[libertés] Métadonnées (dans la boite noire) [A propos de la loi Renseignement]

Le projet de loi sur le renseignement prévoit la collecte, l’enregistrement et le stockage de « données techniques » (les métadonnées ou metadata en anglais) sans « identification des personnes« . Quelles sont ces métadonnées ? Ce sont des données destinées à identifier l’émetteur d’une communication électronique. Pourquoi ce titre de « Métadonnées (dans la boite noire) » ? C’est bien ce que le Gouvernement, drapé dans sa légitimité » de sauveur de la Nation française, tente de nous vendre à nous, pauvres citoyens innocents… Bizarre… Vous avez dit bizarre ?

[mise à jour du 14 avril 2016] Le présent article a été rédigé alors que la loi Renseignement n’était alors qu’un projet contesté, notamment sur le plan technique. Attention, la numérotation des articles du Code de la sécurité intérieure n’est plus la bonne… Pour une analyse détaillée du régime légal de collecte et de conservation des métadonnées en France par les opérateurs télécoms et les professionnels de l’Internet (hébergeurs, FAI, etc.), cliquez ici. C’est à jour (et c’est à savoir).

Analyse du même régime légal de collecte des données par les services spécialisés de renseignement en application de la loi Renseignement et de la loi Surveillance internationale, toute deux de 2015.

Métadonnées (dans la boite noire) 1 – Que savons-nous des métadonnées ?

Pour un néophyte, la page Wikipédia consacrée aux métadonnées n’apporte pas de réponse simple. Retenons qu’il s’agit de données « servant à définir ou décrire une autre donnée quel que soit son support (papier ou électronique)« .

Les non-initiés (dont nous sommes) ont pourtant compris qu’une communication électronique comporte deux éléments principaux : les informations qui décrivent techniquement une communication (« qui ? », « où ? » et « quand ?« ) et le contenu de cette communication (« quoi ?« ).

Pour l’émetteur et le destinataire d’une communication (téléphonique ou électronique), peu importent les informations techniques : seul le contenu compte.

 

Métadonnées (dans la boite noire) 2 – FAI, hébergeur, opérateur télécom : kezako ?

D’abord un bref rappel pour savoir qui sont les opérateurs impliqués dans la transmission et le stockage de ces contenus électroniques.

Article L.32 6° CPCE : « On entend par services de communications électroniques les prestations consistant entièrement ou principalement en la fourniture de communications électroniques » [ce sont les Fournisseurs d’Accès à Internet – les FAI – et les opérateurs de télécommunication, fixes et mobiles].

« Ne sont pas visés les services consistant à éditer ou à distribuer des services de communication au public par voie électronique » [ce sont les hébergeurs « dont l’activité est d’offrir un accès à des services de communication au public en ligne«  et les éditeurs de contenus visés par la LCEN].

datacenter

Bref…

Juridiquement, la distinction entre contenu et métadonnées a un sens précis. Le contenu de toute communication (le « quoi ? ») relève de la vie privée des personnes. Le contenu n’intéresse pas le fournisseur du tuyau (l’opérateur télécom ou le FAI) qui le transmet. Il lui est interdit d’y accéder :

– d’une part, l’atteinte au secret des correspondances est sanctionnée par le Code pénal (articles 226-1 à 226-7).

– d’autre part, le respect de la vie privée est aujourd’hui un principe constitutionnel.

Métadonnées (dans la boite noire) 3 – La protection de la vie privée, une liberté fondamentale

Bien que ce rappel soit à l’attention des Sénateurs et des sages du Conseil Constitutionnel, vous pouvez en prendre connaissance – c’est instructif 😉

L’article 8 de la Convention européenne des droits de l’homme dit que « toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance« .

La décision n°2009-580 DC du 10 juin 2009 du Conseil Constitutionnel rappelle ce droit au respect de la vie privée tout aussi clairement : « aux termes de l’article 2 de la Déclaration de 1789, « le but de toute association politique est la conservation des droits naturels et imprescriptibles de l’homme. Ces droits sont la liberté, la propriété, la sûreté et la résistance à l’oppression » ; que la liberté proclamée par cet article implique le respect de la vie privée« .

