Un décret oblige désormais les fournisseurs de services sur Internet à conserver pendant un an mots de passe, traces d’achats ou commentaires laissés sur le web par les internautes. La police pourra y avoir accès lors d’enquêtes, ainsi que le fisc ou l’URSSAF. Tollé général sur la Toile.
La publication du décret n° 2011-219 du 25 février au Journal Officiel a immédiatement provoqué une levée de boucliers des défenseurs de la liberté sur le web. Sites de commerce en ligne, fournisseurs d’accès à Internet, gestionnaires de comptes e-mail ou plateformes de vidéo (YouTube, Dailymotion...) doivent désormais conserver pendant un an l’intégralité des informations renseignées par l’internaute sur les sites concernés.
Les données en question sont notamment : les nom, prénom et raison sociale ; adresses postales ; pseudonymes utilisés et mots de passe ; adresses électroniques et mot de passe associé ; numéros de téléphone ; adresses IP ; heures et dates précises de connexion et de déconnexion. En clair, l’ensemble des informations personnelles des internautes, y compris les plus confidentielles, sont désormais mises à disposition des autorités. Un gestionnaire de boîtes e-mails (Yahoo, Hotmail, Gmail par exemple) est dorénavant dans l’obligation de conserver la totalité des informations données par l’internaute lors de son inscription, y compris son mot de passe, ainsi que « les données permettant de le vérifier ou de le modifier ». Autrement dit la fameuse "question" à laquelle une réponse a été attribuée.
Sont également concernés par ce pistage les commentaires postés sur des forums de discussion, les billets publiés sur des blogs ou encore les vidéos ou photos mis en ligne sur les grands sites spécialisés. Cet ensemble de données devra être rendu disponible, pour les besoins d’enquêtes diverses, à tout un ensemble de services. Et officiellement pour des besoins précis. La police et la gendarmerie en tout premier lieu. Mais également les services du fisc, lorsqu’ils mènent des investigations sur les contribuables. Ceux de l’URSSAF, en cas notamment de suspicion de fraude. Ceux de la répression des fraudes également, concernant essentiellement les ventes sur Internet. Ou encore les agents des douanes. Le décret élargit ainsi le champ d’application de la loi du 21 juin 2004 qui ne préconisait l’utilisation de ces données que par la police et la gendarmerie et « afin de prévenir les actes terroristes ».
Sa publication provoque déjà une levée de boucliers de la part d’associations d’usagers d’Internet, mais aussi des opérateurs concernés par cette obligation. Nombreux soulignent les risques d’atteinte à la vie privée. Pour Jérôme Thorel, président de l’ONG Privacy France, « cela va à l’encontre des principes fondamentaux d’une démocratie. C’est disproportionné, c’est sans commune mesure avec le Big Brother qu’avait pu imaginer George Orwell ».
Pour sa part, l’Association française des Services Internet Communautaires (ASIC, regroupant notamment les branches françaises de Google, Facebook, PriceMinister, Dailymotion ou encore Ebay) envisage de saisir le Conseil d’État pour faire annuler le décret. Selon l’ASIC, « stocker certains mots de passe ou contenus est interdit par la loi ».
