[Loi Renseignement] De nouvelles obligations pour les opérateurs et géants du Net

Sur le web

Par Elodie le

Déjà décriée pour les prérogatives élargies qu’elle confère aux agences de renseignement françaises, la loi Renseignement impose également de nouvelles obligations aux opérateurs télécoms et aux géants du web. Tour d’horizon.

loi_renseignement_obligations_opérateurs_géants_net

Comme l’avait annoncé Bernard Cazeneuve lors de sa venue au 1er sommet mondial de lutte contre le terrorisme qui s’est déroulé en février à Washington, le ministre de l’Intérieur souhaitait responsabiliser les « grands majors de l’internet » face à une « menace protéiforme ».
Cependant il n’avait pas expliqué que cela se ferait avec ou sans leur consentement.

Les opérateurs et géants du web, comme Google, Facebook ou Twitter, collaborent déjà avec les autorités à l’identification de personnes suspectées de terrorisme, notamment sur requêtes gouvernementales. Désormais, les agences de renseignement pourront requérir un « recueil immédiat » des données de connexions. Si elles sont tenus de conserver les données recueillies, cette conservation passe d’un an à 5 ans.

Le projet de loi sur le renseignement prévoit ainsi d’imposer de nouvelles mesures aux opérateurs télécoms et aux acteurs du Net.

– Obligation de transmission

L’article L. 851-3. prévoit « Pour les seuls besoins de la prévention du terrorisme, le recueil des informations et documents mentionnés à l’article L. 851-1, relatifs à des personnes préalablement identifiées comme présentant une menace, peut être opéré en temps réel sur les réseaux des opérateurs et personnes mentionnés à l’article L. 851-1.»

– Obligation de surveillance

« Les opérateurs télécoms et les sites Internet ayant une activité en France devront se plier à cette obligation de surveillance après accord du premier ministre, c’est-à-dire sans passage devant un juge », précise ainsi le Figaro.

L’article L. 851-4. précise “Pour les seuls besoins de la prévention du terrorisme, sur demande des […] services spécialisés de renseignement […] le Premier ministre peut, après avis de la Commission nationale de contrôle des techniques de renseignement, imposer aux opérateurs et [hébergeurs] la mise en œuvre sur les informations et documents traités par leurs réseaux d’un dispositif destiné à révéler, sur la seule base de traitements automatisés d’éléments anonymes, une menace terroriste. »

Par exemple en se rendant sur des sites surveillés.

loi_renseignement_obligations_opérateurs_géants_net

« Les fournisseurs d’accès à Internet, mais aussi aux plates-formes comme Google, Facebook, Apple ou Twitter, pourraient devoir déceler eux-mêmes des comportements suspects, en fonction d’instructions qu’ils auront reçues, et transmettre ces résultats aux enquêteurs » ajoute encore le Figaro.
Comme un écho à la loi antiterroriste du 13 novembre 2014 qui désignait une entreprise terroriste individuelle par « la consultation habituelle de sites Internet appelant à la commission d’actes de terrorisme », la voici désormais renforcée.

Si « la menace est ainsi révélée » la loi prévoit la levée de l’anonymat, au cas par cas sur autorisation du Premier ministre, mais toujours sans juge, sur les données collectées. Les autorités auront ainsi accès à toute l’activité en ligne du suspect afin de confirmer leurs doutes.

Pour le ministère de l’Intérieur, « Les terroristes ont des comportements de grande discrétion sur le Web, mais il existe des marqueurs signifiants ». Ce sont ces marqueurs que les autorités comptent faire détecter par les opérateurs et les acteurs du web. « L’idée est de se servir des modèles d’action avérés (« pattern ») de certains terroristes, pour en dénicher de nouveaux », rapporte le quotidien.

Pour se faire, les autorités envisagent de faire installer des « boites noires » aux intermédiaires sur leurs réseaux. Implantés dans ces boites noires, des algorithmes chargés de repérer les potentiels terroristes dans la masse des métadonnées.

Par exemple si untel se rend sur un site signalé comme faisant l’apologie du terrorisme, s’il effectue des achats suspects, etc. Néanmoins, le ministère de l’Intérieur assure au Figaro que l’objectif est d’aboutir à un ciblage précis et non une collecte de masse : « Si on voit que cela donne des dizaines de milliers de résultats, on changera les algorithmes ».

Si la menace est avérée ces personnes seront ensuite mis sous surveillance des agences de renseignement, telles qu’édictées dans ce précédent article : Loi ‘Renseignement’, vers un « Patriot Act » à la française ?
Quid d’un algorithme défaillant ? A ce sujet, lire la chronique de Daniel Scheidermann sur Arrêt sur Images.

loi_renseignement_obligation_opérateurs_boites_noires

– Obligation de déchiffrement

Le nerf de la guerre des agences de renseignement, NSA en tête, très critiques envers les géants du web qui prétendent fournir de nouvelles méthodes de chiffrement toujours plus sophistiquées à leurs clients, à l’instar de WhatsApp et Yahoo avec la mise en place d’un chiffrement de bout-en-bout.

Mais les gouvernements ne sont pas en reste puisque David Cameron, le premier ministre britannique, avait appelé à l’interdiction des applications de messagerie chiffrées au lendemain de sa venue à la marche du 11 janvier célébrant la liberté d’expression.
Bernard Cazeneuve avait lui précisé qu’il s’agissait d’une « question centrale » lors de sa visite dans la Silicon Valley pour rencontrer les géants du Net.

– Obligation de respect du secret défense

Opérateurs télécoms et acteurs du web devront s’assurer que la teneur de leurs échanges avec les autorités ne sera pas dévoilée. Autrement dit, ils ne pourront révéler la mise en place de « boites noires » sur leurs réseaux.

– Obligation d’accès

Opérateurs et intermédiaires « sont tenus d’autoriser » l’accès à leurs locaux, à des fins de contrôle, aux membres et agents de la nouvelle Commission nationale de contrôle des techniques de renseignement (CNCTR) et à lui communiquer « toutes les informations sollicitées ».

Réticence affichée ou non, opérateurs et géants du web devront se plier à ces nouvelles dispositions prévues par la loi sur le Renseignement. Le gouvernement se défend cependant d’instaurer un PRISM à la française puisque les autorités compétentes ne capteront que des données de connexion de cibles déterminées.
Bien insuffisant pour l’ensemble des défenseurs des libertés civiles et numériques.

Source: Source