Vous imaginez une démocratie où la loi oblige les opérateurs de transport en commun et sociétés autoroutières à installer mouchards et caméras pour garder la trace, pendant un an, des endroits que les gens ont visités, de comment ils y sont allés, des personnes qu’ils ont rencontrées, et de ce qu’ils ont pu échanger ou partager ? Ce pays, c’est la France de 2011.

Un décret publié au JO le 1er mars contraint les fournisseurs d’accès à l’internet, les hébergeurs et prestataires de services web et de réseaux sociaux à conserver les données permettant d’identifier qui sont les gens qui vont sur l’internet, ce qu’ils y font, quand, et comment.

Ce décret Big Brother “relatif à la conservation des données de nature à permettre l’identification de toute personne physique ou morale ayant contribué à la création d’un contenu mis en ligne“, est la conclusion somme toute logique d’une histoire commencée il y a près de 20 ans et qui s’est formidablement accélérée au lendemain des attentats du 11 septembre 2001.

Une demande pressante du FBI

L’histoire de la surveillance des internautes commence en 1993, alors que le web est en train d’exploser. En juin de cette année, on dénombrait 130 sites Web, et 623 en décembre. Les premiers navigateurs, Lynx, puis NCSA Mosaic, font exploser les usages, qui croissent à un rythme annuel de 341 634 %.

Cette même année, les autorités américaines commencent à mener une intense activité diplomatique afin de persuader les pays européens et l’OCDE de déployer des mesures de surveillance et d’interception des télécommunications, sous les auspices d’une organisation d’experts européens et américains, ILETS (pour Interception Law Enforcement Telecommunication Seminar).

Fondée par le FBI, son existence fut révélée par Duncan Campbell, dans le rapport que le parlement européen lui avait demandé de consacrer, en 1999, au réseau Echelon anglo-saxon d’interception des télécommunications.

Ses travaux débouchèrent, en 1995, sur l’adoption d’une résolution européenne relative à l’interception légale des télécommunications, largement inspirée du Communications Assistance to Law Enforcement Act (CALEA) américain, adopté en 1994, là aussi à l’initiative du FBI, afin d’imposer aux compagnies téléphoniques et aux fournisseurs d’accès internet de modifier leurs infrastructures pour faciliter la surveillance des réseaux.

Dans la foulée, ENFOPOL (pour “ENFOrcement POlice“), groupe de travail réunissant les ministères de l’intérieur des pays membres de l’Union considéré par certains comme la réponse européenne à l’organisation anglo-saxonne ECHELON, tente de définir les modalités techniques et standards de cette surveillance préventive des télécommunications.

Après avoir notamment proposé d’imposer la communication aux autorités des mots de passe des internautes, ou encore la présences de “backdoors” (portes dérobées) dans les logiciels et systèmes de cryptographie, le Parlement européen décida finalement de s’opposer à la conservation des traces de connexion, en juillet 2001, au motif que cela reviendrait à “donner carte blanche dans l’intrusion dans la vie privée des citoyens, en dérogation des droits de l’homme et des libertés fondamentales“, comme le rapporta alors ZDNet :

Le comité du Parlement européen a notamment précisé que des mesures de surveillance électronique doivent être «entièrement exceptionnelles, basées sur une loi spécifique et autorisées par une autorité judiciaire compétente dans le cas de personnes individuelles». Toute forme de surveillance électronique sur une large échelle devrait être interdite, tranche le comité.

“Légalité républicaine” vs “ère du soupçon”

Deux mois plus tard, les attentats du 11 septembre 2001 allaient tout changer, dans le monde entier, entraînant nombre de pays à renforcer leurs boîtes à outils sécuritaires, au nom de l’anti-terrorisme.

En France, le gouvernement socialiste qui, depuis 1997, cherchait à border la droite sur le terrain de la lutte contre l’”insécurité“, modifiait ainsi dans l’urgence son projet de loi relative à la sécurité quotidienne (LSQ), pour notamment contraindre les fournisseurs d’accès à l’internet à stocker, pendant un an, les traces (“logs“) de ce que font les internautes sur les réseaux, et ce quand bien même il n’a jamais été formellement prouvé que les terroristes avaient utilisés le Net pour communiquer (voir Terrorisme : les dessous de la filière porno).

De nombreuses associations avaient alors dénoncé des “mesures d’exception” instaurant une ère du soupçon faisant de tout citoyen un “présumé suspect” qu’il convenait de placer, par principe, sous surveillance.

