3
http://www.lemonde.f...1-886229,0.html
Citation
L'Etat veut-il tuer Internet en France ?, par Philippe Jannet
LE MONDE | 20.04.07 | 13h22 • Mis à jour le 20.04.07 | 13h22
Discrètement, en marge de la campagne, le gouvernement prépare un décret qui, s'il était appliqué, tuerait l'Internet "made in France". En effet, sous prétexte de surveiller au plus près les internautes, un décret d'application de la loi sur la confiance dans l'économie numérique du 21 juin 2004, exige que les éditeurs de sites, les hébergeurs, les opérateurs de téléphonie fixe et mobile et les fournisseurs d'accès à Internet, conservent toutes les traces des internautes et des abonnés au mobile, pour les délivrer à la police judiciaire ou à l'Etat, sur simple demande.
Au-delà du coût incroyable que cette conservation représenterait, cette mesure ne pourrait que déclencher une défiance immédiate des Français à l'égard de leur téléphone mobile ou fixe, comme à l'égard des acteurs français d'Internet, assassinant instantanément l'économie numérique française, pourtant décrite comme stratégique par nos chers candidats.
Le décret en préparation exprime le fantasme "Big Brother" : tout savoir sur tout et tous, même l'impossible. Selon ce texte, les opérateurs téléphoniques, les fournisseurs d'accès à Internet, les hébergeurs et les responsables de services en ligne (sites Web, blogs, etc.), devraient conserver pendant un an à leurs frais toutes les coordonnées et traces invisibles que laissent les utilisateurs lors d'un abonnement téléphonique ou à Internet, lors de leurs déplacements avec un téléphone allumé, lors de chaque appel ou de chaque connexion à Internet, de chaque diffusion ou consultation sur le Web d'un article, d'une photo, d'une vidéo, ou lors de chaque contribution à un blog.
En substance, devraient être conservés les mots de passe, "pseudos", codes d'accès confidentiels et autres identifiants, numéros de carte bancaire, détails de paiement, numéros de téléphone, adresses e-mail, adresses postales, le numéro de l'ordinateur ou du téléphone utilisé, le moyen d'accès à un réseau, les date et heure d'appel, de connexion et de chacune de leurs consultations ou contributions sur un site Internet.
A tant vouloir être exhaustif, le texte imposerait d'identifier quiconque, en France, aura mis en ligne, modifié ou supprimé une virgule dans son blog, un "chat", ou sur le Web. Techniquement, on peut, certes, tenter de savoir qui s'est connecté à un site et constater sur Internet ce qu'il diffuse à un instant donné.
Mais en cherchant à conserver la trace de la publication d'un contenu qui aura, par la suite, été retiré, le texte impose de facto de mémoriser systématiquement tout ce qui est mis en ligne, modifié et supprimé sur "l'Internet français". De l'avis unanime des spécialistes, c'est économiquement et techniquement impossible. Même les Etats-Unis de George W. Bush et leur "Patriot Act" post-11-Septembre n'ont jamais envisagé pareille conservation ou réglementation, qui soulèverait sans doute l'opinion publique américaine d'aujourd'hui, mais s'opère sans bruit en France.
Le coût, aussi bien pénal qu'économique, d'un tel dispositif serait colossal pour la France. En cas de résistance, ou juste de passivité, la sanction encourue est lourde : les fournisseurs d'accès à Internet ou les sites Internet français qui ne conserveraient pas toutes ces données seront passibles de 375 000 euros d'amende et leurs dirigeants, d'un an d'emprisonnement et 75 000 euros d'amende, sans compter la fermeture de l'entreprise, l'interdiction d'exercer une activité commerciale, etc.
Lors d'une réunion organisée en catimini le 8 mars 2007 par les ministères de l'intérieur et des finances - le ministère de la justice jouait, une nouvelle fois, les absents -, certains professionnels ont fait valoir, notamment, que cette conservation leur coûterait très cher en stockage informatique et en moyens humains. De plusieurs dizaines de milliers à plusieurs millions d'euros par an de perte nette.
