Avertir le modérateur

02/03/2010

L’Allemagne censure la surveillance du Net et du téléphone

BUG BROTHER

La conservation des données de connexion (”logs“) a été jugée anticonstitutionnelle, ce mardi 2 mars, par la cour constitutionnelle allemande.

La loi, adoptée en 2008, obligeait les fournisseurs d’accès à l’internet, et les prestataires de téléphonie, à conserver les traces de ce que font leurs abonnés sur les réseaux de télécommunication (y compris leur géolocalisation), pendant 6 mois.

Elle visait à transposer la directive européenne sur la conservation des données, adoptée en 2006, afin de :

* pouvoir tracer et identifier la source d’une communication;
* pouvoir tracer et identifier la destination d’une communication;
* pouvoir identifier la date, l’heure et la durée d’une communication;
* pouvoir identifier le type de communication;
* pouvoir identifier la machine utilisée pour communiquer;
* pouvoir identifier la location des équipements de communication mobile.

A l’époque, le Comité des libertés civiles, Justice et Affaires intérieures du Parlement européen avait recommandé de ne l’autoriser qu’en cas de mandat judiciaire et de la limiter aux seuls crimes graves, de ne transférer les données aux autorités nationales que sur demande expresse, et au cas par cas, recommandations qui n’avaient pas été prises en compte par la Commission européenne.

La cour constitutionnelle allemande a pour sa part estimé que la loi n’était pas suffisamment transparente, qu’elle violait le secret des correspondances et n’encadrait pas suffisamment l’utilisation qui serait faite de ces données, que les mesures de sécurité censées les protéger étaient insuffisantes, que les motifs invoqués (la lutte contre la criminalité, le terrorisme et les menaces en terme de sécurité) n’étaient pas suffisamment clairs, ni proportionnés en terme de protection de la vie privée, et appelle donc à une destruction “sans délai” des données d’ores et déjà archivées.

Elle a également estimé qu’il s’agissait là d’une “intrusion particulièrement sévère (dans la vie privée, ndlr), d’une ampleur que notre système légal n’avait jamais connu jusqu’à ce jour“.

L’agence AP souligne que la cour constitutionnelle allemande n’a pas contesté la nécessité de la directive européenne mais précisé que le problème tenait davantage à son interprétation par le parlement allemand.

Près de 35 000 personnes, dont plusieurs personnalités politiques, journalistes, avocats, médecins, avaient saisi la cour constitutionnelle à ce propos, dans ce qui constitue le plus important recours collectif (”class action“) de l’histoire allemande.

Trois pays considèrent la cybersurveillance comme contraire à leurs constitutions

Les cours constitutionnelles de Bulgarie et de Roumanie avaient elles aussi considéré comme anticonstitutionnelles la législation sur la conservation des données de connexion, l’Irlande ayant, quant à elle, déposé plainte contre la directive de 2006 devant la Cour européenne de justice.

En décembre dernier, deux organisations de défense des libertés, l’association européenne EDRI (European Digital Rights) et le groupe de travail allemand sur la rétention de données (AK Vorrat) appelaient l’Union européenne à abroger la directive de 2006 sur la rétention des données de communication (2006/24/EC).

« EDRI et ses membres mènent des campagnes depuis plusieurs années contre cette directive, sur la base du fait qu’une telle rétention de données est nécessairement un acte arbitrairement intrusif.

Les données de communication sont bien plus que de simples journaux de communication comme dans le cas de la téléphonie fixe, révélant à qui et quand nous avons téléphoné.

Les données de trafic permettent maintenant de produire de véritables cartes des relations interpersonnelles, des activités et des intentions des personnes », rappelle au nom d’EDRI la présidente d’IRIS, Meryem Marzouki.

« Avec la mise en place croissante de bases de données massives au niveau national, et les projets actuels tendant à leur interopérabilité au niveau de l’Union européenne et à leur plein accès pour des objectifs de police, la directive sur la rétention des données ouvre la voie à de futures extensions de finalités, où des données auparavant collectées pour les besoins de la fourniture d’un service deviennent utilisées pour la surveillance des citoyens et leur contrôle social, quand il ne s’agit pas d’objectifs de renseignement. Cela n’est pas acceptable dans une société démocratique, et il faut y mettre fin immédiatement ».

En France, les particuliers peuvent eux aussi désormais saisir le Conseil constitutionnel

Ce jugement de la Cour constitutionnel allemande intervient alors que, depuis le 1er mars, tout justiciable peut désormais contester une loi et en demander l’abrogation en saisissant indirectement le Conseil constitutionnel à l’occasion d’un procès, saisine baptisée « question prioritaire de constitutionnalité » dont la procédure, cela dit, relèverait du parcours du combattant.