Signe de la fébrilité des parlementaires, le sénateur socialiste Michel Dreyfus-Schmidt avait d’ailleurs vendu la mèche, avec un lapsus lourd de sous-entendus admettant que la France sortait du cadre de la “légalité républicaine” :

« Il y a des mesures désagréables à prendre en urgence, mais j’espère que nous pourrons revenir à la légalité républicaine avant la fin 2003 ».

Conscient du fait que les législations anti-terroristes se doivent d’être sévèrement encadrées, l’article 22 de la LSQ précisait en effet que les mesures anti-terroristes rajoutées en urgence dans la foulée des attentats, et donc ce placement sous surveillance des internautes, ne devaient courir que jusqu’au 31 décembre 2003, date à laquelle un “rapport d’évaluation sur l’application de l’ensemble de ces mesures devait permettre au Parlement de statuer sur leur prorogation, ou non.

Quand l’exception devient la norme

Le Parlement n’eut pas le temps de demander ni d’examiner quelque rapport d’évaluation que ce soit. Le 21 janvier 2003, un amendement déposé par Christian Estrosi, après avis favorable de Nicolas Sarkozy, à son projet de Loi sur la sécurité intérieure (LSI, ou “Loi Sarkozy II“), dont il était le rapporteur, grave dans le marbre, sans aucun débat et en moins d’une minute, le principe de surveillance préventive des internautes. Verbatim :

M. Christian Estrosi, rapporteur. Prorogation ou pérennisation ? Dans l’article 17 du projet du Gouvernement, il n’est question que de proroger. Dans mon amendement, par contre, je propose de pérenniser certaines des dispositions visées, celles qui touchent à la conservation et au déchiffrement des données informatiques, c’est-à-dire à l’utilisation des nouvelles technologies de l’information et de la communication par la cybercriminalité.

Je vous ai soumis précédemment un amendement tendant à instituer de nouveaux délits pour donner à la police des moyens d’action dans la lutte contre la cybercriminalité et les réseaux qui s’y rattachent.

Il me paraît justifié de profiter de l’examen de cet article pour pérenniser des dispositions qui seront de plus en plus utiles à l’avenir, aux forces de l’ordre pour mener à bien leurs investigations en matière de lutte contre toutes les formes de trafics : drogue, armes, pédophilie, prostitution, blanchiment d’argent.

M. le président. Quel est l’avis du Gouvernement ?
M. le ministre de l’intérieur, de la sécurité intérieure et des libertés locales. Favorable.
M. le président. Je mets aux voix l’amendement n° 86.
(L’amendement est adopté.) “

Avec l’adoption de l’amendement Estrosi, soulignait ainsi la Ligue Odebi dans ses Logs pour les nuls, “la mesure d’exception consistant initialement à enregistrer tous les faits et gestes des internautes à des fins de lutte anti-terroriste, pour les mettre à disposition de l’autorité judiciaire, est devenue une mesure définitive, donc totalement séparée de l’existence ou non d’une menace terroriste“.

Extension du domaine des écoutes

En 2004, la loi pour la confiance dans l’économie numérique LCEN) étend l’obligation de conservation des données de connexion aux hébergeurs et responsables des sites et services web, qui doivent détenir et conserver “les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires“.

En janvier 2006, la loi relative à la lutte contre le terrorisme (LCT), présentée par le ministre de l’intérieur, Nicolas Sarkozy, élargit l’obligation de conservation des “données de trafic” aux cybercafés, et prévoit de permettre aux services anti-terroristes de pouvoir y accéder en dehors de tout contrôle de l’autorité judiciaire, mais après avis d’une personnalité qualifiée placée auprès (et dépendant) du ministre de l’intérieur.

Le 15 mars 2006, une directive européenne sur la conservation des données définit la liste de ce que les fournisseurs de services de communications électroniques doivent logguer, suivie, en France, le 24 mars 2006 d’un décret “relatif à la conservation des données des communications électroniques“. Les FAI et les opérateurs de téléphonie sont désormais tenus de pouvoir tracer et identifier :

• la source et l’utilisateur de chaque communication
• son ou ses destinataires
• la machine utilisée pour communiquer
• le type, la date, l’heure et la durée de la communication
• les “données relatives aux équipements terminaux de communication utilisés (et) aux services complémentaires demandés ou utilisés et leurs fournisseurs“
• la géolocalisation des équipements de communication mobile utilisés.

En 2007, le ministère de l’intérieur mettait en place, en toute discrétion (dixit Le Figaro) et entre les deux tours des présidentielles, une nouvelle plate-forme d’interception, en temps réel, des données de connexion des mails et des textos, à l’intention des services de renseignement :

Qu’il s’agisse d’un appel sur mobile, d’un courriel envoyé par Internet ou d’un simple texto, les « grandes oreilles » de la République peuvent désormais savoir qui a contacté qui, où et quand.

