Aux Etats-Unis, le Congrès a autorisé les opérateurs à vendre les données personnelles de leurs abonnés, dont leur historique de navigation, sans leur consentement. En France et en Europe, le cadre légal est heureusement beaucoup plus contraignant. [...]
Le principe général, rappelle la Cnil, c’est celui de la confidentialité des communications électroniques : «Toutes les données qui transitent sur Internet sont confidentielles et il n’est possible de porter atteinte à ce principe qu’en recueillant le consentement des utilisateurs» – hors exceptions en matière de police, de justice ou de renseignement. Pour le contenu des correspondances privées, le cadre est très clair : il doit être protégé par les opérateurs chargés de les acheminer. La loi numérique a par ailleurs défini ce que recouvre ce secret des correspondances : il inclut l’identité des correspondants, l’intitulé (d’un mail par exemple), les pièces jointes. Y sont soumis non seulement les opérateurs télécoms, mais aussi les «services de communication au public en ligne» (réseaux sociaux, services de messagerie instantanée…). Ces acteurs n’ont le droit d’exploiter la correspondance de leurs utilisateurs à des fins publicitaires qu’après avoir obtenu leur aval.
En ce qui concerne les données administratives (nom, adresse, mode de paiement…), «les règles classiques en matière de traitement de données s’appliquent pleinement puisqu’il s’agit ni plus ni moins d’une relation commerciale», poursuit la Cnil. Si un FAI veut transmettre ces données à un tiers pour une finalité autre que l’accès à Internet de son abonné, il doit en informer ce dernier. Pour le téléphone ou l’adresse mail, le consentement est obligatoire. [...]
L’affaire se complique un peu avec ce qu’on appelle les «données techniques de connexion», ou métadonnées : qui se connecte à quelle adresse web (l’URL), qui appelle quel numéro de téléphone… En France, les opérateurs télécoms peuvent conserver les données nécessaires à la facturation pour un an maximum. Depuis la loi sur la sécurité quotidienne de 2001, ils sont par ailleurs tenus de conserver certaines données techniques (identifiant de l’utilisateur, date, horaire et lieu des communications, données permettant d’identifier le destinataire, notamment) pendant un an pour les besoins des enquêtes pénales. Cette obligation a été étendue aux hébergeurs internet par la Loi pour la confiance dans l’économie numérique de 2004. Au-delà de ce délai, les données doivent être effacées ou anonymisées.
Mais dans tous les cas, explique Alexandre Archambault, les adresses web n’entrent pas dans cette catégorie. Selon le code des postes et des communications électroniques, les données «conservées et traitées» par les opérateurs ne peuvent «en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit». «Pour les fournisseurs d’accès, l’URL n’est pas une donnée pertinente pour l’acheminement des données : elle n’est pas collectée et encore moins conservée», précise l’avocat. Là encore, il y a des exceptions en matière de sécurité, du programme IOL de 2009, révélé l’an dernier par Mediapart et Reflets.info, aux «boîtes noires» prévues par la loi renseignement, en passant par le recueil en temps réel des données de connexion inscrit dans la loi de programmation militaire de 2013.
«De plus en plus, ce sont les métadonnées qui intéressent les autorités», souligne Alexandre Archambault. La révision de la directive européenne dite «e-privacy» (vie privée et communications électroniques) devrait permettre de poser un cadre plus précis : dans le futur règlement, qui s'appliquera directement dans les Etats membres, les métadonnées «auront la même importance que le contenu des communications, elles relèveront de la sphère privée, avec les mêmes garanties procédurales».
La loi sur le renseignement adoptée en Grande-Bretagne, qui impose aux opérateurs de conserver l’historique de navigation des internautes, y contreviendrait, n’eût été le Brexit. Et en tout état de cause, même si le droit à la vie privée est de plus en plus mal en point, on est ici encore loin de ce qu’a validé le Congrès américain : ni le cadre national ni le cadre européen ne permettent aux fournisseurs d’accès de collecter votre historique de navigation pour le revendre à des fins publicitaires sans votre consentement.
Eléments de langage d'Urvoas
Si l'on en croit les métadonnées présentes dans le document, celui-ci aurait été écrit par Jean-Jacques Urvoas depuis un ordinateur de l'Assemblée nationale début avril 2015, au moment de l'entrée en discussion du projet de loi
Car c’est bien ça qui est en train de se jouer actuellement : permettre à l’administration de tracer tous les échanges commerciaux sur le net, tout comme le fait de tracer toutes communications. Maintenant que la rhétorique gouvernementale en matière de surveillance est bien rodée, il faut s’attendre au même discours que pour la loi de renseignement, à savoir : « on ne vous flique pas, ce ne sont que des métadonnées » … Et ça tombe bien, car à l’échelle du commerce en ligne, les métadonnées, ce n’est pas ce qu’il manque, paniers, factures, contrats, bons de livraisons, l’administration serait devenue boulimique de données de transactions commerciales…. Ainsi, nos sources font état de demandes surréalistes de la part des douanes qui sont actuellement faites, portant sur un historique à 5 ans de toutes les données relatives aux transactions. L’enjeu qui se joue en ce moment est celui d’un accès direct aux systèmes d’information des cybercommerçants et des transporteurs, alors qu’il fallait jusque là que ces derniers transmettent ces données sur une période précise et raisonnable, sur un public ciblé.