Pourtant, la plupart des sites Web, les Web radios, les blogs, la vidéo à la demande ou mobile, sont encore en quête d'un modèle économique pérenne. Déjà insécurisée par la complexité des enjeux de propriété intellectuelle, l'économie numérique de demain - celle du contenu et pas seulement de l'accès - serait encore fragilisée par une telle surenchère réglementaire franco-française.
En imposant aux entreprises françaises d'être des auxiliaires de justice ou des "indics", l'Etat fragilise tout un pan de l'économie de demain et de la démocratie d'aujourd'hui, en favorisant qui plus est, la domination déjà outrancière des grands acteurs internationaux de l'Internet, qui ne seront pas impactés à l'étranger. Jusqu'alors, seuls les fournisseurs français d'accès à l'Internet et hébergeurs étaient soumis à cette exigence et l'Etat, qui avait promis des compensations financières aux coûts induits par une surveillance des moindres faits et gestes de leurs clients, met tant de mauvaise grâce à s'acquitter des indemnités dues que certains d'entre eux ont renoncé à en réclamer le règlement, préférant envisager la délocalisation pure et simple de leurs activités...
Ces menaces proférées par quelques poids lourds de l'Internet en France font sourire Bercy, qui semble n'avoir pas encore compris qu'Internet est un réseau mondial dont de nombreux prestataires peuvent s'établir et payer leurs impôts presque où bon leur semble.
Il reste que la confusion des genres est totale. Toutes les données conservées seraient accessibles à la police administrative (RG, DST, etc.) comme à la police judiciaire, pendant un an. Les réquisitions administratives pour la "prévention du terrorisme" seraient également conservées un an dans des fichiers tenus par les ministères de l'intérieur et de la défense. Les réponses à ces mêmes réquisitions - nos traces, donc - seraient, pour leur part, conservées pendant trois ans supplémentaires et communicables à la police judiciaire.
Ainsi, des données récoltées sur la base de requêtes administratives initialement motivées par la prévention du terrorisme pourraient se retrouver dans le dossier d'un juge d'instruction en charge d'une affaire de droit à l'image, de diffamation ou de contrefaçon, par exemple, sans que les personnes mises en cause par des traces informatiques vieilles de 4 ans, puissent connaître - ni contester - l'origine ou la pertinence de ces données, ni le contexte dans lequel elles avaient été recueillies, en dehors de toute procédure judiciaire, sans magistrat ni contradictoire, quatre ans auparavant.
Ce projet de décret constitue donc une véritable menace de mort. Il est inquiétant pour trois raisons essentielles. D'abord, le coût. A vouloir faire conserver et restituer par les entreprises, sous peine d'investissements à perte, de prison et d'amendes, des traces qu'elles n'ont pas de raisons ou de possibilité d'avoir, la France créerait une distorsion de concurrence au détriment de sa propre économie numérique, pourtant motrice de notre croissance. Un internaute choisira plus aisément un site non surveillé qu'un site français pour s'informer, même s'il n'a rien à craindre de sa recherche.
Ensuite, la confusion entre le renseignement d'Etat et la justice, qui relègue la séparation des pouvoirs au rang de fiction juridique. Enfin, le risque qu'un tel dispositif ferait peser sur la régularité des procédures judiciaires au regard de notre procédure pénale. C'est-à-dire le risque de priver une politique de sécurité de toute efficacité.
Certes, le gouvernement consultera la CNIL, brandie en épouvantail par les ministères. Mais l'avis de celle-ci, même défavorable, sera dépourvu du moindre effet juridique depuis la refonte de la loi informatique et libertés intervenue en 2004. Certes, l'équilibre entre sécurité, croissance, libertés et efficacité est complexe. Au demeurant, aucune de ces valeurs ne s'illustre dans ce projet de décret, dont la rédaction est aujourd'hui laissée à un consensus entre technocrates et techniciens qui, quels que soient les résultats des échéances électorales, seront encore là demain.
