Mardi 15 octobre 2024, SMART TECH reçoit Matthieu Bourgeois (Avocat & vice-président, Cercle de la Donnée)
Category
🗞
NewsTranscription
00:00La donnée à l'épreuve de nos droits fondamentaux, c'est le nouveau rendez-vous avec Mathieu Bourgeois, bonjour.
00:12Vous êtes avocat, je le rappelle, vice-président du cercle de la donnée.
00:15Aujourd'hui, on va parler de ce grand déséquilibre entre les menaces et les moyens pour les contrer.
00:20Déjà, première question, pourquoi faut-il parfois accéder aux données de connexion pour retrouver des cyberdélinquants ?
00:28Oui, bonjour à tous. D'abord, pourquoi ? C'est parce qu'il y a une multiplication des attaques sur Internet et sur les réseaux.
00:36Il y a un relatif anonymat, c'est-à-dire que contrairement au monde physique où quand vous roulez avec une voiture, vous avez un permis de conduire,
00:42vous avez en général une plaque d'immatriculation, on peut vous retrouver sur les réseaux.
00:46En raison de l'absence d'identité numérique unifiée, vous pouvez grosso modo communiquer sous des pseudos, voire sous un total anonymat,
00:54et avec des équipements très peu coûteux à l'acquisition. Donc, il y a une menace importante avec un anonymat.
01:00C'est la raison pourquoi il faut aller chercher des informations supplémentaires pour aller retrouver les cyberdélinquants.
01:08Ce sont ces données de connexion qui font que ce n'est pas de l'anonymat total. On a quand même un moyen, a priori, de retrouver les personnes.
01:14C'est vrai, parce que quand on surfe sur les réseaux, on laisse des traces techniques, des données de connexion. Je vais m'en expliquer dans un instant.
01:20Vous parliez en introduction d'un grand déséquilibre. C'est vrai que face à cette facilité d'attaque, à cet accroissement de la surface d'attaque et à ce relatif anonymat,
01:27il y a en contrepoint une extrême insuffisance des moyens de police-justice. Pour vous donner un ordre d'idée et un chiffre,
01:33il y a environ 220 000 policiers-gendarmes dans le monde physique. Pour l'espace numérique, il y a 250 seulement agents spécialisés.
01:43Vous voyez, ça fait 0,1 %. C'est extrêmement faible.
01:46Qui sont les opérateurs aujourd'hui qui ont l'obligation de conserver ces données de connexion ?
01:54Il y a deux grandes catégories. Il y a les opérateurs de communication électronique. Pour être plus précis pour les téléspectateurs, il y a quatre sous-catégories de ces gens-là.
02:03Il y a les fournisseurs d'accès à Internet, qui sont bien connus, Orange, Bouygues, SFR, etc.
02:08Il y a les fournisseurs de services de communication interpersonnelle, concrètement les fournisseurs de messagerie, tels que Outlook, WhatsApp ou Signal.
02:15Il y a les transiteurs de données moins connus. Il y a les fournisseurs de services de mise en cache très techniques, Akamai Technologies, par exemple.
02:21Ce sont les opérateurs de communication électronique. Mais les plus connus sont les FAI.
02:26Ensuite, il y a les hébergeurs. Ce ne sont pas ceux auxquels on croit. Ce n'est pas OVH, par exemple.
02:31Ce sont en fait tous ceux qui stockent de la donnée, qui sont mis à la disposition du public, qui n'ont pas de rôle actif.
02:36Typiquement, Facebook, Youtube et X sont des hébergeurs au sens de cette réglementation.
02:40Ce sont ces deux grandes catégories d'opérateurs auxquels on a le droit de s'adresser pour obtenir des données de connexion quand on est victime d'une cyberattaque.
02:49La liste des données est définie par trois décrets. C'est assez technique, je ne vais pas rentrer dans le détail.
02:59Grosso modo, il y a deux choses à retenir. Premièrement, il faut être victime d'une infraction pénale.
03:03Si vous êtes victime juste d'une faute civile, vous ne pouvez pas invoquer ces textes.
03:07Deuxièmement, ces textes-là ont été battus en brèche par la Cour de justice de l'Union européenne en 2020,
03:14parce que les juges communautaires ont considéré que la législation française permettait une conservation généralisée des données
03:22et donc menaçait un peu la vie privée sur les réseaux.