“L’internet est un moyen de se cacher”

Problème : de plus en plus de connexions sont chiffrées, empêchant les grandes oreilles de savoir qui fait quoi sur les réseaux, comme l’expliquait l’an passé Bernard Barbier, “directeur technique” de la Direction Générale de la Sécurité Extérieure (DGSE).

A son arrivée dans les services spéciaux en 1989, “l’objectif, c’était le téléphone” : des numéros, localisés et limités en terme de relais d’informations (fax, télex ou voix), à bas débit (”un million de communications simultanées, c’est pas beaucoup pour nous”), et rarement chiffrés. Le recours à la cryptographie servait d’ailleurs d’alerte, car seuls les diplomates, les militaires ou les services secrets chiffraient leurs communications, “et notre job était de les casser, et on devait traiter entre 100 et 1000 documents par jour”.

Aujourd’hui, la couverture en téléphonie mobile est quasi-mondiale, le débit a considérablement changé (de l’ordre de 1 milliard de communications simultanées), et de plus en plus de services et de flux sont chiffrés (BlackBerry, Skype, Gmail -depuis l’attaque des Chinois), sans même que l’utilisateur ne s’en rende compte et, à terme, l’ensemble des télécommunications seront probablement chiffrées.

Dans le même temps, souligne Bernard Barbier, “même les méchants se mettent à communiquer” : souvent jeunes, instruits, “tous les apprentis terroristes utilisent la crypto : pour eux, l’internet est un moyen de se cacher : ils savent qu’ils peuvent être écoutés, et donc se cachent dans la masse des utilisateurs de l’internet”, ce qui fait que “les cibles ont changé” :

“Nos cibles principales aujourd’hui n’utilisent plus le chiffrement gouvernemental ou militaire mais plutôt de la cryptographie grand public, car nous travaillons à 90% sur l’anti-terrorisme. Aujourd’hui, nos cibles sont les réseaux du grand public, parce qu’utilisés par les terroristes.”

Parallèlement, et au vu de l’explosion du volume des télécommunications, les services de renseignement et de police judiciaire s’intéressent plus au contenant qu’au contenu, afin de savoir qui communique avec qui, quand, pendant combien de temps, voire où, si la communication est géolocalisée :

“Et toutes ces méta-données, on les stocke, sur des années et des années, et quand on s’intéresse à une adresse IP ou à un n° de tel, on va chercher dans nos bases de données, et on retrouve la liste de ses correspondants, pendant des années, et on arrive à reconstituer tout son réseau.”

“Nous stockons tous les mots de passe”

“La mémoire humaine n’étant pas infinie, les utilisateurs utilisent souvent les mêmes mots de passe“, expliquait également Bernard Barbier, ce qui peut s’avérer très pratique pour identifier les apprentis terroristes qui utilisent les mêmes types ou bases de mots de passe lorsqu’ils interviennent sous leurs pseudonymes de guerre, la nuit sur les forums de discussion, que lorsqu’ils s’expriment, le jour, sous leurs vrais noms, sur les réseaux sociaux :

Ils mènent une double vie, mais ont les mêmes mots de passe. Et nous stockons bien évidemment tous les mots de passe, nous avons des dictionnaires de millions de mots de passe.

On comprend mieux pourquoi le décret sur la conservation des données “permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne“, publié 6 ans après l’adoption de la LCEN auquel il se réfère explicitement, prévoit précisément la conservation, non seulement des noms, prénoms, pseudos, identifiants, n° de téléphone, adresses postales et électroniques de ceux qui s’expriment sur le Net, mais également de leurs “mots de passe ainsi que des données permettant de les vérifier ou de les modifier“.

Les services de police et de gendarmerie ont en effet de plus en plus recours à des logiciels d’analyse criminelle (ANACRIM) afin, “par exemple, de rattacher les appels téléphoniques à des abonnés, les abonnés à leurs correspondants, les correspondants à leurs autres relations et ainsi de suite“.

C’est ainsi que les statisticiens, spécialistes du datamining, sont parvenus à exploiter des centaines de milliers de CDR (Call Data Recording), les fiches contenant toutes les données relatives à un appel téléphonique, afin d’identifier le café où se réunissaient les terroristes de l’attentat de Madrid en 2004.

