Marion Raes est étudiante dans le cadre du cours DRT 6929-O.

L’adolescents anglais, à l’origine du site Gh0stMarket.net, permettant d’acheter des numéros de cartes de crédit, a été condamné à 5 ans de prison ferme, par la justice britannique la semaine dernière.

Cette condamnation plutôt sévère démontre la volonté des Etats à lutter contre ce type de criminalité, fléau de plus en plus fréquent sur la toile, comme le démontre un rapport du FBI pour l’année 2010 . En effet la plupart des pays occidentaux, dont les membres du Conseil de l’Europe, les Etats-Unis, et le Canada, ont ratifié la Convention sur la Cybercriminalité, adoptée par le Conseil de l’Europe en 2001. Cette convention a pour objectif principal de criminaliser les actes illégaux ayant lieu sur le net. Elle envisage également des procédures permettant de faciliter les enquêtes, notamment par la mise à disposition de données informatiques stockées.

Cette dernière disposition a récemment été mise en Å“uvre en France, avec l’adoption d’un décret le 25 février 2011, relatif à la conservation, et communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu en ligne. Ce décret vient en application de l’article 6 de La Loi sur la Confiance en l’Economie Numérique. Ce texte, surnommé par ailleurs « Décret Big Brother » a été publié par le journal officiel, mardi dernier et a suscité de nombreuses réactions.

En effet, il impose aux fournisseurs de services sur Internet, c’est-à-dire les fournisseurs d’accès mais aussi les simples hébergeurs de contenus, tel que Facebook, ou You tube, de conserver toutes les données concernant un internaute pendant une durée maximum d’un an. L’obligation de conservation concerne des données multiples, tel que des pseudonymes, identifiants, adresses courriels, adresses postales, nature de l’opération, date et heure de connexion, et même les mots de passe.

L’objectif primordial étant de de faciliter les investigations dans le but de prévenir les actes de terrorisme. C’est pourquoi ces informations pourront être utilisées dans le cadre d’enquête effectuées par la Police et la Gendarmerie. Le décret a néanmoins élargi les structures qui pourraient avoir accès à ces données à l’administration fiscale et à l’URSAFF.

Cependant, ce texte engendre de nombreux problèmes, et notamment concernant la sécurisation des données stockées. En effet cette masse d’informations pourrait donner des idées malveillantes à certains, et augmenter le risque de divulgation des données personnelles. Déjà en 2008, l’ARCEP avait émis quelques critiques concernant le projet de décret, et s’interrogeait sur la finalité de conservation de données spécifiques telles que les mots de passe. Toutefois, elle ne remettait pas en cause la durée de conservation d’un an, car l’article L 34-1 du code des postes et télécommunications impose qu’en principe :

« Les opérateurs de communications électroniques, et notamment les personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne, effacent ou rendent anonyme toute donnée relative au trafic, sous réserve des dispositions des II, III, IV et V ». Or l’article L 34-1, II indique que l’effacement des données peut être différé pour une durée maximale d’un an dans le cadre de « recherche, de la constatation et de la poursuite des infractions pénales ».

La CNIL, quant à elle, avait déjà rendu un avis en 2007, afin de communiquer au gouvernement ces revendications quant au projet de décret. Il n’a été rendu public par la Commission que mardi dernier. Il ressort, que l’avis a été en grande partie ignoré par le gouvernement. En effet la CNIL demandait une définition plus précise pour la notion « d’identifiant de connexion », car les fournisseurs de service sur Internet doivent savoir précisément quelles données ils doivent conserver, le manquement à cette obligation étant sanctionné pénalement d’un an d’emprisonnement et de 75 000 euros d’amende.

Toutefois, l’avis est avant tout surprenant, car la CNIL ne prend aucune position concernant la transmission des mots de passe. Or on pourrait se demander quelle sera la finalité de la conservation de ce type de données. En effet, de nombreux internautes utilisent le même mot de passe pour plusieurs sites internet, et la divulgation de cette information pourrait leur causer un véritable préjudice.

L’ASIC, Association française des Services Internet communautaires, qui réunit entre autre Facebook, Google, PriceMinister, ou Dailymotion a l’intention de déposer un recours devant le Conseil d’Etat, car selon son secrétaire général, Benoît Tabaka, le décret engendre de nombreux problèmes pour les fournisseurs de services sur Internet, et la conservation décryptée des mots de passe peut entrainer des risques importants pour les Internautes.

D’un point de vue général ce décret Big Brother aura également pour conséquence d’augmenter la paranoïa des Français vis-à-vis de l’Internet, notamment après l’adoption des lois Hadopi, et LOPPSI 2.