Comme le rappelle l’Académie Busiris, « la vie privée est une liberté, au sens de la Constitution« . C’est même un « droit fondamental« , une « liberté fondamentale« , n’en déplaise à notre actuel Ministre de l’intérieur (pourtant ex-avocat…) pour qui « la vie privée n’est pas une liberté« .

#PJLRenseignement liberté
« La Liberté guidant le peuple » Eugène Delacroix (1830)

Métadonnées (dans la boite noire) 4 – Les atteintes légitimes au secret des correspondances

Cependant, pour porter atteinte à cette liberté fondamentale qu’est le droit au respect de la vie privée, il faut à l’Etat une raison légale.

La première raison légale est une décision judiciaire : une infraction au Code pénal peut justifier une décision de violation du secret des correspondances. Un Juge d’instruction (ou un Procureur de la république) est alors en droit de faire intercepter une correspondance, c’est-à-dire de lire ou d’écouter le contenu d’un message.

La seconde raison légale est beaucoup plus tendancieuse : il s’agit du régime des écoutes administratives, sur décision des politiques (donc sans autorisation préalable d’un juge). Ces écoutes sont actuellement décidées par le Premier ministre, sous contrôle d’une autorité administrative, la Commission Nationale de Contrôle des Interceptions de Sécurité (CNCIS), depuis une loi du 10 juillet 1991.

La loi sur le renseignement votée par l’Assemblée nationale le 5 mai 2015 change la dimension des écoutes administratives.

En plus d’une remise à plat du régime des interceptions et des écoutes des correspondances, elle encadre la collecte, l’enregistrement et le stockage de « données techniques » [art. L.851-1, L.851-3 et L.851-4 du futur Code de la sécurité intérieure ou CSI].

C’est le sujet du jour.

Mais de quoi parle-t-on au juste ?

#PJLRenseignement medecin stethoscope 03
Illustration par M. Cazeneuve, Ministre de l’intérieur,  du type de métadonnées dont la loi sur le renseignement autorisera la collecte « pour de vrai« 

Métadonnées (dans la boite noire) 5 – Un double régime d’enregistrement et de stockage des métadonnées

Le projet de loi sur le renseignement, organise un double régime de captation (enregistrement ET stockage), selon que la personne suspecte soit identifiée ou non.

1) D’abord un régime d’enregistrement et de stockage « des informations ou documents traités ou conservés par leurs réseaux ou services de communications électroniques, y compris les données techniques… » sur des personnes déjà identifiées pour suspicion d’acte terroriste en préparation ou en cours de commission [art. L.851-3 du futur CSI]. Ici, pas de problème.

2) Ensuite, un régime spécifique d’enregistrement et de stockage massif « des informations ou documents …, y compris les données techniques… » « sur la seule base de traitements automatisés« , afin de « détecter une menace terroriste » sans permettre « l’identification des personnes » [art. L.851-4 du futur CSI]. C’est ici que ça coince.

Voilà la grande question : quelles sont ces « données techniques » ? Y-a-t’ il une définition légale des métadonnées ?

Commençons par le commencement.

Et vous allez voir, c’est consternant.

datacenter

Métadonnées (dans la boite noire)  6 – La conservation des données par les opérateurs télécom et les FAI

La section 3 du Code des postes et des communications électroniques (CPCE) est intitulée « Protection de la vie privée des utilisateurs de réseaux et services de communications électroniques« .

L’article L.34-1 CPCE, modifié par la LPM du 18 décembre 2013, définit celles des « donnée[s] relative[s] au trafic » qui sont conservées par les « opérateurs de communications électroniques«  [opérateurs télécom et FAI].

Voyons le principe et l’exception.