C’est également ce pour quoi les mots de passe pourront donc aussi servir à identifier des internautes, comme le souligne Guillaume Champeau sur Numerama :

Avec ces méthodes, l’enquête peut devenir un véritable jeu de piste. Par exemple, si le suspect a pris soin de masquer son adresse IP et utilise une adresse e-mail jetable sur le lieu du crime, il sera peut-être possible pour les enquêteurs de trouver le même login (pseudonyme) sur un autre service en ligne, où la personne recherchée n’aura pas pris les mêmes précautions. La comparaison des mots de passe pourra peut-être alors confirmer qu’il s’agit bien de la même personne, auquel cas l’adresse IP utilisée pourra faciliter l’identification.

Les services anti-terroristes, qui ont le droit d’accéder aux données sans contrôle judiciaire, pourront ainsi plus facilement s’infiltrer sur les réseaux. Encore que : les terroristes n’utilisent guère les sites et réseaux sociaux hébergés en France, de même qu’ils passent rarement par des fournisseurs d’accès français, et l’obligation de conservation, et de transmission, des données de connexions prévus dans le décret ne s’applique pas aux forums et réseaux sociaux étrangers.

Il n’est, par contre, qu’à se souvenir de l’affaire Tarnac pour imaginer sans trop de difficulté les problèmes que cela pourrait engendrer dès lors que des policiers s’en serviraient pour infiltrer des “organisations de nature subversive susceptibles de se livrer à des actes de terrorisme ou d’atteinte à l’autorité de l’Etat“, notion pour le moins floue mais dont la surveillance fait explicitement partie des missions de la Direction Centrale du Renseignement Intérieur (DCRI), le service de contre-espionnage français qui a fusionné les RG et la DST.

En attendant de tels éventuels dérives et dommages collatéraux, on aurait tort de verser dans la paranoïa, ne serait-ce que parce que conservation des données de connexion date donc de 10 ans maintenant et, comme le souligne Eric Freyssinet, chef de la division de lutte contre la cybercriminalité de la gendarmerie, “d’ores et déjà, dans ces situations et dans la plupart des cas, les enquêteurs parviennent déjà très facilement à identifier le bon interlocuteur“.

A contrario, il n’est pas vain de rappeler pour autant que normalement, dans un État de droit, on ne place sous surveillance que les individus soupçonnés d’avoir commis un crime ou un délit. Dans nos démocraties sécuritaires, tout citoyen est a contrario un suspect en puissance, qu’il convient de surveiller, de manière préventive, “au cas où“. Le problème est politique. Il en va de la “légalité républicaine“.

Photographies CC leg0fenris.

MàJ du mercredi 9 février: Alors que l’extension du Patriot Act semblait actée, un attelage inattendu composée de Démocrates et de membres du Tea Party a fait basculer le vote. A 277 voix pour et 148 contre, le Patriot Act n’est – pas encore – reconduit, pour 7 voix.

A la fin du mois, le Patriot Act arrivera à expiration outre-Atlantique. Et mardi 8 février, pendant que nos parlementaires entérineront le vote de la Loppsi 2, le Congrès américain planchera sur une nouvelle version “étendue” de la loi anti-terroriste controversée, de la même manière qu’on prolonge l’état d’urgence d’une année sur l’autre. Loi d’exception votée juste après les attentats du 11 septembre, le USA Patriot Act (son sigle officiel, pour Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act) a considérablement renforcé le pouvoir des agences de renseignement américaines, leur octroyant des prérogatives qui, dans bien des cas, ne nécessitent pas l’aval d’une autorité judiciaire compétente.

Le but? Laisser les mains libres à la CIA, au FBI, à la NSA et à leurs déclinaisons pour prévenir tout risque menaçant la “sécurité nationale”. Outre les perquisistions in abstentia ou les entraves au premier amendement – la sacro-sainte liberté d’expression anglo-saxonne -, on peut citer l’exemple des 50.000 “National Security Letters” envoyées chaque année par les agents fédéraux aux fournisseurs d’accès à Internet. Dans celles-ci, ils réclament de manière confidentielle des informations relatives à leurs utilisateurs, sans que ceux-si en soit avisés.

Depuis sa mise en place, le Patriot Act n’a pas seulement agité les associations de défense de la vie privée ou ceux que Fox News appelle péjorativement les “socialistes”. Il a également rassemblé contre lui des politiciens de tous bords, libéraux comme conservateurs, tant et si bien que certaines communes ont purement et simplement refusé de l’appliquer. Et depuis plus de six ans, des juges contestent sa constitutionnalité.

