Miscellanees.net - blog prolixe pub, marketing & conso, high tech, innovations

Aller au contenu | Aller au menu | Aller à la recherche

lundi 27 juillet 2009

La CNIL s'inquiète (enfin) des logiciels-espions dans le projet de loi Loppsi 2

Cet automne promet d'être mouvementé, au vu de certains projets de lois que le gouvernement compte finaliser à ce moment-là. C'est ce que je me disais en voyant le projet de loi Loppsi 2, dont je parlais dans ce billet. D'autant plus chaud que la CNIL en rajoute une couche, avec son avis, rendu public ce 24 juillet, à propos de la Loppsi 2. Et le moins que l'on puisse dire est qu'elle est réservée quant à l'usage des logiciels-espions par la police, tels qu'ils sont esquissés dans le texte actuel.

Premier point, donc, à propos des logiciels-espions, que le projet de loi encadre - et légitime en leur donnant une reconnaissance légale. Comme je le décrivais dans mon billet précédent, le texte autoriserait, "sans le consentement des intéressés, d'accéder à des données informatiques, de les observer, les collecter, les enregistrer, les conserver et les transmettre". Ce qui inclut les lieux publics, comme... les cybercafés. Et ce dans le cadre d'une information judiciaire (pour des affaires de criminalité organisée), sous le contrôle d'un juge.

En clair, il instaurerait une surveillance des points publics d'accès à Internet (cybercafés et bornes d'accès publiques). Et ce en permettant d'enregistrer, durant au maximum 8 mois, "tous les caractères saisis au clavier et de toutes les images affichées sur l'écran de tous les ordinateurs d'un point d'accès public à Internet, et ce à l'insu des utilisateurs".

Problème : cela induirait "une forte exception" à la loi Informatiques et libertés du 6 janvier 1978, pointe la CNIL. Le problème étant que ces outils (particulièrement avec le projet Periclès) récolteraient des informations de tous ordres, sans trier "ce qui est utile ou non à la manifestation de la vérité"

Autre point inquiétant, ce projet ouvre la voie à des collectes de données sur des lieux "habituellement" protégés, comme les cabinets d'avocat,s ou les locaux d'un média : il "permettrait de collecter des données transitant sur des systèmes utilisés par des personnes protégées par la législateur" (tels les journalistes.

Aussi épinglé, le champ de l'extension des fichiers de police d'analyse sérielle, qui serait étendu à des infractions plus bénignes (peine de prison de 5 ans).

Le champ de cette collecte des données personnelles s'étendrait même aux personnes citées dans une procédure judiciaire sans y être impliquées (témoins...). Une banalisation de la fin de la confidentialité de ces fameuses données perso, en somme.

Un avis sans fard, mais hélas, purement consultatif... Qui plus est, un article du Monde du 25 juillet précise que la CNIL, saisie pour avis par le ministère de l'Intérieur le 16 avril dernier, n'a pu se pencher, dans le cadre de cette saisine, "que sur 7 articles, alors que le projet de loi en contient plus de 40". Débat parlementaire du texte, présenté en Conseil des ministres le 26 mai dernier, prévu pour cet automne.

mercredi 27 mai 2009

Plongée dans la Loppsi 2 (de la mise sous surveillance d'Internet)

Le projet de loi, qui répond au doux acronyme de Loppsi 2 ( Loi d'orientation et de programmation pour la performance de la sécurité intérieure) était en stand-by depuis novembre 2007, il est brutalement réapparu : comme l'annonçait Le Monde d'hier, il était présenté par Michèle Alliot-Marie en Conseil des ministres ce matin. Le déclencheur pour qu'il réapparaisse aussi brutalement ? Deux faits divers retentissants : l'agression d'une enseignante en Haute-Garonne, et le guet-apens de policiers à La Courneuve. Mais aussi l'approche des élections européennes, au vu desquelles Nicolas Sarkozy, déjà trèèès attiré par ce sujet lorsqu'il était Place Bauveau, a décidé de remettre le sujet - la sécurité - sous les feux des projecteurs.

Petite immersion dans ce texte, enfin rendu public, qui tient sur 48 pages. Un peu fourre-tout (il faut bien le dire, hein), il aborde la captation de données numériques à distance, les fichiers d’analyse sérielle, le filtrage des contenus à caractère pédo-pornographique par les fournisseurs d’accès Interne, la vidéosurveillance, le délit d'usurpation d'identité...

L'argumentaire dans l'exposé des motifs, d'abord : "La sécurité demeure l'une des préoccupations majeures de nos concitoyens" malgré des chiffres de délits à la baisse. Bon. Premier point qui me fait tiquer, le Livre blanc sur la défense et la sécurité nationale aurait "mis en exergue la nécessité d'une politique d'anticipation constamment actualisée pour renforcer la lutte contre les menaces".

