- L’économie générale de ce texte vise à pallier des insuffisances évidentes dans la lutte contre le crime informatique, ce qui est une bonne chose. Nous avions besoin d’une harmonisation des notions de base afin d’accélérer et de mieux coordonner les procédures judiciaires. Qu’est-ce qu’une "intrusion informatique", par exemple ? Les pays n’ont pas tous la même définition. Ils n’ont pas tous une loi Godfrain, comme la France, pour préciser ces termes, et ce vide juridique risque d’être gênant au quotidien.

D’autre part, ce texte renforce utilement la coopération des autorités judiciaires et policières.

Mais la rédaction du document, plutôt monolithique, trahit le manque de concertation avec les industriels. Ce texte est essentiellement d’inspiration judiciaire et policière. On est encore sur le mode : les autorités vous demandent l’information, vous, fournisseur d’accès, vous la donnez. Point barre.

Pourquoi les fournisseurs d’accès n’ont-ils pas eu voix au chapitre dans l’élaboration de ce projet ?

- Ce qui me navre, c’est que nous avions demandé à être consultés. Cela fait un certain temps que j’ai réclamé que ce document devienne public. Elle va finalement avoir lieu (le 13 avril, NDLR) de manière anticipée - elle était prévue pour décembre. Mais dans l’ensemble, tout cela n’est pas très transparent. La convention est rédigée par des experts judiciaires et des services répressifs qui ne sont pas habitués à ouvrir leur forum de discussion... Cela tient aussi à la structure du Conseil de l’Europe, qui intègre des ...tats et non des organisations. Les ...tats envoient leurs délégations publiques, c’est de bonne guerre. De plus, il est vrai que les thématiques pénales sont encore un domaine sensible. La corégulation a ses limites.

Concrètement, ce manque de concertation se traduit-il par des dispositions dont les fournisseurs d’accès à Internet pourraient se plaindre ?

- Ce texte est trop univoque. On n’y voit pas la patte des autorités de protection des données personnelles comme la CNIL. De même, on n’évoque jamais le surcoût financier pour les fournisseurs d’accès à Internet qui découle de ces mesures.

Nous aurions aimé qu’on définisse les "demandes raisonnables" que peuvent formuler les services judiciaires et de police auprès des fournisseurs d’accès. Combien de temps faut-il conserver les données de connexion des internautes ? La tendance est à un délai maximum de trois mois. Un groupe de travail de la Commission européenne auquel nous participons a considéré que c’était une pratique efficace. Si le prestataire n’est pas en mesure de communiquer les données, quel risque encourt-il ?

Et surtout, que peut-on exiger comme informations, et selon quelles modalités ? Aujourd’hui, en France, au stade de l’enquête préliminaire, nous ne sommes pas supposés livrer les mails et les données de connexion. Nous pouvons ne rien dire, ou bien simplement communiquer les coordonnées postales. Il faut une réquisition judiciaire et une commission rogatoire pour que nous passions les données de connexion. Quant au contenu des messages, il nous faut une commission rogatoire "écoutes" ! Sur ce point, le texte est silencieux.

Enfin, dans quel délai sommes-nous supposés livrer les informations ? S’il faut retrouver des données datant de dix ans en dix minutes, nous devrons investir dans des machines monumentales, qui n’existent pas encore, et qui coûteront très cher. D’où le problème de la compensation financière des prestataires Internet, qui n’est pas évoqué.

Le chapitre des interceptions sur Internet n’est pas développé dans le texte du projet. Quelle est votre position sur ce sujet ?

- La question de l’interception est cruciale. J’étais déjà inquiet avec l’affaire Enfopol (série de documents élaborés au sein des ...tats membres de l’Union européenne, visant à faire accepter le principe de l’interception par les services secrets des communications électroniques, y compris sur Internet. Ces documents dont l’existence a été révélée au public en 1998 étaient nettement inspirés par les ...tats-Unis, et notamment par la National Security Agency. NDLR). En effet, les gouvernements européens prévoyaient d’étendre le droit d’intercepter les communications téléphoniques à Internet - à la hache, sans faire de détail. Or ces médias ne sont pas comparables. Le téléphone, c’est une conversation. Pour écouter les correspondances privées, il faut une commission rogatoire. Sur Internet, il y a, en plus, des flux bancaires. À cause du secret bancaire, d’autres règles s’appliquent. On n’intercepte pas de la même façon le coup de fil de madame Michu et un virement de fonds entre le Nicaragua et le Panama  !

Lien de l’article :