40 minutes de débats

Pourtant, le Congrès, qui va se réunir dans les jours qui viennent pour discuter d’un texte modernisé, va probablement voter de nouvelles dispositions à la marge (celle qui fâche) et par la voie rapide. Hormis la collecte d’informations bancaires ou téléphoniques sans le consentement des personnes ciblées, la nouvelle cuvée du Patriot Act prévoit notamment l’institutionnalisation de la surveillance d’Internet, en autorisant le gouvernement à espionner les ordinateurs “susceptibles d’être utilisés occasionnellement par des terroristes présumés”. En soi, ce n’est pas vraiment une surprise, les mouchards existent déjà: le FBI a récemment rendu visite à Facebook dans ses bureaux de Palo Alto pour évoquer la création de backdoors, et la NSA travaille main dans la main avec Google depuis l’incident impliquant la firme de Mountain View et la Chine.

Plus surprenant est le consensus qui accompagne le vote de ces nouvelles dispositions, qui pourraient entrer en vigueur jusqu’en décembre 2013. Celles-ci seront ainsi votées selon la procédure dite de la “Suspension of the rules”, un particularisme américain qui prévoit quarante petites minutes de débat et n’offre aucune possibilité d’introduire des amendements, preuve de l’assentiment des Républicains comme des Démocrates. Tandis que des personnalités sensibles aux enjeux du numérique comme Susan Crawford, ancienne conseillère en innovation de Barack Obama, cherchent à se prémunir contre “la militarisation du web”, il semblerait que la classe politique américaine voit dans le Net le prochain champ de bataille du renseignement.

Droit de regard judiciaire

Sur son site, le sénateur démocrate du Vermont, Patrick Leahy (par ailleurs président de la Commission judiciaire) défend ces recommandations et insiste sur l’accord “bipartisan” autour de celles-ci:

[Le Patriot Act] défendra la transparence et étendra les garde-fous concernant la vie privée et les libertés civiles. Il renforce le pouvoir judiciaire sur les capacités de surveillance du gouvernement qui capturent des informations sur les Américains. Ceci est un lot de réformes que tous nos concitoyens devraient supporter.

Si le texte prévoit un droit de regard plus important du système judiciaire sur les autorités, en relevant les conditions d’une écoute téléphonique par exemple, il n’en inquiète pas moins les défenseurs des libertés individuelles. “Si cette nouvelle version introduit des changements importants qui permettent de mieux contrôler le pouvoir du Patriot Act, elle ne remet malheureusement pas en question certaines dispositions dangereuses”, regrette Michelle Richardson, conseillère juridique de l’Union américaine des libertés civiles (ACLU).

Tandis que l’Exécutif américain continue de réfléchir à la création d’un “bouton” qui permettrait au président Obama d’éteindre Internet, les États-Unis persistent dans une voie sensiblement différente du filtrage: le contrôle. Comme tout État qui utilise des technologies DPI, la question est de savoir si une telle surveillance est passive ou active, s’il s’agit d’un simple poste d’observation ou de la rampe de lancement de patrouilles dédiées à l’interception.

Si ce point reste à clarifier (il faudrait pour cela acter la création d’une doctrine offensive en matière de cybersécurité), l’appareil judiciaire et l’intelligence se sont d’ores et déjà rangés du côté de Capitol Hill: le ministre de la Justice Eric Holder et le directeur du renseignement Eric Clapper ont appelé les élus à renouveler le bail du Patriot Act dans une lettre aux élus.

–
Illustrations CC FlickR: Ownipics, D.C. Atty

Photo CC Flickr mag3737

Si donner accès à Internet est une des missions importantes des services d’archives, de bibliothèques et de documentation, elle peut aussi engager leur responsabilité, en cas d’agissement délictueux des usagers. Quel équilibre trouver pour préserver la liberté de ces derniers en respectant la législation ?

L’IABD (Interassociation Archives Bibliothèques Documentation) publie aujourd’hui une mise au point, concernant la teneur et l’étendue des obligations légales qui pèsent sur les services d’archives, de bibliothèques et de documentation lorsqu’ils offrent sur place des accès Internet à leurs usagers. L’information a été relayée sur Bibliobsession et Paralipomènes.

Le sujet est complexe et sensible, car il confronte les professionnels de l’information à un choix difficile. Donner accès à Internet constitue aujourd’hui pour les services d’archives, de bibliothèques et de documentation un aspect essentiel de leurs missions ; mais leur responsabilité est susceptible, à divers degrés, d’être engagée du fait d’agissements délictueux qui seraient commis à partir de ces connexions par leurs usagers.