Le principe qui s’impose aux opérateurs télécom et aux FAI est la conservation des données de trafic de manière anonyme :

II – Les opérateurs de communications électroniques … effacent ou rendent anonyme toute donnée relative au trafic…

L’exception porte sur « certaines catégories de données techniques » que ces mêmes opérateurs doivent conserver [extraits] :

III – … il peut être différé pour une durée maximale d’un an aux opérations tendant à effacer ou à rendre anonymes certaines catégories de données techniques. Un décret … détermine … ces catégories de données…

V – … les données permettant de localiser l’équipement terminal de l’utilisateur ne peuvent ni être utilisées pendant la communication à des fins autres que son acheminement, ni être conservées et traitées après l’achèvement de la communication…

VI – Les données conservées et traitées dans les conditions définies aux III, IV et V portent exclusivement sur l’identification des personnes utilisatrices des services fournis par les opérateurs, sur les caractéristiques techniques des communications assurées par ces derniers et sur la localisation des équipements terminaux.

Elles ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit, dans le cadre de ces communications…

Notons déjà le glissement sémantique de la loi : on passe des « données relatives au trafic » (L.34-1 II) aux « données techniques » (L.34-1 III). Néanmoins, dans les deux cas, ces données « ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit » (L.34-1 VI al.2).

A ce stade, nous ne savons toujours pas ce que recouvre le terme de métadonnées.

Nous savons – et ce n’est pas rien – que les contenus et les informations sur les contenus (URL ou adresse email par exemple) n’en font pas partie.

Mais ce n’est pas fini. Restent les décrets…

Ce que pensent les citoyens français de la protection de leurs données…

Métadonnées (dans la boite noire)  7 – Le décret du 30 mars 2012

Le décret visé par l’article L.34-1 III CPCE date du 30 mars 2012 (décret n°2012-436 portant transposition du nouveau cadre réglementaire européen des communications électroniques) et a modifié l’article R.10-13 CPCE :

I- … les opérateurs de communications électroniques conservent … :

a) Les informations permettant d’identifier l’utilisateur ;

b) Les données relatives aux équipements terminaux de communication utilisés ;

c) Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ;

d) Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;

e) Les données permettant d’identifier le ou les destinataires de la communication.

II – Pour les activités de téléphonie l’opérateur conserve les données mentionnées au II [comprendre « de l’article L.34-1 CPCE », c’est-à-dire « toute donnée relative au trafic »] et, en outre, celles permettant d’identifier l’origine et la localisation de la communication…

Il ressort sans ambiguïté de la combinaison des articles L.34-1 et R.10-13 CPCE que les opérateurs télécoms et les FAI ne peuvent donc pas conserver les informations sur les contenus des communications (y compris les adresses emails ou URL des pages web) « sous quelque forme que ce soit« , la loi (art. L.34-1) prévalant sur le décret (art. R.10-13).

Les « données techniques » (le terme n’est même pas repris dans l’article R.10-13) sont donc les données d’acheminement qui décrivent techniquement une communication (le « qui ? », le « où ? » et le « quand ?« ) :

– des informations permettant d’identifier l’utilisateur (l’identifiant d’une connexion Internet) et les destinataires (« qui ?« ) ;

– l’origine et la localisation de la communication (« où ?« ) ;

– les caractéristiques techniques de chaque communication (horaire et durée compris) (« quand ?« ).

Cherchons encore ?

#PJLRenseignement
exemple de tri de « données techniques » dans un tableau Excel. Présenté de la sorte, ce n’est pas très parlant. Et pourtant…

Métadonnées (dans la boite noire)  8 – Le décret du 15 mars 2015

Tiens, il nous avait échappé, celui-là… Ce décret (tout neuf, tout frais) n°2015-349 du 15 mars 2015 a créé un nouvel article R.10-13-1 CPCE et concerne les Opérateurs d’Importance Vitale (les « OIV »).

Pour « les besoins de la sécurité des systèmes d’information de l’Etat » et des OIV, les « opérateurs de communications électroniques » [opérateurs télécom et FAI] doivent conserver :

– les informations permettant d’identifier l’utilisateur (« qui ?« );

– les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication (« quand et où ?« ).

Nous n’apprenons donc rien de plus de cet article qui renvoie au a) et au c) de l’article R.10-13 (le décret du 30 mars 2012 ci-dessus).

Cherchons (encore) ailleurs…

datacenter

Métadonnées (dans la boite noire)  9 – Le décret du 24 décembre 2014

[mise à jour du 28 février 2016] Ce décret a été en vigueur du 1er janvier 2015 au 29 janvier 2016, date à laquelle a été publié un décret similaire en application de la loi Renseignement. Il est donc aujourd’hui de facto abrogé.

