Les Google, Facebook, Dailymotion et une vingtaine d’autres grands noms de l’Internet actifs en France s'en prennent au législateur français. L’association Asic (Association française des services Internet communautaires), qui représente tout ce gratin numérique, a annoncé son intention de déposer un recours en annulation ce mercredi devant le Conseil d’État contre un décret rendu début mars.

Ce texte prévoit que toutes ces stars du web devront dorénavant garder pendant un an les données des utilisateurs qui se connectent à leur service. Adopté dans le cadre de la loi pour la confiance dans l'économie numérique, le décret est censé permettre d’identifier plus facilement en ligne des personnes recherchées - notamment dans le cadre des affaires de terrorisme.

Les hébergeurs de contenus – tels que Facebook ou YouTube (Google) – ainsi que les site d’e-commerce (PriceMinister, eBay) sont tenus, d’après ce texte, de remettre aux autorités, et sur simple demande, les informations recueillies sur les utilisateurs. Et la liste est impressionnante. Outre le noms, l’adresse, les dates et heures de connexions, ces sociétés doivent également conserver les mots de passe des comptes, les éventuels types de paiement utilisés, ou encore les numéros de téléphones.

La protection de la vie privée en question

Aux États-Unis, des mesures similaires existent déjà, mais il faut une décision judiciaire pour que les autorités puissent avoir accès à ces données. D'autres pays européens, comme le Royaume-Uni, ont des législations qui vont dans ce sens, mais qui ne prévoient pas une rétention de données aussi longue.

Ces opérateurs mettent en avant la protection de la vie privée pour s'en prendre à ce texte. "Cette obligation de transmettre à la police des mots de passe nous choque", a expliqué Benoît Tabaka, secrétaire général de l'Asic, lors d'une conférence de presse mardi. Outre la police, l’Urssaf, les douanes et tout autre agent de l’État impliqué dans une opération anti-terroriste peut donc demander la transmission de ces données.

Plusieurs associations de défense de la vie privée s’étaient déjà émues de la teneur de ce texte lors de sa précédente discussion à l’Assemblée nationale en 2008. Elles craignent que le décrêt serve en fait à établir des nouveaux fichiers informatiques. A l’époque, même l’Arcep (le gendarme français des télécommunications) avait rendu un avis défavorable sur ce texte, le qualifiant au passage de "flou".

Une conservation des données à la charge des hébergeurs

Mais les Facebook & Co ont aussi une raison toute pécuniaire de partir en guerre contre le décret. En effet, ces entreprises estiment que pour conserver toutes ces données pendant un an, il leur faudrait mettre en place une infrastructure coûteuse. "C’est d’autant plus cher que le délai de conservation repart à zero dès qu’un utilisateur change ces données personnelles", souligne Benoît Tabaka. Ces grands groupes estiment que c’est à l’État de supporter ce coût.

Un avis qui est partagé par l’Arcep. Dans son avis de 2008, l’organisme rappelle que le Conseil constitutionnel avait déjà estimé que c’était à l’État de mettre la main à la poche dans ce genre de cas. Reste maintenant à connaître la position du Conseil d’État. La plus haute juridiction administrative française a un an pour apporter sa pierre à ce débat.