Benoît Tabaka: «Nous refusons de donner les mots de passe des internautes»

INTERNET Le secrétaire général de l'Asic explique en quoi le décret paru en mars sur les données personnelles pose problème aux acteurs du Net en France...

Propos recueillis par Sandrine Cochard

— 

Paiement sur Internet par carte bancaire.
Paiement sur Internet par carte bancaire. — SIPA

L’Asic doit déposer ce mercredi un recours devant le conseil d’Etat au sujet d’un décret sur la conservation des données. Ce décret impose aux sites d'e-commerce, aux plateformes de vidéos ou de musique en ligne ou encore aux gestionnaires de boîtes e-mail de suivre à la trace leurs clients, en conservant durant un an des données personnelles aussi variées que l’identifiant, le mot de passe, le nom et le prénom, l’adresse postale, le pseudonyme, la date et l’heure de la connexion, le montant et le type de paiement utilisé en cas de transaction ou encore les caractéristiques de la ligne de l'abonné. Un décret très contesté, comme nous l’explique Benoît Tabaka, secrétaire général de l'Association française des services internet communautaires (Asic) et directeur juridique de PriceMinister.

Le décret sur la conservation des données personnelles a été publié le 1er mars dernier. Pourquoi l’Asic n’est-elle pas montée au créneau plus tôt?

Nous avons pris connaissance du décret lors de sa publication. Nous avons alors demandé à l’ensemble de nos membres si le texte leur posait un problème. Certains ont justement soulevé des points délicats dans le décret. Le temps de faire remonter les réactions de chacun et de mener une réflexion juridique nous a pris un mois.

Quels problèmes pose ce décret?

Le principal point noir porte sur la conservation des mots de passe. Déjà, nous estimons que le mot de passe n’est pas une donnée d’identification. En plus, pour transmettre un mot de passe à la police, il nous faut le conserver de manière non cryptée. Ce qui pose un problème évident de protection des données personnelles puisqu’en cas de piratage, les mots de passe seront facilement récupérés. En outre, ce décret soulève le problème de la conservation des données sensibles comme le numéro de carte bancaire par exemple. Enfin, le décret affirme que nous devons transmettre les différents pseudonymes d’un internaute. Comment? Par le biais de l’adresse IP? De l’adresse mail? Ce n’est pas précisé. Or, c’est une information de base que nous n’avons pas et qui nécessite un croisement des fichiers. Cela relève d’une enquête qui n’est pas de notre ressort. Ce n’est pas à nous de recouper les informations.

Le décret impose de conserver ces données pendant un an. N’est-ce pas déjà le cas?

Actuellement, les données sont conservées en moyenne entre 6 mois et un an. Le problème est que le décret impose une conservation des données pendant un an à partir de la dernière activité enregistrée. Elles peuvent donc être stockées plusieurs années!

Que demandez-vous au Conseil d’Etat?

Nous voulons l’annulation du décret, en espérant que le Conseil se prononcera avant la fin de l’année. En attendant, nous continuerons comme avant, en refusant de donner les mots de passe de nos utilisateurs. Nous ne sommes pas dans une logique d’affrontement, nous avons de très bons rapports avec l’administration, mais ce décret remet en cause la sécurité de nos systèmes. Et nous ne pouvons pas l’accepter.

Sanctions

Les acteurs du Net qui refusent de transmettre des données réclamées (par la police, de la douane, du service des fraudes…) s’exposent à une amende de 3.750 euros par réquisitions.