Autre décret, actuellement en vigueur, qui pourrait nous éclairer : le décret n°2014-1576 du 24 décembre 2014 relatif à l’accès administratif aux « données de connexion« . Il s’agit de l’actuel régime de collecte de données (en vigueur depuis le 1er janvier 2015), que la loi sur le renseignement remplacera dès son adoption définitive.

Ce décret traite, non des « donnée[s] relative[s] au trafic » ni des « données techniques« , mais des « données de connexion« .

Voilà qui ne rend pas notre analyse aisée (est-ce un choix de la part du législateur ou le résultat de son incompétence ?).

Et ces « données de connexion » sont définies par renvoi aux articles R.10-13 et R.10-14 du CPCE (tiens ?!) et à l’article 1er du décret n°2011-219 du 25 février 2011 « relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne« .

Nous venons de voir (ci-dessus) que l’article R.10-13 CPCE ne nous apprend rien.

L’article R.10-14 CPCE provient du même décret de 2012 et ne nous apprend rien non plus (reprise plus ou moins similaire des critères de l’article R.10-13 pour des motifs de facturation ou de sécurité).

Allons donc lire ce nouveau décret…

#PJLRenseignement des données de nature à permettre l'identification

Métadonnées (dans la boite noire) 10 – Le décret du 25 février 2011

Le décret n°2011-219 du 25 février 2011 est beaucoup plus intéressant. C’est l’application de la LCEN du 21 juin 2004 qui impose aux hébergeurs et aux éditeurs de sites web de conserver « les données de nature à permettre l’identification de quiconque a contribué à la création du contenu … des services dont elles sont prestataires« . Ces « données » (sans autre détail) sont juste « de nature à permettre l’identification » d’une personne.

Le décret du 25 février 2011 fixe donc (enfin !) le détail des « données de nature à permettre l’identification » [extraits] :

1° Pour … chaque connexion de leurs abonnés:

a) L’identifiant de la connexion ;

b) L’identifiant attribué par ces personnes à l’abonné ;

c) L’identifiant du terminal utilisé pour la connexion lorsqu’elles y ont accès ; …

2° Pour … chaque opération … :

a) L’identifiant de la connexion à l’origine de la communication ;

b) L’identifiant attribué par le système d’information au contenu, objet de l’opération ;

c) Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus ;

d) La nature de l’opération ;

3° … les informations fournies …par un utilisateur lors de la création d’un compte :

a) Au moment de la création du compte, l’identifiant de cette connexion ;

b) Les nom et prénom ou la raison sociale ;

c) Les adresses postales associées ;

d) Les pseudonymes utilisés ;

e) Les adresses de courrier électronique ou de compte associées ;

f) Les numéros de téléphone ;

g) Les données permettant de vérifier le mot de passe ou de le modifier… ;

4° … lorsque la souscription …du compte est payante… :

a) Le type de paiement utilisé ; …

c) Le montant ;

d) La date et l’heure de la transaction.

Enfin, un peu de concret ! Et c’est ici qu’il convient de tomber de sa chaise ! A la lecture du 2° b) de cet article. Car on dépasse ici le « qui ? », le « où ? » et le « quand ?« .

« L’identifiant attribué … au contenu, objet de l’opération » : c’est l’adresse URL, l’adresse précise d’une page web, voire un élément d’une page web (un commentaire, un message, etc.).

Ici, on ne parle plus d’un identifiant de connexion, mais bien de l’identification précise d’un contenu. Cet identifiant, c’est le « quoi ?« . Cet article impose donc aux hébergeurs et aux éditeurs de sites web de conserver une trace des contenus et des messages que nous publions en ligne. C’est donc une atteinte flagrante au secret des correspondances électroniques. Encore une…

[mise à jour du 28 février 2016] Entre mars et juin 2015, le Gouvernement a tenté d’expliqué aux « exégètes amateurs » (dont nous étions) qu’ils n’avaient rien compris à la subtilité des mécanismes du projet de loi Renseignement. Pourtant, à peine six mois plus tard, la Commission nationale de l’informatique et des libertés, sur ce point précis, a émis des réserves absolument identiques aux nôtres, dans sa délibération n°2015-455 du 17 décembre 2015 à propos du projet de Décret n°2016-67 du 29 janvier 2016 relatif aux techniques de recueil de renseignement (n°2016-67 du 29 janvier 2016 relatif aux techniques de recueil de renseignementdétaillant la collecte des métadonnées en application de la loi Renseignement (et merci à Marc Reese du site Next INpact d’avoir obtenu et mis en ligne cette délibération).

