Sans intervenir dans le débat entre surveillance/réglementation et respect de la vie privée, cet article analyse les conséquences de deux articles de loi récemment votés, concernant respectivement la conservation des données des communications électroniques et les droits d’auteur et le téléchargement. Ces textes ont en effet des répercussions sur les activités touchant la sécurité des systèmes d’information.

1/ Décret sur la conservation des données des communications électroniques

Suite aux attentats terroristes de 2001, la France avait adopté la loi sur la sécurité quotidienne (LSQ) qui incluait déjà des principes de rétention de données. Dans le cadre de la transposition en droit français d’une directive européenne, le décret du 24 mars 2006 permet de mettre en œuvre la conservation des données des communications électroniques, en fixant le type des données à conserver et la durée de conservation.

Ce dernier définit quelles données de connexions les fournisseurs d'accès Internet (FAI), les opérateurs de téléphonie fixe/mobile doivent conserver "pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales".

Ces dispositions s'appliquent non seulement aux opérateurs télécoms et aux FAI, mais également à tout établissement public proposant un accès Internet public, comme les cybercafés. Le décret prévoit aussi que l'accès aux journaux de connexion par les autorités policières ne soit plus soumis à l'autorisation d'un juge, mais encadré par une personnalité qualifiée, nommée auprès du ministre de l'Intérieur.

Les données à conserver sont les suivantes :

• les informations permettant d'identifier l'utilisateur,
• les données relatives aux équipements terminaux de communication utilisés,
• les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication,
• les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs,
• les données permettant d'identifier le ou les destinataires de la communication.

Les opérateurs de téléphonie mobile devront par ailleurs être capables de fournir l'origine et la localisation d'une communication. Le décret prévoit également de dédommager les opérateurs "des surcoûts identifiables et spécifiques supportés" pour la fourniture de ces données aux autorités judiciaires qui en font la demande.

Concernant la durée de conservation des données, au sein de l’Union Européenne, elle peut être comprise entre six mois et deux ans. La France a pour sa part retenu une durée d’un an (à partir du jour de l’enregistrement).

Pour plus d’information :

• Décret n° 2006-358 du 24 mars 2006 relatif à la conservation des données des communications électroniques : http://www.legifrance.gouv.fr/WAspad/UnTexteDeJorf?numjo=JUSD0630025D
• Article de ZDNet du 27 mars 2006 : http://www.zdnet.fr/actualites/telecoms/0,39040748,39334380,00.htm
• Article de Silicon du 27 mars 2006 : http://www.silicon.fr/articles/14469/Mobile-Internet-le-decret-sur-la-conservation-des-donnees-est-paru.html

2/ Article 13 du projet de loi sur les droits d’auteur et le téléchargement

Le 21 mars 2006, le projet de loi sur les "Droits d'Auteur et Droits Voisins dans la Société de l'Information" (DAVDSI) a été définitivement voté à l’Assemblée Nationale.

Ce texte vise à réglementer les modalités de téléchargement sur Internet de fichiers soumis à droits d’auteur.

Deux aspects nous paraissent particulièrement importants pour notre communauté :

• d’une part, la régulation de la constitution et de l’usage de réseaux "Peer-to-Peer",
• d’autre part, une réglementation s’appliquant aux "Mesures Techniques de Protection" (MTP) ou "Digital Management Rights" (DRM).

Nota : On rappelle que les MTP (DRM en anglais) sont des logiciels permettant de contrôler l’usage privé des œuvres numérisées, en limitant leur utilisation ou en assurant leur traçabilité

Si ce texte a donné lieu à une levée de boucliers de la part des adeptes des réseaux "Peer-to-Peer", il intéresse les RSSI pour la sécurité de l’entreprise :

• les réseaux "Peer-to-Peer" (qui se déploient "spontanément" dans l’entreprise) accroissent le risque d'introduction de codes malicieux à l'intérieur de l'entreprise, et le risque de comportement répréhensible d'un employé,
• les outils de "cassage" pour les MTP sont analogues à ceux qui peuvent s’attaquer à des logiciels protégeant les systèmes d’information.

Ces activités seront dorénavant fortement réglementées et parfois interdites.

L’article 13 prévoit ainsi différents niveaux de sanctions en cas de contournement des "Mesures Techniques de Protection" (MTP) contre le téléchargement illégal :

• Toute personne qui parvient, par ses propres moyens, et à des fins autres que la recherche, à "contourner, neutraliser ou supprimer" un tel mécanisme, risque 3750 euros d'amende.
• L'éditeur ou le distributeur d'une solution de contournement est punissable de 6 mois d'emprisonnement et de 30000 euros d'amende.

Ces dispositions ne sont toutefois pas applicables aux actes réalisés à des fins de recherche, d'interopérabilité ou de sécurité informatique. Ainsi, l’article 7 du projet précise que l’"on ne peut pas interdire la publication du code source et de la documentation technique d'un logiciel indépendant inter-opérant pour des usages licites avec une mesure technique de protection d'une œuvre". Cette dernière disposition devrait donc préserver les intérêts des éditeurs de logiciels libres dans le domaine de l’utilisation des œuvres de l’esprit.

Pour plus d’information :

• Article du Monde du 17 mars 2006 : http://www.lemonde.fr/web/article/0,1-0@2-651865,36-751834@51-747848,0.html
• Article de ZDNet du 26 mars 2006 : http://www.zdnet.fr/actualites/internet/0,39020774,39332478,00.htm
• Article de ZDNet du 29 mars 2006 : http://www.zdnet.fr/actualites/internet/0,39020774,39334978,00.htm