Entre la liberté de l’usager et la responsabilité de l’établissement, il faut trouver un équilibre, qui est d’autant plus difficile à déterminer que les textes applicables sont nombreux (Code des Postes et Communications Électroniques, Loi LCEN de 2004, loi anti-terroriste de 2006, loi Hadopi de 2009, etc) et leurs dispositions délicates à interpréter. Demander aux utilisateurs de s’identifier lorsqu’ils se connectent à Internet ; mettre en place des filtres pour bloquer l’accès à certains sites ; neutraliser certaines fonctionnalités comme le téléchargement ou l’usage des clés USB : autant de pratiques qui ont cours dans nos établissements, sans que l’on sache si elles sont réellement exigées par les textes de loi.

La question est d’autant plus importante que depuis l’été 2009, l’accès à Internet n’est pas seulement un service rendu à l’usager, mais l’exercice d’une liberté fondamentale, explicitement consacrée par le Conseil Constitutionnel à l’occasion de sa censure de la première loi Hadopi :

« [...] aux termes de l’article 11 de la Déclaration des droits de l’homme et du citoyen de 1789 : « La libre communication des pensées et des opinions est un des droits les plus précieux de l’homme : tout citoyen peut donc parler, écrire, imprimer librement, sauf à répondre de l’abus de cette liberté dans les cas déterminés par la loi  » ; qu’en l’état actuel des moyens de communication et eu égard au développement généralisé des services de communication au public en ligne ainsi qu’à l’importance prise par ces services pour la participation à la vie démocratique et l’expression des idées et des opinions, ce droit implique la liberté d’accéder à ces services. »

Fragile, si fragile… la liberté d’accès à Internet. (En defensa de internet. Par tonymadrid photography. CC-BY-NC-ND. Source : Flickr)

Il peut être tentant pour les bibliothèques, archives et centres de documentation de mettre en place des mécanismes de contrôle qui leur permettront de limiter les risques de voir leur responsabilité engagée. Mais il faut bien avoir conscience que si ces dispositifs vont au-delà de ce que la loi exige, ils auront pour effet de restreindre volontairement l’exercice d’une liberté fondamentale des citoyens, constitutionnellement consacrée.

La mise au point de l’IABD passe en revue les textes pour délimiter avec précision le champ de ces obligations légales. Il ressort de l’analyse que si les bibliothèques, archives et centres de documentation sont bien obligés de conserver pendant un an les données de connexion (loi anti-terroriste de 2006), il n’est nullement exigé, ni de recueillir l’identité des personnes qui accèdent à Internet, ni de mettre en place des moyens de sécurisation des connexions tels que des systèmes de filtrage.

Les textes préservent donc le droit des usagers à utiliser Internet librement, sans avoir à donner leur identité et à conserver leur anonymat lors de leur usage des connexions.

L’accès public à Internet est une liberté consacrée, mais hélas menacée. Lors du débat de la loi Hadopi, il avait été un temps proposé par le ministère de la Culture de mettre en place un « portail blanc » pour brider les accès publics wifi et les restreindre à une liste prédéterminée de sites « propres ». Un tel système aurait pu être appliqué dans les parcs ou les mairies, mais aussi dans les bibliothèques et autres services similaires offrant des accès wifi à leurs usagers. Face à cette menace d’atteinte à la liberté d’accès à l’information, l’IABD avait déjà réagi par le biais d’une déclaration. Le projet de portail blanc a finalement été abandonné lors de l’examen au Parlement de la loi, mais j’ai eu l’occasion d’essayer de montrer dans un billet précédent comment la loi Hadopi était susceptible d’aggraver la responsabilité pesant sur les bibliothèques du fait de l’usage des connexions Internet qu’elles offrent à leurs usagers.

Lors du dernier congrès de l’ABF, un atelier avait été organisée sur le thème « L’autonomie de l’usager versus la responsabilité du bibliothécaire » auquel j’avais participé. Il en était ressorti que plus qu’une question légale, les modalités de l’accès à Internet relèvent d’un choix professionnel qui revêt une forte dimension éthique. Pour que la liberté de l’usager puisse exister, le bibliothécaire doit nécessairement accepter d’assumer une part incompressible de responsabilité.

Aux États-Unis, les bibliothécaires ont subi (et subissent encore) les conséquences du Patriot Act, qui les obligent à communiquer aux autorités des données personnelles sensibles de leurs usagers.

Il n’y a pas (encore) de Patriot Act en France, mais bien souvent, il reste plus facile de se connecter à Internet depuis un Mac Do qu’à partir de la bibliothèque de son quartier.

Si les services de bibliothèques, d’archives et de documentation veulent pleinement jouer un rôle d’espace public dans la cité, ils doivent aborder de front ces questions.

Ci-dessous le texte complet de la mise au point de l’IABD.

