Source : nextinpact.com (02 novembre 2016)
Le 17 octobre, Orange a bloqué Google, Wikipedia et d’autres sites pour apologie du terrorisme. Le député Lionel Tardy demande désormais des comptes au ministère de l’Intérieur
Un décret de février 2015 permet à la place Beauvau d’adresser régulièrement une liste noire de sites à bloquer aux fournisseurs d’accès français. Dans cette procédure sans juge a priori, les FAI, n’ont pas d’autres choix : une fois cette liste non publique en main, ils doivent alors rediriger les visiteurs des sites litigieux vers l’adresse IP du ministère qui explique les raisons du blocage (apologie ou incitation au terrorisme, pédopornographie).
Voilà pour la théorie.
Mi-octobre, ces rouages bien huilés ont grincé chez Orange. Suite à « une erreur humaine », un cafouillage s’est produit lors de l’actualisation de la liste noire. Résultat ? Plusieurs sites légitimes ont été bloqués. Et pas des nains : Google, Wikipédia, OVH. Il y aurait même une centaine de sites frappés par ce « fail » selon les informations données par le ministère, lors d’une réunion interne.
Le 18 octobre, l’Intérieur a communiqué sur l’incident : il a demandé des clarifications à Orange sur l’incident. Surtout, le même ministère a exigé de son prestataire technique « l’effacement définitif » des adresses IP collectées à des fins statistiques lors des consultations de la page de redirection.
Quelles ont été les données glanées dans la page de redirection ?
Cette précision a suscité la curiosité du député Lionel Tardy qui vient de questionner Bernard Cazeneuve sur « le périmètre des données traitées » par la page de redirection. Et notamment sur « la conservation ou non de l’URL complète émise par le navigateur de l’Internaute et qui figure dans la requête HTTP traitée par le serveur de renvoi ».
Il se souvient à cette occasion que dans son avis sur le décret de février 2015, la CNIL « relevait que le cadre juridique actuel ne permet ni la collecte ni l’exploitation [par l’Intérieur], des données de connexion des internautes qui seraient redirigés vers la page d’information du ministère de l’Intérieur ».
Certes, la CJUE a récemment estimé que la conservation des adresses IP pour lutter contre les cyberattaques était possible pour l’exploitant, mais cette modalité doit être prévue par les textes. Or, le doigt sur la législation française, le député constate qu’ « il n’existe à ce jour aucune obligation spécifique de conservation à la charge d’un exploitant de service Internet de l’adresse IP de ses visiteurs ou utilisateurs ». De fait, l’obligation de conservation des données d’identification ne concerne que la création et la modification des contenus en ligne. Pas la consultation.
La CNIL a-t-elle autorisé un tel traitement ?
Du coup, il demande au ministère de clarifier « la portée des obligations de conservation des données de connexion pour les exploitants de sites Internet, et savoir si l’adresse IP des visiteurs fait partie des données devant être conservées ». De même, il veut savoir si le traitement de données en vigueur sur la page de redirection « a bien fait l’objet d’un examen préalable par la CNIL, et dans l’affirmative quelles sont les raisons qui motivent l’absence de publication de l’avis ».
Précisons enfin que la CNIL autorise les mesures de fréquentations sans recueil préalable du consentement de l’internaute. Seulement, celui-ci doit alors profiter « d’une information claire et complète » sur ce traitement, tout en bénéficiant de la possibilité de s’y opposer. Par ailleurs, « les deux derniers octets de l’adresse IP doivent être supprimés » afin d’éviter une géolocalisation trop précise.
