et 
!
Au Journal officiel, ce week-end, a été publié l’un des tout derniers décrets d’application de la loi sur le renseignement. Il touche au cœur de la mécanique de surveillance, en dressant la liste des données techniques de connexion accessibles aux services de surveillance.
Ce décret confie d’abord un rôle pivot au groupe interministériel de contrôle, dont le président sera nommé par Manuel Valls. Le GIC, organisme placé auprès du Premier ministre, va en effet enregistrer l’ensemble des autorisations de surveillance qu’aura prononcée celui-ci. Ceci fait, il recueillera et conservera l’ensemble des métadonnées glanées auprès des intermédiaires techniques, hébergeurs et FAI, tout en centralisant l’exécution des interceptions de sécurité (« écoutes ») et leurs retranscriptions. Enfin, il va « contribuer » à la centralisation et à la traçabilité de ces différentes opérations. Bref, un rôle fondamental dans la mise en œuvre de la loi sur le renseignement.
Quelles sont les données de connexion ?
Le même texte définit surtout ce que sont les données de connexion susceptibles d’être recueillies. Ce point est là encore primordial, car il touche aux « informations ou documents » pouvant être aspirés par les services sur le dos des infrastructures, serveurs, etc. des intermédiaires.
Le nouvel article R851-5-I commence par définir ce que les données de connexion ne sont pas : elles ne peuvent viser le « contenu des correspondances échangées ou des informations consultées ». C’est là une suite de la décision du Conseil Constitutionnel, qui fut appelée à définir ce champ suite à une question prioritaire de constitutionnalité soulevée par la Quadrature du Net, FDN et FFDN.
Mais quelles sont donc les données de connexion que pourront butiner les services ? Elles dépendent de la qualité de l’intermédiaire, tel que définit par le Code des postes et des télécommunications. Ces données peuvent par ailleurs être glanées en temps différé ou en temps réel.
Les données glanées en temps différé
Opérateurs de communications électroniques :
Les informations permettant d’identifier l’utilisateur, notamment pour les besoins de facturation et de paiement
Les données relatives aux équipements terminaux de communication utilisés
Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication
Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs
Les données permettant d’identifier le ou les destinataires de la communication
Les opérateurs de téléphonie :
Les données permettant d’identifier l’origine et la localisation de la communication
Les données permettant d’établir la facturation
Les « opérateurs » :
Les données permettant d’identifier l’origine de la communication
Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication
Les données à caractère technique permettant d’identifier le ou les destinataires de la communication
Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs
Les FAI :
L’identifiant de la connexion
L’identifiant attribué par ces personnes à l’abonné
L’identifiant du terminal utilisé pour la connexion lorsqu’elles y ont accès
Les dates et heure de début et de fin de la connexion
Les caractéristiques de la ligne de l’abonné
Les hébergeurs :
L’identifiant de la connexion à l’origine de la communication
L’identifiant attribué par le système d’information au contenu, objet de l’opération
Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus
La nature de l’opération
Les date et heure de l’opération
L’identifiant utilisé par l’auteur de l’opération lorsque celui-ci l’a fourni
Les FAI et hébergeurs :
Au moment de la création du compte,
l’identifiant de cette connexion
Les nom et prénom ou la raison sociale
Les adresses postales associées
Les pseudonymes utilisés
Les adresses de courrier électronique ou de compte associées
Les numéros de téléphone
Les données permettant de vérifier le mot de passe ou de le modifier, dans leur dernière version mise à jour
Lorsque la souscription du contrat ou du compte est payante, les informations suivantes relatives au paiement, pour chaque opération de paiement :
Le type de paiement utilisé
La référence du paiement
Le montant
La date et l’heure de la transaction.
