Le 28/07/2015 14:59, Benjamin Cama a écrit :
Je ne sais pas quels ont été les points soulevés par les gens de FDN en particulier et ceux qui émanaient plus des juristes, mais l'approche choisie ne me paraît pas du tout bonne (mais bon, IANAL).
C'est bien les points évoqués par P. Spinosi qui ont été les seuls points déposés. Voir : <http://www.nextinpact.com/news/95335-qpc-sur-donnees-connexion-interview-benjamin-bayart.htm> et <http://blog.fdn.fr/?post/2015/04/15/Depot-d-une-QPC-sur-l-article-20-de-la-LPM>
Le premier point était « les termes sont mal définis »… génial.
Tu te trompes. Un exemple tout bête : le « informations et documents » est crucial puisqu'il définit ce que les autorités peuvent réclamer. Si c'est trop vaste, on est livré à une interprétation maximaliste future malsaine. Si c'est bien défini, on sait ce qu'on doit collecter mais oui, on sera tenu de le faire. Faut comprendre que là, on est dans une démarche de limitation de la casse, pas du débat de fond sur la construction de la société à l'heure du numérique. Toute la loi renseignement est bâtie sur ça.
Le deuxième, c'était « on s'attaque aux avocats et aux journalistes, et ça c'est horrible », mais par contre le péquin lambda, pas de problème.
C'est un début de remise en cause de l'accès administratif aux données de connexion et des acteurs qui peuvent y recourir. Je trouve ça dommage aussi mais arrivé à ce stade (décret d'application), ça veut dire qu'on a échoué au Parlement et donc on joue avec ce qu'on peut. Traduction : je pense qu'il était trop tard pour jouer sur le principe de "c'pas cool de recueillir tout sur tout le monde".
La défense du gouvernement était pas mal non plus : on se défend de chose sur lesquelles on ne l'a pas attaqué (classique, c'est l'homme de paille version défense), et surtout on menace discrètement le CC de potentiel parjure au vu de ses décisions précédentes.
T'as raté d'autres bouts intéressants : * Le représentant du gouvernement dit « aucune disposition ne permet à ces personnes [NDLR : les opérateurs] d'enregistrer le contenu des communications ». Or, le CPCE interdit expressément de taper dans le contenu. "Légère" différence que le gouvernement méconnaît. * La différence faite entre hébergeurs/FSI et opérateurs tient si l'on suit les textes français mais pas les textes européens : les hébergeurs/FSI y sont assimilés aux opérateurs. * Les infos de contexte (date/heure, fréquence,...) de communication avec mon avocat ne sont pas protégeables alors qu'elles le sont AFK ! Les écoutes de Sarko et de son avocat qui avaient tant émues sont loin derrière, il faut croire. C'est tout ce que je me souviens mais doit y avoir d'autres trucs hallucinants.
Je ne sais pas si ça a déjà été amené dans les débats sur la construction de notre défense, mais pour moi les prémices même des remarques qui ont été posées par la fédé sont inadmissibles : on sous-entend que les données sont « là », et on ne veut pas que l'état y jette un œil à moins de très bonne raison (et sous contrôle d'un juge).
Non, les prémisses de la fédé c'est de rejeter la rétention des données de connexions, point. Data Retention Is No Solution. ;) FFDN/LQDN/FDN attaquent la rétention des données de connexion dans une autre procédure en cours. En effet, la data retention a été rendue caduque en UE par un arrêt de la CJUE d'avril 2014 (Digital Rights Ireland) qui casse la directive 200624CE. Les transpositions directes de cette directive tombent automatiquement. C'est déjà le cas dans plusieurs États de l'EU. Sauf que la LCEN est antérieure et intouchable (2 mois pour contester des décrets d'application). Elle est conforme au droit européen sus-cité mais n'est pas une transposition donc la procédure est plus longue. Un décret de 2011 (<http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=?cidTexte=JORFTEXT000023646013&dateTexte=&oldAction=rechJO&categorieLien=id>) est la dernière réécriture en droit français de ce qu'est la rétention des données de connexion. C'est donc avec lui qu'il faut jouer. Étape 1 : l'administration est tenue d'abroger les décrets illégaux (c'est un bout de jurisprudence). Il suffit donc de lui demander par courrier LRAR tout ça. Étape 2 : en cas de refus (absence de réponse = refus), c'est une décision de l'administration attaquable devant le Conseil d'État qui pourra décider que le rejet du gouvernement est infondé puisqu'en déssacord avec l'arrêt de la CJUE et vlam la rétention des données de connexion. Au moins le temps que législateur et exécutif patchent ça (avec quelque chose de conforme à la décision de la CJEU, of course). Pour résumer : l'attaque sur le décret d'application de l'article 20 de la LPM c'est pour refermer des portes sur l'interprétation de tournures floues. L'attaque en lien avec l'arrêt de la CJUE, c'est pour faire un nettoyage en profondeur de la rétention des données de connexion. Pour une version plus pédagogique de tout ça, voir la conf' « French Data Network et autres c/ Gouvernement » à Pas Sage en Seine 2015.
Mais Internet est un réseau sans conscience des « connexions » !
Même avec les différents niveaux de NAT ? :)))) Oui, je trolle, oui, je sais que du NAT c'pas Internet.
Si on veut récupérer des indices de connexions, déjà on doit modifier la manière dont fonctionne le réseau… Pour un telco, c'est plus « normal » de pouvoir surveiller les appels, car les appels sont quelque-chose qui sont *dans* le fonctionnement du réseau, dont l'identification est nécessaire au fonctionnement. Pour Internet, non ! L'intelligence est à l'extrémité, les routeurs de FDN (par exemple) n'utilisent pas du tout l'information des connexions de ses abonnés pour faire fonctionner le réseau ! On a des routes, on décide sur les IP source/destination, et point barre. Il me semblait que ça avait déjà été soulevé dans la fédé : que dire qu'on doit *pouvoir savoir* qui (n'importe qui) fait des connexions où, ça nécessitait déjà de changer complètement la logique du réseau (DPI, etc). Et c'est sûr ça pour moi qu'il faudrait attaquer ! Que le réseau n'est pas fait pour ça.
Oula, ce que tu dis s'applique au NAT. Sans NAT, c'est soit adressage static (manuel ou DHCP) donc une bête base de données (voire une feuille de papier) sufiit, soit dynamique et là c'plus compliqué mais ça se fait avec RADIUS. Note que l'accounting RADIUS est facultatif : la législation demande juste de savoir relier une IP à un constituant d'une identité (pas forcément une identité d'état civil, une MAC suffit). L'accounting permet juste de fournir des éléments en plus du type : à l'heure indiquée dans votre réquisition, le VPN / lien ADSL de l'adhérent n'était pas monté donc c'est probablement une usurpation d'IP. Ça permet d'innocenter plus facilement quand les autorités sont pressées, quoi. A+