En décembre 2001, suite à l’adoption, en urgence, de la Loi Sécurité Quotidienne (LSQ) par le gouvernement Jospin qui, au lendemain des attentats du 11 septembre 2001, décida, bien avant la directive européenne, de placer l’internet sous cybersurveillance, des dizaines de collectifs et associations de défense des droits de l’homme avaient ainsi préparé une Saisine citoyenne du Conseil constitutionnel.

Le sénateur socialiste Michel Dreyfus-Schmidt, au moment de voter la LSQ, avait lui-même reconnu, avec un lapsus lourd de sous-entendus, le caractère anticonstitutionnel de cette loi, qui n’en a pas moins servi de socle pour une partie de la vingtaine de lois sécuritaires adoptées depuis lors : « Il y a des mesures désagréables à prendre en urgence, mais j’espère que nous pourrons revenir à la légalité républicaine avant la fin 2003 » (date à laquelle un rapport devait être fait pour estimer la pertinence, ou non, de la LSQ).

L’eurodéputée Alima Boumediene-Thiéry et le sociologue Fabien Jobard, de leur côté, dénonçaient la façon cavalière qu’avait eu le Parlement d’adopter cette LSQ :

Plutôt que de prendre les quelques jours nécessaires au débat parlementaire et au contrôle par le juge, le gouvernement a préféré marchander avec les parlementaires la non saisie du Conseil constitutionnel, et clore par une manigance d’alcôve des manoeuvres procédurales indignes des textes qu’il a fait adopter. La sécurité est-elle élevée, comme on le voulait, au rang de bien public ? Non : le gouvernement préfère en faire sa petite chose, camouflée par des procédures iniques, couvertes d’un voile de honte.

En France, précise la CNIL, les opérateurs de communications électroniques sont tenus de conserver les données relatives au trafic pendant un an, et les opérateurs ne doivent conserver que “les seules données techniques” :

* informations permettant d’identifier l’utilisateur [par exemple : adresse IP, numéro de téléphone, adresse de courrier électronique] ;
* données relatives aux équipements terminaux de communication utilisés ;
* caractéristiques techniques ainsi que de la date, de l’horaire et de la durée de chaque communication ;
* données relatives aux services complémentaires demandés ou utilisés et à leurs fournisseurs ;
* données permettant d’identifier le ou les destinataires de la communication.
* ils n’ont aucune obligation de constitution de fichiers nominatifs des utilisateurs : les organismes fournissant une connexion Wi-Fi peuvent choisir d’offrir cette prestation sans procéder à l’identification des personnes. Ils ne sont alors tenus que de détenir les données techniques créées par l’utilisation de leurs services ;
* ils ne peuvent conserver les informations relatives au contenu des communications : le texte d’un SMS, l’objet d’un e-mail…

Voir aussi le texte complet de la saisine citoyenne initié en 2001, “Saisissons-nous de la sécurité !“, par Alima Boumediene-Thiéry et Fabien Jobard, et “Sécurité, sur tous les murs, j’écris ton nom…“, tribunes appelant, en 2001, à une saisine citoyenne, la couverture qu’en avait dressé le bulletin lambda, et notamment le reportage photo qu’il avait consacré à la cérémonie d’”enterrement des libertés” qui avait suivi cette saisine citoyenne et, sur ce blog :
Comment contourner la cybersurveillance ?
Le FBI menace les acheteurs de DVD
Bajolet a-t-il dénoncé des agents de la DGSE ?
Quand Francis Delattre légalisait les fichiers policiers
Les pédophiles n’ont rien à craindre de la LOPPSI. Les internautes, si.

jean.marc.manach (sur Facebook) & @manhack (sur Twitter)

17:50 | Lien permanent | Commentaires (0) |

26/12/2009

Protection des données dans le secteur des communications électroniques

Nous vivons des temps de changements et d'incertitudes économiques, et
sans faille vous, nos utilisateurs, avez montré encore et encore que
vous étiez attachés à cette aide mutuelle, celle que nous vous apportons
dans vos efforts, et celle que vous nous apportez dans les nôtres. Cela
maintient nos serveurs en activité et garde nos programmes à jour, mais
plus encore, cela nous donne du baume au cœur et garde notre moral élevé
dans les moments difficiles quand nous sommes seuls, assis devant nos
ordinateurs, et nous rappelle que nous ne sommes pas réellement seuls,
car vous êtes là.