03:26Vous voyez, c'est cet équilibre entre la vie privée et la lutte contre les infractions qui est compliquée à faire.
03:30Sous l'impulsion du Conseil d'Etat, il y a des nouveaux textes qui sont sortis en 2021 qui sont un peu compliqués.
03:39Mais grosso modo, il y a trois décrets.
03:41Quand on fait l'objet d'une infraction pénale classique, on peut accéder à certaines données,
03:45notamment adresse IP, identifiant de connexion.
03:49Et quand on fait l'objet d'une infraction pénale grave, on a le droit d'accéder à encore davantage de données.
03:55Mais dans les faits, très concrètement, est-ce que ces opérateurs jouent le jeu et transmettent les données de connexion ?
04:01C'est tout le problème. Malheureusement, non. Pourquoi ?
04:05Parce qu'en fait, très peu communiquent aux victimes qui le demandent spontanément.
04:09Parce qu'en fait, ils se retranchent, toujours pareil, derrière cette protection de la vie privée.
04:12Ils exigent très souvent une décision judiciaire, peut-être probablement pour se couvrir,
04:17pour ne pas être attaqué évidemment par ceux dont ils dévoileraient l'identité.
04:20Et puis notamment sous l'influence, c'est vrai, du RGPD, du respect de la vie privée.
04:25Donc ils exigent une décision judiciaire.
04:27Et malheureusement, et ça c'est quand même un regret moi personnellement que je l'ai vécu dans des procédures,
04:32c'est qu'ils n'aident pas toujours la victime.
04:33C'est-à-dire que quand on s'adresse au juge pour demander une ordonnance, on a un principe du contradictoire.
04:39Donc le fournisseur d'accès, par exemple, se défend devant le juge.
04:41Et souvent, ça tourne un petit peu à la joute.
04:43Alors qu'en réalité, on devrait tous pédaler dans le même sens.
04:46Puisqu'in fine, si infraction il y a, je suis désolé, mais ils doivent coopérer.
04:50Et ça c'est vrai qu'en tant qu'avocat, moi j'ai une petite frustration parce que je sens,
04:53on est dans une logique de joute, d'affrontement, alors qu'on devrait être dans une logique de coopération.
05:01Alors il y en a qui sont un petit peu plus coopératifs que d'autres, mais souvent c'est la joute.
05:04Ils n'aident pas beaucoup et malheureusement, le poids financier temporel pèse sur la victime.
05:10Mais il y a des outils judiciaires pour obtenir ces données quand vous faites face à des réticences ?
05:15Alors il y a des outils judiciaires, c'est la procédure de référé ou de requête.
05:18On peut aller en bref délai si on justifie d'une urgence.
05:20Donc il y a les outils classiques, mais on en revient toujours au même problème Delphine,
05:23c'est que les moyens de police-justice n'ont pas été accrus au fur et à mesure du développement technologique.
05:30Donc il y a toujours autant de juges aujourd'hui, peu ou prou.
05:32Le Président de la République a promis qu'il serait, je crois, revalorisé en termes de rémunération,
05:36mais ça n'en donne pas davantage.
05:38Et donc moi, ma conviction, mais vous la connaissez sur cette antenne depuis toujours,
05:41c'est qu'il faut accroître les moyens de police-justice sur l'espace numérique
05:44pour qu'enfin, par exemple, sur ce genre de cas, on puisse obtenir plus vite, plus facilement les données de connexion
05:49et retrouver les cyberdélinquants.
05:51Mais on n'a pas besoin de nouveaux outils juridiques.
05:53Non, c'est des moyens humains.
05:55Et de la bonne volonté.
05:56Exactement.
05:57Si j'ai bien compris.
05:58Merci beaucoup Mathieu Bourgeois du Cercle de la Donnée.
06:00Je le rappelle pour vos éclairages réguliers dans Smartech sur cette donnée face à nos droits fondamentaux.
06:05Et puis merci à tous de nous suivre.
06:07C'était Smartech.
06:08On se retrouve très bientôt sur la chaîne Be Smart For Change.
06:11Vous pouvez aussi nous suivre en podcast, bien évidemment.
06:14À très bientôt pour de nouvelles discussions sur la tech.