- Création d'"incrimination d'utilisation frauduleuse des données à caractère personnel de tiers sur un réseau de télécoms" (article 2) Donc là, il s'agit de la création du délit d'usurpation d'identité sur Internet (sujet qui avait déjà fait l'objet d'une proposition de loi), condamnable (un an de prison et 15 000 € d'amende) dès lors qu'il vise' à "troubler sa tranquillité ou porter atteinte à son honneur ou à sa considération". Donc les fake comptes Twitter ou profils Facebook s à caractère parodiques de personnalités sont-ils susceptibles d'être concernés ?

- Filtrage des contenus jugés pédo-pornographiques (article 4) Autre dispositif déjà annoncé (qui doit encore faire l'objet d'un décret d'application), la police, sur simple autorisation du juge des libertés, pourrait mettre sur "écoute" des ordinateurs dans le cadre d'affaires de pédophilie, mais aussi de meurtre, de trafic d'armes et de stupéfiants, de blanchiment d'argent. Des mesures prises sans le consentement des propriétaires des PC en question… De fait, dans le cadre du projet Cospol Internet Related Child Abuse Material Project, auquel la France est adhérente, elle s'est engagée à convaincre les FAI de "mettre en place, sur leur réseau, un logiciel visant à empêcher tout connexion à des sites à caractère pédophiles répertoriés par la police", liste noire qui sera communiquée par arrêté.Les FAI pourront "choisir les technologies de blocage". Ainsi le risque est de voir la mise en place de logiciels mouchards (spywares) directement dans une machine suspectée.

- Fichiers d'antécédents et d'analyse sérielle (articles 10 et 11) Il s'agit des fichiers de police judiciaire, point important, dans la lignée de l'article 21 de la Loi sur la sécurité intérieure du 18 mars 2003, qui autorise le traitement automatisée de données à caractère personnel "sur les auteurs, complices et victimes d'une infraction pénale" pour des crimes et délits punis de plus de 5 ans d'emprisonnement" (soit des délits aggravés), la loi Loppsi propose d'élargir le recueil de ces données (et l'utilisation des fichiers de police judiciaire) à "la lutte contre la délinquance la plus nombreuse" (soit la "petite et moyenne délinquance"). Ce système "d'analyse sérielle" aboutira à la création d'un fichier informatique appelé Périclès. Il permettra d'effectuer des rapprochements entre les différents fichiers judiciaires (Stic, Judex, etc.) et de croiser tous les renseignements disponibles pour lutter contre tous les types de délinquance, et notamment la pédo-pornographie. Mais ce fichier contiendra de nombreuses données liées à la vie du citoyen avec tous les dangers de dérives possibles : numéros de cartes grises, de permis de conduire, de puces de téléphones portables (IMEI), factures diverses

- Vidéosurveillance (articles 17 et 18) Il s'agit d' "aménager le régime juridique" en la matière, mais surtout, ces articles sont un prétexte rêve, pour le gouvernement, pour s'auto-justifier quant à son "plan de triplement des caméras installées sur le territoire". Jusqu'à présent réservée aux lieux potentiellement exposés aux actes de terrorisme, la vidéosurveillance pourra être utilisée aux abords de toute entreprise (personne morale) « dans des lieux particulièrement exposés à des risques d'agression ou de vol » Le délai de conservation des images, jusque là fixé à un mois, "pourra faire l'objet d'une durée minimale fixée par le préfet". On notera que si le texte évoque des compétences élargies pour la "commission nationale compétente en matière de vidéoprotection", (celle-ci), créée par le décret du 15 mai 2007, aucune allusion n'est faite à la CNIL, qui réclame pourtant depuis longtemps la possibilité d'avoir un droit de regard sur la vidéosurveillance, comme j'en parlais .

- Enregistrement à distance de données informatiques (article 23) Après les logiciels mouchards antipiratage de la loi Hadopi, voici les logiciels espions de la Loppsi. Le texte vise à autoriser la « captation de données informatiques à distance » à l'insu de l'utilisateur, pour les besoins d'une enquête. En clair, il s'agit de transposer l'écoute téléphonique à l'informatique. Si la Loppsi est adoptée, les enquêteurs pourront voir et enregistrer en temps réel, à distance, "les données informatique telles qu'elles s'affichent" sur un ordinateur, même lorsque les données ne sont pas stockées sur le disque dur (lecture d'un CD-Rom, saisie de texte en live sur Internet…). Les logiciels « d'écoute » seront installés à distance ou physiquement, là où se trouve l'ordinateur. Le recours à ces mouchards se fera sous l'autorité du juge d'instruction, dans les cas de criminalité les plus graves, comme le terrorisme. Mais il peut bien ouvrir une brèche. Comme dans l'article 4, le risque est de voir la mise en place de logiciels mouchards (spywares) directement dans une machine suspectée. Une interception des données qui se doit d’être strictement encadrée et qui démontre combien le gouvernement, après la polémique Edvige, tient à contrôler certaines pratiques sur le Web.