Ce qui pourrait n'être qu'un décret illisible de plus est aujourd'hui une menace de mort pour le développement du numérique en France et pour tous les acteurs concernés de près ou de loin par celui-ci, de la presse aux blogueurs, en passant par la grande distribution, les opérateurs de téléphonie, les fournisseurs de logiciels, les fabricants d'ordinateurs, etc.
Sous prétexte de lutter contre la menace réelle du terrorisme, l'Etat français prend - comme aucun autre - le risque de tuer une part non négligeable de l'avenir du pays, sans aucun état d'âme et dans le silence assourdissant d'une campagne présidentielle omniprésente sur Internet, mais muette sur le développement de l'Internet.
Philippe Jannet est président du Groupement des éditeurs de sites en ligne (Geste).
Le Geste regroupe les principaux éditeurs de sites en ligne français, qu'il s'agisse de portails généralistes (Yahoo ! France, Google), d'organismes ou d'entreprises (INA, UFC Que choisir, Manpower, Comareg, France Télécom, Bouygues Télécom, etc.), ou encore de sites de chaînes de télévision (TF1, France télévision, M6, etc.), de radios (Radio France, Skyrock, RTL, RFI, etc.), d'agences (AFP), de journaux (Le Figaro, Les Echos, Libération, Le Monde, L'Equipe, Le Point, L'Express, Le Nouvel Observateur, Le Parisien et les journaux du groupe Hachette Filipacchi Multimedia, etc.).
LE MONDE | 20.04.07 | 13h22 • Mis à jour le 20.04.07 | 13h22
Discrètement, en marge de la campagne, le gouvernement prépare un décret qui, s'il était appliqué, tuerait l'Internet "made in France". En effet, sous prétexte de surveiller au plus près les internautes, un décret d'application de la loi sur la confiance dans l'économie numérique du 21 juin 2004, exige que les éditeurs de sites, les hébergeurs, les opérateurs de téléphonie fixe et mobile et les fournisseurs d'accès à Internet, conservent toutes les traces des internautes et des abonnés au mobile, pour les délivrer à la police judiciaire ou à l'Etat, sur simple demande.
Au-delà du coût incroyable que cette conservation représenterait, cette mesure ne pourrait que déclencher une défiance immédiate des Français à l'égard de leur téléphone mobile ou fixe, comme à l'égard des acteurs français d'Internet, assassinant instantanément l'économie numérique française, pourtant décrite comme stratégique par nos chers candidats.
Le décret en préparation exprime le fantasme "Big Brother" : tout savoir sur tout et tous, même l'impossible. Selon ce texte, les opérateurs téléphoniques, les fournisseurs d'accès à Internet, les hébergeurs et les responsables de services en ligne (sites Web, blogs, etc.), devraient conserver pendant un an à leurs frais toutes les coordonnées et traces invisibles que laissent les utilisateurs lors d'un abonnement téléphonique ou à Internet, lors de leurs déplacements avec un téléphone allumé, lors de chaque appel ou de chaque connexion à Internet, de chaque diffusion ou consultation sur le Web d'un article, d'une photo, d'une vidéo, ou lors de chaque contribution à un blog.
En substance, devraient être conservés les mots de passe, "pseudos", codes d'accès confidentiels et autres identifiants, numéros de carte bancaire, détails de paiement, numéros de téléphone, adresses e-mail, adresses postales, le numéro de l'ordinateur ou du téléphone utilisé, le moyen d'accès à un réseau, les date et heure d'appel, de connexion et de chacune de leurs consultations ou contributions sur un site Internet.
A tant vouloir être exhaustif, le texte imposerait d'identifier quiconque, en France, aura mis en ligne, modifié ou supprimé une virgule dans son blog, un "chat", ou sur le Web. Techniquement, on peut, certes, tenter de savoir qui s'est connecté à un site et constater sur Internet ce qu'il diffuse à un instant donné.