*********************

Entre les missions des bibliothèques, des services d’archives et d’information, et les obligations légales, quelle est la frontière entre un service ouvert à tous et le respect de la loi ? Comment interpréter les mesures préconisées ou imposées par le législateur, et les concilier avec la tradition d’un accès le plus large possible à l’information et à la connaissance ? Y a-t-il un espace d’interprétation propice à la sauvegarde des libertés ? Partageons-nous une posture professionnelle respectueuse du droit mais aussi des intérêts des usagers ?

Quelles obligations légales ?

· Conserver les logs de connexion ?

Internet peut être libre et gratuit pour le public ; les établissements ne sont pas tenus de recueillir l’identité des personnes à qui ils proposent un accès à l’internet ; l’usager peut même utiliser un pseudo pour se connecter et avoir accès à ses espaces personnels. En revanche, on doit pouvoir identifier l’ordinateur à l’origine de l’usage illicite par une adresse IP fixe.

La seule obligation qui s’impose aux bibliothèques, aux services d’archives et d’information (ou aux organismes dont ils relèvent) est de remettre, lors d’une réquisition judiciaire ou administrative, selon les cas, les logs de connexion (note 1) et toutes les informations qu’ils détiennent (note 2). Ces informations seront recoupées par les services chargés de l’enquête pour retrouver la personne à l’origine de l’infraction. L’antériorité exigible pour les données est d’un an.

· Sécuriser les postes ?

La loi n’impose pas que l’on filtre les accès à l’internet des ordinateurs mis à la disposition du public (note 3). Installer des filtres pour bloquer certains sites susceptibles d’être pénalement répréhensibles ne permettrait que de limiter sa responsabilité en cas de réquisition judiciaire, c’est-à-dire seulement après avoir reçu une lettre recommandée enjoignant l’abonné de sécuriser son poste.

En revanche, le fait de munir de filtres les ordinateurs proposés au public limite de manière arbitraire l’accès à l’internet, alors que cet accès constitue une liberté publique consacrée par le Conseil constitutionnel [5].

· Remettre des informations nominatives ?

C’est une obligation qui ne s’impose, au titre de la loi Hadopi, qu’aux organisations qui opèrent en tant que FAI (les services informatiques des universités, par exemple). Il incombe, en effet, aux FAI de fournir aux personnes chargées de l’enquête les informations détaillées dans le décret du 5 mars 2010, dont certaines sont nominatives (note 4).

Le poids de chartes et des règlements

Chartes et règlements intérieurs permettent d’informer le public des bibliothèques sur les usages interdits, sur la surveillance dont ils peuvent faire l’objet et sur l’existence éventuelle de filtres.

D’autres documents destinés aux bibliothécaires leur rappellent le contrôle qu’il convient d’exercer et leur obligation de mettre fin à tout usage de l’internet qui serait manifestement illicite (contrefaçon, cyberpédopornographie, activités terroristes, etc.). L’enquête permettra d’évaluer, en fonction d’un contexte, la diligence du personnel.

Nulle obligation d’identifier les personnes ni même de filtrer les accès à l’internet

En cas de réquisition, les bibliothèques, les services d’archives et d’information abonnés à des FAI doivent remettre aux enquêteurs les logs de connexion et toute autre information habituellement recueillie. Il leur est recommandé de remettre aussi les chartes communiquées aux usagers et les informations destinées aux personnels.

Que disent les textes ?

La loi anti-terroriste

L’obligation de conserver pendant un an les données de connexion, imposée aux fournisseurs d’accès Internet (FAI) par la loi anti-terroriste du 23 janvier 2006 [1], est étendue à tous ceux qui offrent un accès à l’internet à leur public.

Comme l’indique le Forum des droits sur l’internet [7], la conservation des logs peut se faire de trois manières différentes :

en utilisant localement des unités de stockage dédiées associées à un routeur mis en place pour assurer la répartition du trafic interne entre les différents postes ;

en confiant cette obligation au FAI auprès duquel on a acheté des abonnements à plusieurs adresses IP publiques correspondant au nombre de postes ;

en confiant l’enregistrement à un tiers prestataire de services.

La loi Hadopi

La loi dite Hadopi [3] dissocie les obligations des FAI de celles des titulaires d’un abonnement à l’internet. La responsabilité d’une bibliothèque, d’un service d’archives ou d’information titulaire de plusieurs abonnements auprès d’un FAI n’est engagée pour les usages illicites réalisés à partir des ordinateurs connectés au réseau mis à la disposition du public que si les postes n’ont pas été sécurisés, après en avoir reçu l’injonction écrite de la Haute Autorité pour la diffusion des œuvres et la protection des droits d’auteur sur Internet (Hadopi).

