ces droits sont la liberté, la propriété, la sûreté et la résistance à l’oppression.”

votre avatar

L’avenir est au ticket de rationnement (catastrophes naturelles en expansion, malgré les optimistes des dollars dans leurs poches) , il faudra bientôt serrer la ceinture, les données deviendront obsolètes, sauf pour nous fliquer. <img data-src=" />

votre avatar

C’est marrant quand on lit l’article on se croirait dans un pays totalitaire… alors qu’en France, on n’est pas dans un pays totalitaire, hein?! Ou alors on nous fait le coup du Canada Dry?! On a la couleur d’une république démocratique, on en a le goût, mais au final, on n’en n’est pas (plus) une?!



De toute façon le sécuritaire à outrance ne peut amener qu’au totalitarisme… On surveille tout, on contrôle tout, mais dormez brave gens, c’est pour votre bien… bon parfois peut y avoir des petits loupés hein, faut pas nous en vouloir… et puis bon parfois, on peut aussi el faire exprès… mais ça c’est une autre histoire, chut!

Un FAI agacé du silence de la CNIL sur les abus de droit de communication

  • Le droit de communication de l'administration sur les opérateurs

  • Avant l'affaire Prism

  • La loi  de programmation militaire

Fermer