 

Illustration de la conception de M. Cazeneuve, Ministre de l’intérieur de la notion de « lettre ouverte »

Revenons maintenant à la notion de « données techniques » de la loi sur le renseignement.

Métadonnées (dans la boite noire) 11 – Et la loi sur le renseignement dans tout ça ?

[art. L.851-1 CSI] … peut être autorisé le recueil … des informations ou documents, traités ou conservés … y compris les données techniques relatives à l’identification des numéros d’abonnement ou de connexion à des services de communications électroniques, au recensement de l’ensemble des numéros d’abonnement ou de connexion d’une personne désignée, à la localisation des équipements terminaux utilisés ainsi qu’aux communications d’un abonné portant sur la liste des numéros appelés et appelants, la durée et la date des communications.

Incroyable !

L’article L.851-1 CSI évoque les « données techniques » qui ne sont pas celles visées aux articles R.10-13, R.10-14 CPCE, ni à l’article 1er du décret n°2011-219 du 25 février 2011 puisque qu’il n’y fait pas référence.

Au final, nous ne savons donc rien du « qui ? », ni du « où ?« , ni du « quand ? » de ces « données techniques« , qu’elles soient collectées, enregistrées et stockées pour surveiller une personne identifiée [art. L.851-3 CSI] ou pour « détecter une menace terroriste » [art. L.851-4 CSI].

Que faut-il alors penser des « informations ou documents traités ou conservés » ? C’est le « quoi ? » ?

C’est proprement consternant !

C’est d’autant plus consternant que l’article R.40-43 du Code de procédure pénal encadre les interceptions de correspondances par l’autorité judiciaire en visant expressément les « articles R. 10-13 et R. 10-14 CPCE » et le « décret n° 2011-219 du 25 février 2011« .

Pourquoi la loi sur le renseignement fait-elle l’économie d’un renvoi à des textes connus ?

Serait-ce le Ministre de l’intérieur se rendant au Sénat ?

Métadonnées (dans la boite noire) 12 – Un enregistrement anonyme de données d’identification (????)

Relisez ce titre et cherchez l’erreur… C’est pourtant la très exacte synthèse de l’article L.851-4 CSI.

Les articles L.34-1, R.10-13 et R.10-14 CPCE et l’article 1er du décret n°2011-219 renvoient dans tous les cas à des données permettant l’identification de personnes physiques.

Mais ce ne sont pas les « données techniques » qui seront recueillies, enregistrées et stockées par nos services spécialisés de renseignement.

Alors, que peut faire un « dispositif destiné à détecter une menace terroriste sur la seule base de traitements automatisés » alors que lui est interdit « l’identification des personnes » ?

Comment peut-on faire fonctionner un « dispositif » sans identifier les personnes, alors que l’ensemble des textes relatifs aux « données » à recueillir traitent des « donnée[s] relative[s] au trafic« , des « données techniques« , ou des « données de connexion« , sont tous destinés au final à identifier des personnes ?

Les journalistes, juges, parlementaires et avocats qui se croient protégés par le texte actuel du projet de loi sur le renseignement [articles L.821-5 et 821-7 du futur CSI] peuvent frémir : les données les concernant seront aspirées, comme celles des autres.

Comment un « dispositif » de « traitements automatisés » pourrait-il être capable de savoir « qui ? » est concerné lorsque les données sont aspirées ?

Le discours que nous sert le gouvernement est simplement incohérent.

Ou alors, il faut s’intéresser à la notion de « traitement automatisé« , à l’algorithme contenu dans le « dispositif » (la boite noire).

