Jusqu'à présent, les opérateurs n'étaient pas autorisés à rechercher dans les flux qu'ils font transiter via leurs réseaux des informations (adresse IP, métadonnées...) susceptibles de pister un individu.

Arcep logo vignette Le projet de loi de programmation militaire pour 2019-2025 devrait leur imposer de rechercher des données cibles transmises par l'Anssi (Agence nationale de sécurité des systèmes d'information), par exemple dans le cadre de la prévention d'actes terroristes.

Les requêtes et le cadre de ces nouvelles dispositions devraient être supervisés par l'Arcep qui s'inquiète déjà des modalités et des conséquences de telles mesures. Elle rend ainsi un avis sur le projet de loi en insistant sur la nécessité de cadrer le champ d'action du nouveau pouvoir de l'Anssi.

Le secret des correspondances malmené ?

Elle fait valoir que la recherche de marqueurs par les opérateurs dans leurs flux risquent d'"engendrer des impacts significatifs sur l'exploitation des réseaux des opérateurs de communications électroniques" et appelle à une concertation avec ces derniers, tout en rappelant que les surcoûts liés à la mise en place des mesures devront faire l'objet de compensations par l'Etat.

Anssi-logo L'Autorité alerte notamment sur les implications de la recherche des marqueurs dans les données techniques mais aussi jusque dans le contenu des communications.

Elle "s'interroge donc sur le périmètre des informations auxquelles les opérateurs donneraient accès, le cas échéant, à ces systèmes de détection" et demande des précisions sur le choix des marqueurs et les conséquences sur le droit au respect de la vie privée.

Cela implique que le respect du secret des correspondances, auquel sont tenus les opérateurs, pourrait faire l'objet de dérogations "dans les cas limitativement définis par les textes". Encore faudra-t-il précisément les définir.

Ces questions se posent de même dans le cas où l'Anssi installerait son propre système de détection temporaire chez les opérateurs, les entreprises stratégiques ou les fournisseurs de services.

Beaucoup de questions sans réponses

L'Arcep s'inquiète également du respect de l'Internet ouvert dans la mesure où le projet de loi permettra la "mise en place de mesures de gestion de trafic pour bloquer des flux malveillants". Elles ne doivent en principe être activées que lorsque les menaces sont concrètes et il faudra là aussi apporter une clarification.

L'Autorité voudrait par ailleurs savoir si les opérateurs auront le choix d'installer ou non les systèmes de détection sur leurs réseaux. Si ce n'est pas le cas, "cela reviendrait de facto à imposer à tous les opérateurs sollicités par l'Anssi de mettre en place un système de détection".

Enfin, l'Arcep note que le rôle de supervision que le gouvernement souhaite lui attribuer manque cruellement de détails et que la législation actuelle ne lui permet pas de contrôler les actions de l'Anssi sur les réseaux des opérateurs.

En conséquence, elle "attire très fortement l'attention du gouvernement sur la nécessité de prévoir les ressources et l'expertise adéquates, sur ces sujets extrêmement pointus, pour accomplir cette mission".