S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

[MàJ] Les outils informatiques intrusifs soumis à autorisation se précisent

Tripoli pour être honnête

Mise à jour :  Le texte notifié à Bruxelles en février 2012 (voir ci-dessous) est désormais publié au Journal Officiel.

En France, le Code pénal impose une autorisation à la commercialisation de dispositif permettant la violation du secret des correspondances. C’est le fameux article 226-3 du Code pénal. Le secrétariat général de la défense et de la sécurité nationale (SGDSN) vient d’élaborer un projet de texte pour préciser quels sont dorénavant les outils informatiques soumis à l’autorisation du premier ministre.


liste outils surveillance informatique liste outils surveillance informatique


À texte sensible, régime exceptionnel. Selon l’article 226-3 du Code pénal, quiconque veut fabriquer, importer, détenir, exposer, offrir, louer, vendre des dispositifs qui permettent de porter atteinte au secret des correspondances ou à la vie privée, doit donc demander une autorisation du premier ministre. La LOPPSI du 4 mars 2011 a précisé pour sa part que les outils permettant de capter des données informatiques doivent eux aussi faire l’objet d’autorisation.

Un arrêté du 29 juillet 2004 fixe à ce titre la liste des appareils soumis à autorisation. Il distingue dans une première liste, l’acquisition et la détention, dans une seconde liste, les autres activités (fabrication, importation, vente, etc.).

Arrêté mis à jour pour ajouter la captation de données informatiques

Mais cet arrêté vieux de près de 8 ans est visiblement dépassé par les nouvelles technologies. Nous avons en effet appris que la France va dépoussiérer ces listes. Le gouvernement va préciser les dispositifs informatiques qui tombent dorénavant dans l’escarcelle du régime d’autorisation. Et c’est le directeur général de l’agence nationale de la sécurité des systèmes d’information qui sera chargé de l’exécution de ce nouvel arrêté.

Dans un courrier adressé à Bruxelles, les services du premier ministre décrivent l’objectif de cette réglementation : « contrôler la commercialisation et l’utilisation d’appareils particulièrement sensibles au regard de la sécurité publique et de la sécurité nationale ». Le gouvernement ajoute qu’ « il s’agit essentiellement d’ajouter explicitement à la liste des appareils contrôlés des dispositifs de captation de données informatiques permettant d’accéder à l’insu de l’utilisateur à certaines de ses données sur son ordinateur. A l’instar des appareils d’interception de données sur les réseaux déjà contrôlés, ces dispositifs peuvent aussi porter atteinte au secret des correspondances ou à la vie privée ».

Les outils désormais soumis à autorisation

Une fois l’arrêté publié au journal officiel, devront donc être soumis à autorisation notamment :

les appareils dont les fonctionnalités qui participent à l’interception, l’écoute, l’analyse, la retransmission, l’enregistrement ou le traitement de correspondances ne sont pas activées, quel que soit le moyen d’activation ;
les appareils permettant, par des techniques non intrusives d’induction électromagnétique ou de couplage optique, d’intercepter ou d’écouter les correspondances transitant sur les câbles filaires ou les câbles optiques des réseaux de communications électroniques.

S’y ajouteront :

Les dispositifs techniques, à savoir tous matériels ou logiciels, spécifiquement conçus pour, sans le consentement des intéressés, accéder aux données informatiques, les enregistrer, les conserver et les transmettre, telles qu’elles s’affichent sur un écran pour l’utilisateur d’un système de traitement automatisé de données ou telles qu’il les y introduit par saisie de caractères, opérations ayant pour objet la captation de données informatiques prévue par l’article 706-102-1 du code de procédure pénale.

La surveillance, les entreprises françaises, la Syrie ou la Libye

Cette redéfinition du champ d'application des autorisations pourrait expliquer les réponses du gouvernement aux questions des parlementaires sur les transactions passées entre des entreprises françaises et des régimes non démocratiques. Seul détail, le 226-3 ne se préoccupe pas de l'exportation de ces outils.

La question de la surveillance des communications électroniques dans ces pays avait suscité une dizaine de questions à l’Assemblée nationale. Récemment, Christian Paul indiquait par exemple au gouvernement qu’« il est désormais confirmé qu'au cours des dernières années, des entreprises françaises ont vendu à des dictatures des matériels de surveillance de l'internet, permettant d'intercepter le courrier électronique, de pister la consultation de sites et de connaître l'usage fait par chacun des réseaux sociaux ».

Et le parlementaire de réclamer des comptes sur ces ventes : « que savez-vous réellement de l'usage actuel ou passé de ces technologies de surveillance de l'internet? Quelles autorisations administratives ont été accordées? À quel niveau a été donné le feu vert politique? Êtes-vous prêts à prendre dès aujourd'hui un moratoire sur ces exportations, et pour l'avenir, à encadrer strictement leurs ventes et leur usage, à des États étrangers, mais aussi sur le sol français? »

Le député Daniel Goldberg montait lui aussi à la charge : « Avez-vous autorisé la vente par Amesys d’un système de filtrage de l’Internet comme l’a rappelé Christian Paul ? »

Gérard Longuet, ministre de la Défense, assurera au député PS de la Nièvre qu’aucune commission interministérielle n’avait autorisé ces transactions. Et Claude Guéant répondra à Daniel Goldberg que « jamais le ministre de l’Intérieur ni son entourage ne s’est occupé d’une telle transaction ! ».

Marc Rees

Journaliste, rédacteur en chef

Publiée le 01/08/2012 à 10:44

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 29 commentaires

Avatar de hellmut INpactien
hellmut Le mercredi 8 février 2012 à 15:55:09
Inscrit le jeudi 9 décembre 04 - 5317 commentaires
ah tiens, on a tiré les leçons de l'affaire Amesys au gouvernement?
Avatar de Inny INpactien
Inny Le mercredi 8 février 2012 à 16:07:42
Inscrit le lundi 17 août 09 - 2817 commentaires
D'ailleurs, il a été récemment révélé qu'Amesys a aussi vendu son matos à l'Iran.
Business is business, comme ils disent...
Avatar de Spidard INpactien
Spidard Le mercredi 8 février 2012 à 16:14:00
Inscrit le vendredi 6 juillet 07 - 2038 commentaires
ça marche aussi pour l'outil hadopi-certified d'orange ?

Et le DPI de manière plus globale, puisqu'il est surtout utilisé pour violer la correspondance privée... entre un individu et un serveur
Avatar de Groumfy INpactien
Groumfy Le mercredi 8 février 2012 à 16:25:40
Inscrit le mercredi 8 décembre 04 - 3118 commentaires
Je rappelle que M. Kadhafi avait été reçu à l'Elysée, en décembre 2007.
(J'étais personnellement contre ça, mais ce n'est pas le sujet)

Qu'a rapporté la visite de Kadhafi à la France?

Dans cet article, je vois notamment "Dassault", "Areva".

MM. Paul et Goldberg s'étaient-ils émus de ça à l'époque ?

Un outil de filtrage ou de surveillance, n'est qu'un business de plus ou de moins dans l'affaire.

Avatar de Bug INpactien
Bug Le mercredi 8 février 2012 à 16:39:22
Inscrit le samedi 22 mars 08 - 5690 commentaires
Tripoli pour être honnête

mdr2.gif Encore un sous-titre d’anthologie

Il y a 29 commentaires

;