Qu’en conclure ?

Ni la loi anti-terroriste, ni la loi Hadopi n’obligent ces établissements à identifier les utilisateurs des ordinateurs mis à leur disposition, ni à conserver des informations nominatives pour les remettre lors d’une enquête diligentée par un juge au titre de la loi Hadopi, ou d’une personnalité qualifiée placée auprès du ministre de l’Intérieur au titre de la loi anti-terroriste, ni même à filtrer à titre préventif les accès à l’internet.

Le respect des usages traditionnellement admis dans les bibliothèques, services d’archives et d’information reste compatible avec les obligations juridiques qui leur sont imposées, dès lors que les professionnels appliquent la loi, toute la loi, rien que la loi.

Textes

1. Loi n°2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers. Sur le site Légifrance.

2. Décret 2006-358 du 24 mars 2006 relatif à la conservation des données des communications électroniques. Sur le site Légifrance.

3. Loi n° 2009-1311 du 28 octobre 2009 relative à la protection pénale de la propriété littéraire et artistique sur internet. Sur le site Légifrance.

4. Décret n° 2010-236 du 5 mars 2010 relatif au traitement automatisé de données à caractère personnel autorisé par l’article L. 331-29 du code de la propriété intellectuelle dénommé « Système de gestion des mesures pour la protection des œuvres sur internet ». Sur le site Légifrance.

5. Décision n° 2009-590 DC du 22 octobre 2009. Loi relative à la protection pénale de la propriété littéraire et artistique sur internet. Sur le site du Conseil constitutionnel.

Recommandations – Déclarations

6. Offrir un accès public à l’internet : Des responsabilités aux multiples implications. Déclaration de l’IABD, 10 mars 2009. Sur le site de l’IABD.

7. Les lieux d’accès public à l’internet. Recommandation du Forum des droits sur l’internet, 28 décembre 2007. Sur le site du Forum des droits sur l’internet.

8. Non au portail blanc. Déclaration de l’IABD du 6 mars 2009. Sur le site de l’IABD.

Notes

(1) Logs de connexion

Les données relatives au trafic s’entendent des informations rendues disponibles par les procédés de communication électronique, susceptibles d’être enregistrées par l’opérateur à l’occasion des communications électroniques dont il assure la transmission et qui sont pertinentes au regard des finalités poursuivies par la loi.

Cette obligation s’impose à toutes « les personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit », une définition qui concerne les cybercafés mais également les bibliothèques. Il incombe aux opérateurs de communications électroniques de conserver pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales : a) Les informations permettant d’identifier l’utilisateur ; [c’est-à-dire celles qui sont enregistrées par lors des communications] b) Les données relatives aux équipements terminaux de communication utilisés ;

c) Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ; d) Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ; e) Les données permettant d’identifier le ou les destinataires de la communication.

(2) Les données nominatives seront remises uniquement si celles-ci sont déjà recueillies habituellement.

(3) Selon l’article 25 de la loi sur le droit d’auteur et les droits voisins dans la société de l’information (Dadvsi), le titulaire d’un accès à des services en ligne de communication au public en ligne doit veiller à ce que cet accès ne soit pas utilisé à des fins de contrefaçon, en mettant en œuvre les moyens de sécurisation qui lui sont proposés par le fournisseur de cet accès en application de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique. N’étant pas assortie de sanction, cette disposition ne peut pas être mise en œuvre.

(4) Loi Hadopi. Décret du 5 mars 2010 Les données conservées par les agents assermentés travaillant pour les ayants droit : date et heure des faits ; adresse IP des abonnés concernés ; protocole pair à pair utilisé ; pseudonyme utilisé par l’abonné ; informations relatives aux œuvres ou objets protégés concernés par les faits ; le nom du fichier présent sur le poste de l’abonné (le cas échéant) ; le nom de son fournisseur d’accès à internet. Les données à fournir à la Hadopi par les FAI : noms et prénoms de l’abonné, son adresse postale et son adresse électronique ; ses coordonnées téléphoniques et son adresse d’installation téléphonique.

(5) La bibliothèque titulaire d’un abonnement encourt des sanctions pénales : une contravention de 5ème catégorie (amende de 1500€), une coupure de l’accès à Internet d’un mois et une obligation de mettre en œuvre un « moyen de sécurisation » labellisé par la Hadopi.

25 mars 2010

IABD (Interassociation archives-bibliothèques-documentation) – http://www.iabd.fr

Secrétariat : ABF – 31, rue de Chabrol – 75010 Paris – 01 55 33 10 30 – abf@abf.asso.fr

Billet initialement publié sur :: S.I.Lex ::