Pourquoi vous devez utiliser Riseup. Pourquoi vos amis devraient nous
utiliser, ou d'autres collectifs techos également.
------------------------------

------------------------------------------------------------

Deux oiseaux ont récemment fait une présentation à l'Assemblée des
Peuples,[1] célébrant le 10e anniversaire des manifestations contre
l'OMC. Nous discutions des dangers de l'utilisation des outils des
entreprises pour nous organiser, en particulier du fait que vous ne
savez pas ce qu'ils font de vos données. Merci aux quelques commentaires
anonymes laissés sur un blog[2] au sujet de ses recherches sur les
publications d'une compagnie de téléphone mobile quant aux réquisitions
sur les localisations géographiques de ses clients, nous avons
maintenant quelques réponses.

De grandes entreprises ont des départements entiers consacrés au
traitement des convocations et réquisitions; et le blogueur anonyme
fournit des copies des manuels que de nombreuses grandes entreprises
fournissent pour aider les autorités dans leurs requêtes. Les manuels
"tombés du camion" comprennent ceux de facebook,[3] yahoo,[4]
myspace,[5] comcast,[6] et paypal.[7] Chaque manuel fournit des
indications utiles aux autorités pour ce qui concerne les données
précises disponibles (certaines pouvant être obtenues sur simple
demande, sans décision judiciaire), avec même des exemples de requête à
utiliser suivant les circonstances. Par exemple, suivant le manuel
obtenu, facebook enregistre chaque adresse IP de chaque ordinateur qui
accède à leur site web pendant 30 jours. Cela signifie, qu'à moins que
vous n'utilisiez des contre-mesures, facebook peut savoir précisément
d'où vous vous connectez sur votre compte. Parce que cette adresse IP
n'inclut pas le contenu des communications, un procureur américain peut
demander cette information sans décision judiciaire.

Avec une décision de justice, facebook donnera encore plus d'information
à votre sujet. Ils ont même développé un programme appelé "Neoprint"
pour fournir tout un tas d'informations pratiques sur les abonnés, y
compris les informations personnelles du profil, la liste des amis (avec
l'identifiant facebook des amis), le mini-feed, la liste des groupes et
des messages.

Il y a peu de visibilité sur la surveillance mise en place aux
États-Unis sur les fournisseurs de services électroniques car le
Département de la Justice des États-Unis ne publie pas le nombre des
réquisitions d'adresses IP qu'ils ont émis, même si une loi de 1999 le
demande.[1] Il y a également aucune obligation de publication pour les
décisions de justice émises sous le Stored Communications Act[8] qui
régit la publication aux États-Unis de toutes vos données stockées en ligne.

Un élément effrayant au milieu de tout ça est que les États-unis ont
réellement des lois plus protectrices que d'autres pays quant à la
protection des données. Contrairement à nos camarades de l'Europe,[9]
les États-Unis n'exigent actuellement pas que les fournisseurs d'accès
gardent des logs. Ça signifie que les personnes s'organisant depuis
partout doivent savoir que si vous utilisez les services d'entreprises,
leurs données sont exposées.

Alors que cette information ne doit pas vous surprendre, ça illustre
l'importance de soutenir des alternatives et de nous éduquer les uns les
autres sur les risques de l'utilisation des outils des entreprises pour
nous organiser. Pour plus d'informations, lire le billet de blog.[2]

[1] http://seattleplus10.org/
[2]
http://paranoia.dubfire.net/2009/12/8-million-reasons-for-real-surveillance.html
[3] http://dtto.net/docs/facebook-manual.pdf
[4] http://dtto.net/docs/yahoo-guide.pdf
[5] http://dtto.net/docs/myspace-guide.pdf
[6] http://dtto.net/docs/comcast-guide.pdf
[7] http://dtto.net/docs/paypal-guide.pdf
[8] http://en.wikipedia.org/wiki/Stored_Communications_Act
[9]
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32006L0024:EN:NOT


Saison des déductions d'impôts
---------------------------------------

L'année touche à sa fin! Et vous avez toute sorte d'argent trainant ici
et là, ça vous encombre et il est temps de vous en débarrasser.
Saviez-vous, pour ceux d'entre vous qui vivent dans l'Empire, euh je
veux dire aux États-Unis, que vous pouvez donner au riseup labs (labos
riseup) et que c'est déductible des impôts ? Et ça signifie que vous
payez moins d'impôts que c'est Riseup qui a l'argent à la place. De
même, si vous travaillez dans une grande entreprise ou presque, ils
peuvent avoir une politique de donation correspondante, ainsi si vous
donnez de l'argent à une organisation à but non-lucratif exonérée
d'impôt, ils feront un don de la somme équivalente. Les informations sur
les dons sont toujours à http://help.riseup.net/about-us/donate/




Texte en français (recherche Probe):


La directive 2002/58/CE fait partie du «Paquet Télécom» qui représente le nouveau dispositif législatif appelé à encadrer le secteur des communications électroniques et à remplacer la réglementation existante qui régit le secteur des télécommunications. Le «Paquet Télécom» comprend quatre autres directives relatives au cadre général, à l'accès et à l'interconnexion, aux autorisations et aux licences, ainsi qu'au service universel.