#PJLRenseignement boite noire 1
La boite noire rêvée par le gouvernement
Ce que devrait valider la future Autorité de contrôle du renseignement

Métadonnées (dans la boite noire) 13 – La vie rêvée des anges traitements automatisés

Selon M. Cazeneuve, Ministre de l’intérieur, cité par Le Monde au mois d’avril dernier, « l’algorithme permettrait de repérer les premières connexions à [une] vidéo [de décapitation], émanant de France. L’idée serait alors de repérer des Français complices de la publication de cette vidéo ».

Cazeneuve poursuit : « l’algorithme est là pour éviter que l’on prenne toutes les données ». Le Monde de conclure que « l’argument du gouvernement est simple : quelle que soit la portée de cette boîte noire, c’est-à-dire la quantité de données qu’elle va collecter et analyser, il ne s’agit pas de surveillance massive puisque seules les données repérées par ordinateur feront l’objet d’une analyse humaine ».

Pour le dire autrement, notre Ministre nous affirme que le « dispositif » est un simple « traitement automatisé« . Donc, aucun agent des services de renseignement n’ira regarder les données collectées. C’est le logiciel qui fait le travail, pas les agents des services… Comme personne n’ira regarder les données collectées, enregistrées et stockées, ces données seront anonymes. CQFD !

Le même exemple et le même argumentaire viennent d’être réutilisés par MM. Cazeneuve et le Drian (Ministre de la défense) le 12 mai 2015 lors des auditions par le Sénat.

Franchement, de qui nos ministres se moquent -ils ?

Reprenons leur exemple : si une vidéo est postée sur YouTube, le « dispositif » devra nécessairement écouter en profondeur tout le trafic à destination de YouTube, car l’identifiant de la vidéo ne figure pas dans les « données de trafic« .

Pour identifier la fameuse vidéo, il faudra bien examiner les adresses de toutes les vidéos consultées sur YouTube. Pas seulement le « qui ? », le « où ? » ou le « quand ? » de la communication électronique. Les services de renseignement devront nécessairement s’intéresser au « quoi ? » de cette communication, en interceptant massivement le trafic.

Et la loi sur le renseignement ne précise aucunement le type de « données techniques« , et encore moins les « informations ou documents » qui seront alors collectés, enregistrés et stockés.

Malgré 3 lois et 4 décrets sur ce sujet précis !

On se croirait dans le film de Walt Disney dans lequel le serpent hypnotise ses victimes en susurrant faites moi confiance

M. le Premier ministre vous écoute avec attention

Pourtant, ces « informations ou documents, y compris les données techniques » seront conservés 5 ans (ou de manière illimitée s’ils sont cryptés). Pour ne pas être réutilisés ? Pourquoi les conserver alors ?

Le gouvernement nous prend vraiment pour des dindons (restons politiquement corrects) et nous n’aimons pas du tout (mais pas du tout du tout) le goût de la farce qu’il tente de nous faire avaler, apparemment dans un large consensus gauche/droite.

#PJLRenseignement M. Cazeneuve
M. le Ministre de l’intérieur vous écoute aussi (mais pas vos critiques)

Métadonnées (dans la boite noire) 14 – La conclusion qui fait mal

En synthèse, le projet de loi sur le renseignement ne dit donc RIEN des « données techniques » qui seront massivement collectées, massivement enregistrées et massivement stockées. Ni à quoi elles pourront servir dans 5 ou 10 ans.

Il y aura inspection en profondeur des communications électroniques (le fameux deep packet inspection) chez les FAI ou les hébergeurs, c’est-à-dire une interception de correspondance (voir nos explications sur le sujet).

Il serait temps d’avoir un débat transparent sur le sujet, plutôt qu’une censure (fort peu démocratique) de toute contestation de la pertinence de cette loi…

Devrons-nous attendre la décision du Conseil Constitutionnel pour revenir à plus de raison ? [mise à jour du 28 février 2016] Hélas non. Que les courageux aillent lire la décision Conseil constitutionnel du 23 juillet 2015 sur la loi Renseignement.

P.S. très personnel : Merci, cent fois merci à Jef Mathiot pour ses explications techniques IN-DIS-PEN-SA-BLES !