La CNIL critique le blocage administratif des sites

Le garant de la protection des données personnelles a publié un avis réservé sur le blocage, sans juge, de sites faisant l’apologie du terrorisme et de sites pédopornographiques. Les moyens et la sécurité du dispositif sont pointés du doigt. Alexandre Linden a été désigné pour contrôler sa mise en œuvre.

La Commission nationale de l’informatique et des libertés (CNIL) a publié le 15 janvier au Journal officiel sa délibération relative au projet de décret sur le blocage administratif, sans juge, de sites provoquant à des actes de terrorisme ou en faisant l’apologie, ainsi que de sites à caractère pédopornographique. La veille, l’instance a désigné l’un de ses membres, le conseiller honoraire à la Cour de cassation Alexandre Linden, « personne qualifiée » pour contrôler la mise en œuvre de ce dispositif controversé. Appelée par le ministère de l’Intérieur à se prononcer avant publication officielle du décret, le 6 février dernier, la CNIL, comme l’Arcep avant-elle, s’est montrée réservée.

Quelles ressources humaines et financières ?

Révélées par NextInpact, les craintes de la CNIL sont nombreuses. La Commission a d’abord constaté que « le projet de décret n’apporte aucune précision quant aux modalités d’habilitations particulières des agents de l’OCLCTIC (Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication) pouvant exiger le retrait » des contenus incriminés auprès des éditeurs ou hébergeurs, et l’information des fournisseurs d’accès à Internet (FAI). Or, en l’absence de retrait de contenus relevant des articles 421-2-5 et 227-23 du code pénal dans un délai de 24 heures, l’autorité administrative peut notifier aux FAI la liste des adresses électroniques des services incriminés pour en obtenir un blocage de type DNS. Le gouvernement a rectifié le tir dans le texte final (le décret n° 2015-125 du 5 février), à la demande de la CNIL, précisant que « seuls les agents individuellement désignés et dûment habilités par le chef de l’office sont autorisés à mettre en œuvre la procédure prévue. »

Également appelé à préciser « les moyens humains, techniques et financiers dont la personnalité qualifiée disposera pour s’assurer de la régularité des demandes de retrait et des conditions d’établissement, de mise à jour, de communication et d’utilisation de la liste transmise par l’OCLCTIC », le gouvernement a renvoyé la balle à la CNIL. « La personnalité qualifiée dispose pour l’exercice de ses fonctions des services de la Commission nationale de l’informatique et des libertés », a finalement indiqué l’exécutif français dans le décret publié le 6 février. Quant « aux moyens spécifiques » dont devraient être dotés la personnalité qualifiée, selon la CNIL, ils se limitent à l’assistance non chiffrée d’un interprète.

Des mesures de sécurité à préciser

Une autre pierre d’achoppement concerne la confidentialité de la transmission de la liste d’adresses électroniques des sites incriminés par l’OCLCTIC aux FAI et à la personnalité qualifiée. La CNIL note que l’échange s’effectuerait par courrier électronique et que des mesures de sécurité étaient encore à l’étude, la semaine dernière, pour en garantir « la confidentialité et l’intégrité ». Dans l’expectative, l’instance a demandé à être informée « des mesures effectivement mises en œuvre ». La Commission observe, par ailleurs, que le projet de décret « ne mentionne pas les modalités de transmission des demandes de retrait aux hébergeurs et éditeurs concernés », alors qu’ils doivent être alertés avant toute notification aux FAI. De plus, alors que le décret prévoit que les FAI ne peuvent modifier la liste noire, il n’est pas fait mention des éditeurs et des hébergeurs sur la confidentialité. La CNIL demande des garanties et rappelle que les demandes de retrait qui leur seront adressées « constituent des décisions administratives défavorables qui doivent être motivées ». Et que « le motif précis de la demande de retrait, la copie des pages estimées illicites, les éléments de fait permettant de caractériser les infractions, etc. » devraient être transmis à la personnalité qualifiée pour réaliser un contrôle effectif des demandes.

Les données de connexion des internautes

La CNIL s’intéresse, enfin, aux internautes qui, tentant de se connecter à un site bloqué, seront redirigés vers une page d’information. Le garant de la protection des données personnelles rappelle que « le cadre juridique actuel ne permet ni la collecte ni l’exploitation, par l’OCLCTIC, des données de connexion des internautes qui seraient redirigés vers la page d’information du ministère de l’Intérieur. » La Commission prévient que si une telle collecte était mise en place, elle devrait être soumise à l’examen préalable de ses services.

Lire aussi : RGPD : la CNIL face aux spécificités des IA