Loi sur le renseignement : OVH affiche sa satisfaction
Dans une série de tweets, Octave Klaba, le fondateur d'OVH, a fait part de sa satisfaction après le vote de l'amendement 437 lors de l'examen du projet de loi sur le renseignement à l'Assemblée Nationale. Amendement portant sur l'installation de boîtes noires sur le réseau des opérateurs, FAI et hébergeurs. Un texte cousu main pour ces derniers, qui, pour la première fois de leur histoire, se sont unis pour lutter contre ce dispositif, menaçant le gouvernement de déménager leurs serveurs si le texte était adopté en l'état.
A l'issue de plusieurs réunions (dont une réunion technique précédent une rencontre avec les ministres Axelle Lemaire, Bernard Cazeneuve et Emmanuel Macron), un compromis a été trouvé. « Et cela n'a pas été simple. La posture initiale du gouvernement n'était pas à la négociation », assure Alban Schmutz, le responsable des affaires publiques de l'hébergeur, joint par Silicon.fr. Ce compromis de dernière minute est traduit dans cet amendement - dont la limpidité n'est pas la qualité première - déposé en urgence par le gouvernement et adopté hier soir par l'Assemblée Nationale.
Les métadonnées et rien qu'elles
Si ce texte maintient le principe de l'installation d'équipements d'interception sur les réseaux des prestataires, il en limite la portée, assure Alban Schmutz. Via plusieurs mesures : réaffirmation de la limitation du champ d'application à la seule lutte contre le terrorisme; exclusion de la procédure d'urgence; limitation de la mesure à 4 mois ou encore nécessité d'un avis de la Commission de contrôle (la CNCTR) en cas de renouvellement ou de modification de l'algorithme embarqué dans les équipements d'interception. Mais l'essentiel se trouve dans l'architecture juridique et technique qui sera mis en oeuvre.
Alors que le texte initial prévoyait l'installation des équipements par les services sur le coeur de réseau des prestataires - soulevant une multitude de questions déontologiques, techniques et de sécurité -, l'amendement révise significativement cette architecture, selon Alban Schmutz. « D'abord, dans l'expression de la requête, le Premier ministre devra définir le périmètre technique ciblé. On échappe donc à la surveillance de masse », estime le responsable des affaires publiques. Autrement dit, la requête devra indiquer les métadonnées à collecter. « Ensuite, nous avons obtenu la garantie de pouvoir vérifier qu'aucun contenu de communication ne sera examiné. » Traduction technique : plutôt que de prendre place en coupure sur le réseau et de voir passer l'ensemble des flux - ce qui était prévu dans la version initiale du projet de loi -, la boîte noire serait installée en dérivation, et les prestataires maitriseraient les métadonnées qui seront reroutées vers l'équipement des services de renseignement. Un choix d'architecture qui a aussi le mérite d'apporter une réponse aux questions de qualité de service que soulevait l'installation des boîtes noires, note Alban Schmutz.
Le débat citoyen demeure
« Enfin, le gouvernement est revenu sur ce qui était pour nous un casus belli : l'installation d'équipements que nous ne maîtrisions pas sur nos infrastructures par des tiers », reprend le responsable. A l'issue du vote de l'amendement, les prestataires pourront - s'ils le souhaitent - installer eux-mêmes les boîtes noires. « Et nous obtiendrons les informations nécessaires à l'exercice de nos métiers, estime Alban Schmutz, qui affirme que le gouvernement a pris l'engagement de ne pas opposer aux hébergeurs le secret défense qui entoure ces équipements. La problématique économique que nous avions soulevée a donc trouvé une réponse. Ce qui ne signifie que le projet de loi dans son ensemble ne mérite pas d'autres débats, notamment un débat citoyen ». Dans un de ses tweets, Octave Klaba ne dit d'ailleurs pas autre chose, affirmant que la loi « va modifier l'équilibre de notre société et changer nos comportements ».
Rappelons, pour finir, que la collecte de métadonnées par les boîtes noires est associée à une seconde étape, de désanonymisation des données des profils suspects, après avis de la CNCTR. Pour ce faire, les requêtes seront adressées par la voie habituelle, celle empruntée par les requêtes judiciaires et passant par le GIC (Groupement interministériel de contrôle). Charge aux prestataires de fournir alors les données personnelles demandées, les boîtes noires elles-mêmes ne stockant aucune donnée sur le long terme, assure Alban Schmutz.
Lire aussi : NIS 2 : les nouveaux défis de la conformité cyber
A lire aussi :
Renseignement : le gouvernement tente de repeindre en rose ses boîtes noires
Projet de loi sur le renseignement : les 5 sujets qui fâchent
Loi sur le renseignement : pour les opposants, un parfum de NSA
Loi sur le renseignement : le casse-tête des boîtes noires pour l'Internet français
Sur le même thème
Voir tous les articles Cloud