Les services de renseignement pourraient avoir accès aux URL

Comme le prévoit la loi sur le Renseignement votée en juillet 2015, le décret doit préciser les « informations et documents » pouvant faire l’objet d’un recueil administratif par un certain nombre de services de renseignement sur demande du premier ministre après autorisation de la CNCTR. Le ministère de l’Intérieur a préféré ce vocable à celui de « données de connexion » habituellement utilisé, dont le périmètre exclut tout contenu des correspondances et des informations consultées. Le flou de cette formulation, déjà utilisée dans la loi de programmation militaire de 2013, avait amené la Quadrature du Net, French Data Network et et la Fédération FDN à déposer une question prioritaire de constitutionnalité (QPC). Dans sa décision, le Conseil constitutionnel avait considéré que la loi faisait référence aux données de connexion « qui ne peuvent porter sur le contenu de correspondances ou les informations consultées. » Ce qui avait amené Benjamin Bayart, le président de FDN à ironiser : « « Pour moi, quand le ministre nous explique qu’on va surveiller ceux qui regardent des vidéos de décapitation, il se met le doigt dans l’œil jusqu’au coude ».

Mais la CNCTR semble avoir trouvé un biais pour que certains contenus consultés puissent être aspirés par les services de renseignement. Elle commence par rappeler que les données de connexion, par opposition au contenu de correspondances échangées ou d’informations consultées, désignent le « contenant », c’est-à-dire les données permettant l’acheminement d’une communication électronique. Elle s’appuie ensuite sur la définition de l’Union internationale des télécommunications (UIT) d’une émission électronique qui se compose d’un ensemble de sept « couches », les plus hautes (4 à 7) étant transmises telles quelles au destinataire, les plus basses (1 à 3) servant à son acheminement. Puis elle va chercher dans une délibération de la CNIL une description considérant que les URL (adresse des pages et des sites visités) sont « nécessaire[s] à l’acheminement d’une communication » tout en étant « porteuse[s] par nature des informations consultées ». Et conclut que l’URL est une donnée mixte dont une partie détermine le chemin informatique utilisé pour échanger des correspondances ou consulter des informations. Et que « les éléments qui déterminent le chemin utilisé […] peuvent être recueillis, les autres éléments devant être éliminés ». CQFD !

En d’autres termes, les services de renseignement pourraient être autorisés à accéder à certaines parties d’adresses de sites, comme facebook.com ou politis.fr, mais pas aux pages consultées. La CNCTR ne fixe pas plus précisément quels éléments d’une URL pourront être considérés comme relevant du contenu. En cas de requête sur un moteur de recherche à partir d’un navigateur, par exemple, l’adresse de la première page consultée contient le terme recherché. Sera-t-il supprimé ou conservé ? On peut imaginer qu’une suite d’adresses identiques permettrait de comptabiliser le nombre de pages consultées. Cumulées aux horaires de connexion, ces données pourraient indiquer la lecture de x articles ou de la consultation de vidéo. Cette interprétation de la CNCTR remet totalement en cause la définition légale des données que les autorités sont en droit de requérir auprès des opérateurs de communications électroniques. Mais un avis n’est pas susceptible de recours, il faudra donc attendre qu’un juge soit saisi pour clarifier les choses.

La délibération de la CNCTR