Mais en cherchant à conserver la trace de la publication d'un contenu qui aura, par la suite, été retiré, le texte impose de facto de mémoriser systématiquement tout ce qui est mis en ligne, modifié et supprimé sur "l'Internet français". De l'avis unanime des spécialistes, c'est économiquement et techniquement impossible. Même les Etats-Unis de George W. Bush et leur "Patriot Act" post-11-Septembre n'ont jamais envisagé pareille conservation ou réglementation, qui soulèverait sans doute l'opinion publique américaine d'aujourd'hui, mais s'opère sans bruit en France.
Le coût, aussi bien pénal qu'économique, d'un tel dispositif serait colossal pour la France. En cas de résistance, ou juste de passivité, la sanction encourue est lourde : les fournisseurs d'accès à Internet ou les sites Internet français qui ne conserveraient pas toutes ces données seront passibles de 375 000 euros d'amende et leurs dirigeants, d'un an d'emprisonnement et 75 000 euros d'amende, sans compter la fermeture de l'entreprise, l'interdiction d'exercer une activité commerciale, etc.
Lors d'une réunion organisée en catimini le 8 mars 2007 par les ministères de l'intérieur et des finances - le ministère de la justice jouait, une nouvelle fois, les absents -, certains professionnels ont fait valoir, notamment, que cette conservation leur coûterait très cher en stockage informatique et en moyens humains. De plusieurs dizaines de milliers à plusieurs millions d'euros par an de perte nette.
Pourtant, la plupart des sites Web, les Web radios, les blogs, la vidéo à la demande ou mobile, sont encore en quête d'un modèle économique pérenne. Déjà insécurisée par la complexité des enjeux de propriété intellectuelle, l'économie numérique de demain - celle du contenu et pas seulement de l'accès - serait encore fragilisée par une telle surenchère réglementaire franco-française.
En imposant aux entreprises françaises d'être des auxiliaires de justice ou des "indics", l'Etat fragilise tout un pan de l'économie de demain et de la démocratie d'aujourd'hui, en favorisant qui plus est, la domination déjà outrancière des grands acteurs internationaux de l'Internet, qui ne seront pas impactés à l'étranger. Jusqu'alors, seuls les fournisseurs français d'accès à l'Internet et hébergeurs étaient soumis à cette exigence et l'Etat, qui avait promis des compensations financières aux coûts induits par une surveillance des moindres faits et gestes de leurs clients, met tant de mauvaise grâce à s'acquitter des indemnités dues que certains d'entre eux ont renoncé à en réclamer le règlement, préférant envisager la délocalisation pure et simple de leurs activités...
Ces menaces proférées par quelques poids lourds de l'Internet en France font sourire Bercy, qui semble n'avoir pas encore compris qu'Internet est un réseau mondial dont de nombreux prestataires peuvent s'établir et payer leurs impôts presque où bon leur semble.
Il reste que la confusion des genres est totale. Toutes les données conservées seraient accessibles à la police administrative (RG, DST, etc.) comme à la police judiciaire, pendant un an. Les réquisitions administratives pour la "prévention du terrorisme" seraient également conservées un an dans des fichiers tenus par les ministères de l'intérieur et de la défense. Les réponses à ces mêmes réquisitions - nos traces, donc - seraient, pour leur part, conservées pendant trois ans supplémentaires et communicables à la police judiciaire.
Ainsi, des données récoltées sur la base de requêtes administratives initialement motivées par la prévention du terrorisme pourraient se retrouver dans le dossier d'un juge d'instruction en charge d'une affaire de droit à l'image, de diffamation ou de contrefaçon, par exemple, sans que les personnes mises en cause par des traces informatiques vieilles de 4 ans, puissent connaître - ni contester - l'origine ou la pertinence de ces données, ni le contexte dans lequel elles avaient été recueillies, en dehors de toute procédure judiciaire, sans magistrat ni contradictoire, quatre ans auparavant.
Ce projet de décret constitue donc une véritable menace de mort. Il est inquiétant pour trois raisons essentielles. D'abord, le coût. A vouloir faire conserver et restituer par les entreprises, sous peine d'investissements à perte, de prison et d'amendes, des traces qu'elles n'ont pas de raisons ou de possibilité d'avoir, la France créerait une distorsion de concurrence au détriment de sa propre économie numérique, pourtant motrice de notre croissance. Un internaute choisira plus aisément un site non surveillé qu'un site français pour s'informer, même s'il n'a rien à craindre de sa recherche.