Cette directive aborde un certain nombre de thèmes plus ou moins sensibles, tels que la conservation des données de connexion par les États membres à des fins de surveillance policière (rétention des données), l'envoi de messages électroniques non sollicités, l'usage des témoins de connexion («cookies») et l'inclusion des données personnelles dans les annuaires publics.

Confidentialité des communications

La directive rappelle, comme principe de base, que les États membres doivent garantir, par la législation nationale, la confidentialité des communications effectuées au moyen d'un réseau public de communications électroniques. En particulier, ils doivent interdire à toute autre personne que les utilisateurs d'écouter, d'intercepter, de stocker les communications sans le consentement des utilisateurs concernés.

Rétention des données

Concernant la question sensible de la rétention des données, la directive stipule que les États membres ne peuvent lever la protection des données que pour permettre des enquêtes criminelles ou préserver la sécurité nationale, la défense et la sécurité publique. Une telle mesure ne peut être adoptée que lorsqu'elle constitue une «mesure nécessaire, appropriée et proportionnée dans une société démocratique».

Messages électroniques non sollicités («spamming»)

La directive adopte une approche «opt-in» à l'égard des communications électroniques à caractère commercial non sollicitées, c'est-à-dire que les utilisateurs devront donner leur accord préalable avant de recevoir ces messages. Ce système d'opt-in couvre également les messages par SMS et les autres messages électroniques reçus sur n'importe quel terminal fixe ou mobile.

Témoins de connexion («cookies»)

Les témoins de connexion (cookies) sont desinformations cachées échangées entre un utilisateur Internet et un serveur web, et sauvegardées dans un fichier sur le disque dur de l'utilisateur. Ces informations permettaient initialement la persistance d'informations entre deux connexions. Elles constituent aussi un outil de contrôle de l'activité de l'internaute souvent décrié.

La directive prévoit que les utilisateurs doivent avoir la possibilité de refuser qu'un témoin de connexion ou qu'un dispositif similaire soit placé sur leur équipement terminal. Pour ce faire, les utilisateurs devront également recevoir des informations claires et précises sur la finalité et le rôle des cookies.

Annuaires publics

Les citoyens européens devront donner leur accord préalable afin que leur numéro de téléphone (fixe ou mobile), leur adresse e-mail et leur adresse postale puissent figurer dans les annuaires publics.

Modifications apportées par la directive 2006/24/CE

En mars 2006, le Parlement européen et le Conseil ont adopté une directive sur la conservation des données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE.

La directive vise à harmoniser les dispositions des États membres relatives aux obligations des fournisseurs de services de communications électroniques en matière de conservations des données. L'objectif est de garantir la disponibilité de ces données afin de rechercher, détecter et poursuivre les infractions.

La directive définit notamment:

  • les catégories de données à conserver;
  • les durées de conservation;
  • les conditions à observer pour le stockage des données conservées;
  • les principes à respecter en matière de sécurité des données.

http://europa.eu/legislation_summaries/internal_market/single_market_services/l24120_fr.htm

 

 

Le "plus" de Probe...(je me suis un peu pété les yeux)...

 

 

 

 

DIRECTIVE DU PARLEMENT EUROPÉEN ET DU CONSEIL sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE PDF03-02-2006

st03677-re12.fr05.pdf

 

 

(5) Plusieurs États membres ont légiféré sur la conservation de données par les fournisseurs de services en vue de la prévention, de la recherche, de la détection et de la poursuite d'infractions pénales. Lesdites dispositions nationales varient considérablement.

