L’Internet autorise la connexion anonyme de ses usagers. Certes, une écrasante majorité d’entre eux accède via un fournisseur d’accès Internet qui les a quant à lui, identifié. Cependant, il peut être dit que l’accès est anonyme dans la mesure où l’ouverture d’une session et l’accès aux services de l’Internet, n’exige pas de l’internaute une identification expresse ou en tous cas une authentification comme dans le réseau carte bancaire lorsque le porteur d’une carte veut accéder à partir d’un distributeur automatique de billets.
Ce délaissement de l’identité numérique a eu deux conséquences probablement non attendues. Première conséqueunce, cela a contraint chaque fournisseur de services à mettre en place son propre service d’identification. Ainsi donc, l’internaute, lorsqu’il accède à son service favori, par exemple le forum de discussion de mon site de beauté préféré, passe d’abord par une phase d’inscription généralement déclarative d’un profil : le plus souvent l’internaute déclare une identité jetable de type pseudo si ce n’est une identité fausse. Le fournisseur de service en fonction de la valeur du service qu’il offre, opérera sur cette déclaration une vérification plus ou moins sérieuse. Le plus souvent, il vérifiera l’email en demandant une confirmation de l’inscription par le click sur un lien figurant dans l’email envoyé à l’adresse déclarée, soit il ne fera rien ou pas grand chose. Seconde conséquence, l’identification sur Internet est de faible valeur. Cela a permis toute une série d’actes parfois délictueux de type contrefaçons, atteintes à la vie privée, diffamation etc. … Il s’est avéré difficile voire impossible d’identifier les auteurs de ces actes.
Il n’en fallait pas moins aux autorités publiques pour, sous ce prétexte, pour mettre en place une véritable société de la surveillance. La loi allait imposer aux intermédiaires techniques, Fournisseurs d’accès (FAI), opérateurs en tous genres et hébergeurs, de conserver les « données techniques de connexion » pendant une année à compter de la date de leur enregistrement et ce, dans le but de palier le défaut d’identification d’Internet. Deux textes de loi imposent ainsi la traçabilité pour les personnes présentes en ligne. La première de ces obligations figure à l’article L34-1 du Code des postes et des communications électroniques (CPCE), l’ancien Code des postes et télécoms : « pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales, et dans le seul but de permettre, en tant que de besoin, la mise à disposition de l’autorité judiciaire d’informations », les opérateurs de communications se voient imposer de conserver « certaines catégories de données techniques ». La population concernée par l’obligation de tracer est parfaitement identifiée : il s’agit des opérateurs de communications électroniques, c’est-à-dire les anciens opérateurs de télécommunications (Orange France Télécom, SFR, Neuf Cegetel, Tele2, etc.) et les fournisseurs d’accès Internet. Ces acteurs disposent d’un statut. Ils ont l’obligation de se déclarer auprès de l’Autorité de régulation des communications électroniques et des postes (Arcep), qui tient à jour la liste des opérateurs sur son site Web , et payent à cette dernière des taxes administratives en fonction de leur chiffre d’affaires. En particulier, ils contribuent financièrement au service universel (droit au téléphone, cabines publiques téléphoniques, etc.), toujours géré par Orange France Télécom à ce jour. Bien que les opérateurs soient parfaitement identifiés et encadrés par la loi, l’article L34-1 du CPCE ne précise ni la durée ni la nature exacte des données techniques qu’ils doivent conserver. Ces précisions ont été apportées par un décret du 24 mars 2006 pris en application de l’article L34-1 du CPCE : la durée de conservation des données techniques est fixée à un an à compter du jour de leur enregistrement. Au-delà, l’opérateur a l’obligation de les détruire. Le décret définit aussi les types de données concernées par la conservation, mais il est rédigé d’une telle façon que toutes les informations détenues par les opérateurs sont visées, y compris les données purement administratives. La lecture des données énumérées par le décret comme techniques a de quoi étonner. Dans la catégorie des « informations permettant d’identifier l’utilisateur », il semble que de simples données administratives, comme les données sollicitées par l’opérateur pour l’ouverture d’une ligne (nom, prénom, adresse), soient considérées comme des données techniques de connexion. En réalité, le décret oblige l’opérateur à conserver toutes les données en possession desquelles il se trouve et, surtout, à les produire sur demande : un juge d’instruction, le parquet ou un simple plaignant quel qu’il soit, autorisé en justice au vu d’une simple requête, peuvent obtenir en toute légalité ces informations d’un opérateur. Le décret dispose que les opérateurs sont dédommagés par l’État lorsqu’ils sont requis par une autorité judiciaire pour fournir des données conservées. Enfin, l’article L30-3 du CPCE prévoit une peine d’emprisonnement maximale d’un an et une amende maximale de 75 000 euros pour les opérateurs qui ne respecteraient pas la conservation des données techniques de connexion dans les conditions légales. Mais un second texte de loi crée une autre obligation de traçabilité, d’une nature et d’une justification nettement différente du premier, et ici, très contrestable. Selon l’article 6, II, de la loi du 21 juin 2004 (LCEN) , les personnes « dont l’activité est d’offrir un accès à des services de communication au public en ligne » et celles qui « assurent, même à titre gratuit, pour mise à disposition du public des services de communication au public en ligne » ont l’obligation de détenir et conserver « les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires ». Dans ce texte, le fondement de la conservation des données est tout autre que la lutte contre la délinquance pénale. Il s’agit en réalité de limiter les atteintes aux droits de tiers diffamés ou injuriés en public sur les réseaux. Le texte prévoit des sanctions pénales d’un an d’emprisonnement et de 75 000 euros d’amende et précise qu’un décret du Conseil d’État après avis de la CNIL viendra définir les données concernées, ainsi que leur durée et les modalités de leur conservation. À ce jour, aucun décret n’a été publié. Pour ajouter à la confusion, le texte qualifie ces données « d’éléments d’information », faisant douter de leur caractère technique. Par rapport aux dispositions du Code des postes et des communications électroniques, deux termes importants font défaut dans ce texte : « opérateurs » et « données techniques ». Autrement dit qui est concerné par l’obligation de conserver quoi ? C’est ce texte qui a été appliqué par la cour d’appel de Paris dans le cas rapporté en début de chapitre et qui a abouti à la condamnation de BNP Paribas . À la différence des dispositions du CPCE, on se trouve dans une réglementation à la fonction et non par rapport à un statut prédéterminé. En d’autres termes, toute personne qui endosse la fonction de fournisseur d’accès Internet ou de fournisseur d’hébergement est tenu par l’obligation de conservation. Et ce, même si, sur un plan technique, elle n’assure aucune de ces deux fonctions. Dans de telles conditions, une entreprise vis-à-vis de ses salariés, un établissement scolaire vis-à-vis de ses élèves ou des parents vis-à-vis de leurs enfants peuvent être considérés comme des « fournisseurs d’accès » ou des « hébergeurs » et se trouver débiteurs de l’obligation pénalement sanctionnée en cas de violation. Ainsi naissait la société de surveillance.
Pour y échapper, il reste à chaque citoyen … l’anonymat. Gageons que les techniques d’anonymisation de type anonymiseur et autres subterfuges, sont bien l’avenir de l’identité.