Ensuite, la confusion entre le renseignement d'Etat et la justice, qui relègue la séparation des pouvoirs au rang de fiction juridique. Enfin, le risque qu'un tel dispositif ferait peser sur la régularité des procédures judiciaires au regard de notre procédure pénale. C'est-à-dire le risque de priver une politique de sécurité de toute efficacité.
Certes, le gouvernement consultera la CNIL, brandie en épouvantail par les ministères. Mais l'avis de celle-ci, même défavorable, sera dépourvu du moindre effet juridique depuis la refonte de la loi informatique et libertés intervenue en 2004. Certes, l'équilibre entre sécurité, croissance, libertés et efficacité est complexe. Au demeurant, aucune de ces valeurs ne s'illustre dans ce projet de décret, dont la rédaction est aujourd'hui laissée à un consensus entre technocrates et techniciens qui, quels que soient les résultats des échéances électorales, seront encore là demain.
Ce qui pourrait n'être qu'un décret illisible de plus est aujourd'hui une menace de mort pour le développement du numérique en France et pour tous les acteurs concernés de près ou de loin par celui-ci, de la presse aux blogueurs, en passant par la grande distribution, les opérateurs de téléphonie, les fournisseurs de logiciels, les fabricants d'ordinateurs, etc.
Sous prétexte de lutter contre la menace réelle du terrorisme, l'Etat français prend - comme aucun autre - le risque de tuer une part non négligeable de l'avenir du pays, sans aucun état d'âme et dans le silence assourdissant d'une campagne présidentielle omniprésente sur Internet, mais muette sur le développement de l'Internet.
Philippe Jannet est président du Groupement des éditeurs de sites en ligne (Geste).
Le Geste regroupe les principaux éditeurs de sites en ligne français, qu'il s'agisse de portails généralistes (Yahoo ! France, Google), d'organismes ou d'entreprises (INA, UFC Que choisir, Manpower, Comareg, France Télécom, Bouygues Télécom, etc.), ou encore de sites de chaînes de télévision (TF1, France télévision, M6, etc.), de radios (Radio France, Skyrock, RTL, RFI, etc.), d'agences (AFP), de journaux (Le Figaro, Les Echos, Libération, Le Monde, L'Equipe, Le Point, L'Express, Le Nouvel Observateur, Le Parisien et les journaux du groupe Hachette Filipacchi Multimedia, etc.).
http://www.lemonde.f...1-886229,0.html
Citation
La publication d'un décret d'application de la loi pour la confiance dans l'économie numérique (LCEN) pourrait, dans les prochains jours, venir préciser les obligations des acteurs de l'Internet en matière de rétention des données. La version de travail, que Le Monde a pu consulter, fédère contre elle les associations de défense des libertés et les industriels du secteur (fournisseurs d'accès et hébergeurs de contenus numériques).
Les prestataires techniques devront notamment conserver pendant un an les données permettant "l'identification de quiconque a contribué à la création (d'un) contenu". Le projet de texte va en réalité plus loin, dénoncent les associations de défense des libertés. Selon l'association Iris, il "prévoit la conservation de données qui vont bien au-delà de cet objectif, comme par exemple le mot de passe fourni lors de la souscription d'un contrat d'abonnement ou lors de la création d'un compte". De même, les données relatives au paiement (type de paiement, montant, date et heure de la transaction) d'un service devront être conservées un an par les prestataires techniques.
En l'état, le texte semble trop vague aux acteurs économiques du secteur, qui redoutent d'avoir à conserver l'intégralité des modifications apportées à un contenu. "Nous souhaitons une clarification sur la nature des données que les opérateurs devront conserver, au risque d'engager leur propre responsabilité sur le plan pénal, en cas de décision judiciaire concluant à la violation du principe du droit à la vie privée, dit Dahlia Kownator, déléguée générale de l'Association française des fournisseurs d'accès et de services Internet (AFA-France). Vu l'accumulation des textes réglementaires sur cette question, tant au niveau national que communautaire, en particulier s'agissant des fournisseurs d'accès, une harmonisation entre tous ces textes est absolument nécessaire, à commencer par l'emploi d'une terminologie commune."
"UN MOYEN SCÉLÉRAT"
Autre point de discorde, la prise en charge des coûts engendrés par la rétention de ces données. "Pour l'heure, l'Etat propose une indemnisation forfaitaire, ce qui ne correspond malheureusement pas, et de très loin, à la réalité des frais qui devront être engagés", ajoute Mme Kownator.
Le décret encadre également les conditions de transmission de ces données aux services de police et de gendarmerie, de même que les conditions de leur conservation par ces services. "Les données fournies (...) sont enregistrées et conservées pendant une durée maximale de trois ans", dans des fichiers "mis en oeuvre par les ministères de l'intérieur et de la défense". L'association Iris rappelle que ces données peuvent être demandées dans le cadre "d'enquêtes administratives et non judiciaires" - c'est-à-dire menées hors du contrôle d'un magistrat. "Ce projet de décret constitue en réalité un moyen scélérat d'étendre la durée de rétention de données au-delà de ce que permettent les législations française et européenne, déjà bien trop étendues", ajoute l'association.
Interrogés jeudi 19 avril, les services de la Commission nationale de l'informatique et des libertés (CNIL) disaient ne pas avoir encore été formellement saisis pour avis.
Les prestataires techniques devront notamment conserver pendant un an les données permettant "l'identification de quiconque a contribué à la création (d'un) contenu". Le projet de texte va en réalité plus loin, dénoncent les associations de défense des libertés. Selon l'association Iris, il "prévoit la conservation de données qui vont bien au-delà de cet objectif, comme par exemple le mot de passe fourni lors de la souscription d'un contrat d'abonnement ou lors de la création d'un compte". De même, les données relatives au paiement (type de paiement, montant, date et heure de la transaction) d'un service devront être conservées un an par les prestataires techniques.
En l'état, le texte semble trop vague aux acteurs économiques du secteur, qui redoutent d'avoir à conserver l'intégralité des modifications apportées à un contenu. "Nous souhaitons une clarification sur la nature des données que les opérateurs devront conserver, au risque d'engager leur propre responsabilité sur le plan pénal, en cas de décision judiciaire concluant à la violation du principe du droit à la vie privée, dit Dahlia Kownator, déléguée générale de l'Association française des fournisseurs d'accès et de services Internet (AFA-France). Vu l'accumulation des textes réglementaires sur cette question, tant au niveau national que communautaire, en particulier s'agissant des fournisseurs d'accès, une harmonisation entre tous ces textes est absolument nécessaire, à commencer par l'emploi d'une terminologie commune."
"UN MOYEN SCÉLÉRAT"
Autre point de discorde, la prise en charge des coûts engendrés par la rétention de ces données. "Pour l'heure, l'Etat propose une indemnisation forfaitaire, ce qui ne correspond malheureusement pas, et de très loin, à la réalité des frais qui devront être engagés", ajoute Mme Kownator.
Le décret encadre également les conditions de transmission de ces données aux services de police et de gendarmerie, de même que les conditions de leur conservation par ces services. "Les données fournies (...) sont enregistrées et conservées pendant une durée maximale de trois ans", dans des fichiers "mis en oeuvre par les ministères de l'intérieur et de la défense". L'association Iris rappelle que ces données peuvent être demandées dans le cadre "d'enquêtes administratives et non judiciaires" - c'est-à-dire menées hors du contrôle d'un magistrat. "Ce projet de décret constitue en réalité un moyen scélérat d'étendre la durée de rétention de données au-delà de ce que permettent les législations française et européenne, déjà bien trop étendues", ajoute l'association.
Interrogés jeudi 19 avril, les services de la Commission nationale de l'informatique et des libertés (CNIL) disaient ne pas avoir encore été formellement saisis pour avis.