 

 

Article 5

Catégories de données à conserver

1. Les États membres veillent à ce que soient conservées en application de la présente

directive les catégories de données suivantes:

a) les données nécessaires pour retrouver et identifier la source d’une communication:

1) en ce qui concerne la téléphonie fixe en réseau et la téléphonie mobile:

i) le numéro de téléphone de l'appelant;

ii) les nom et adresse de l'abonné ou de l'utilisateur inscrit;

 

2) en ce qui concerne l'accès à l'Internet, le courrier électronique par l'Internet et

la téléphonie par l'Internet:

i) le(s) numéro(s) d'identifiant attribué(s);

ii) le numéro d'identifiant et le numéro de téléphone attribués à toute communication entrant dans le réseau téléphonique public;

iii) les nom et adresse de l'abonné ou de l'utilisateur inscrit à qui une adresse IP (protocole Internet), un numéro d'identifiant ou un numéro de téléphone a été attribué au moment de la communication;

b) les données nécessaires pour identifier la destination d’une communication:

1) en ce qui concerne la téléphonie fixe en réseau et la téléphonie mobile:

i) le(s) numéro(s) composé(s) (le(s) numéro(s) de téléphone appelé(s)) et, dans les cas faisant intervenir des services complémentaires tels que le renvoi ou le transfert d'appels, le(s) numéro(s) vers le(s)quel(s) l'appel est réacheminé;

ii) les nom et adresse de l'abonné (des abonnés) ou de l'utilisateur (des

utilisateurs) inscrit(s);

2) en ce qui concerne le courrier électronique par l'Internet et la téléphonie par l'Internet:

i) le numéro d'identifiant ou le numéro de téléphone du (des) destinataire(s) prévu(s) d'un appel téléphonique par l'Internet;

ii) les nom et adresse de l'abonné (des abonnés) ou de l'utilisateur (des

utilisateurs) inscrit(s) et le numéro d'identifiant du destinataire prévu de la communication;

c) les données nécessaires pour déterminer la date, l’heure et la durée d’une communication:

1) en ce qui concerne la téléphonie fixe en réseau et la téléphonie mobile, la date

et l'heure de début et de fin de la communication;

2) en ce qui concerne l'accès à l'Internet, le courrier électronique par l'Internet et la téléphonie par l'Internet:

i) la date et l'heure de l'ouverture et de la fermeture de la session du service d'accès à l'Internet dans un fuseau horaire déterminé, ainsi que l'adresse IP (protocole Internet), qu'elle soit dynamique ou statique, attribuée à une communication par le fournisseur d'accès à l'Internet, ainsi que le numéro d'identifiant de l'abonné ou de l'utilisateur inscrit;

ii) la date et l'heure de l'ouverture et de la fermeture de la session du service

de courrier électronique par l'Internet ou de téléphonie par l'Internet dans un fuseau horaire déterminé;

d) les données nécessaires pour déterminer le type de communication:

1) en ce qui concerne la téléphonie fixe en réseau et la téléphonie mobile, le

service téléphonique utilisé;

2) en ce qui concerne le courrier électronique par l'Internet et la téléphonie par

l'Internet, le service Internet utilisé;

e) les données nécessaires pour identifier le matériel de communication des utilisateurs

ou ce qui est censé être leur matériel:

1) en ce qui concerne la téléphonie fixe en réseau, le numéro de téléphone de

l'appelant et le numéro appelé;

2) en ce qui concerne la téléphonie mobile:

i) le numéro de téléphone de l'appelant et le numéro appelé;

ii) l'identité internationale d'abonné mobile (IMSI) de l'appelant;

iii) l'identité internationale d'équipement mobile (IMEI) de l'appelant;

iv) l'IMSI de l'appelé;

v) l'IMEI de l'appelé;

vi) dans le cas des services anonymes à prépaiement, la date et l'heure de la première activation du service ainsi que l'identité de localisation (identifiant cellulaire) d'où le service a été activé;

3) en ce qui concerne l'accès à l'Internet, le courrier électronique par l'Internet et la téléphonie par l'Internet:

i) le numéro de téléphone de l'appelant pour l'accès commuté;

ii) la ligne d'abonné numérique (DSL) ou tout autre point terminal de l'auteur de la communication;

f) les données nécessaires pour localiser le matériel de communication mobile:

1) l'identité de localisation (identifiant cellulaire) au début de la communication;

2) les données permettant d'établir la localisation géographique des cellules, en se référant à leur identité de localisation (identifiant cellulaire), pendant la période au cours de laquelle les données de communication sont conservées.

2. Aucune donnée révélant le contenu de la communication ne peut être conservée au titre de la présente directive.

 

Article 6

Durées de conservation

Les États membres veillent à ce que les catégories de données visées à l’article 5 soient conservées pour une durée minimale de 6 mois et maximale de 2 ans à compter de la date de la communication.

 

 


23:21 | Lien permanent | Commentaires (0) |

 
Toute l'info avec 20minutes.fr, l'actualité en temps réel Toute l'info avec 20minutes.fr : l'actualité en temps réel | tout le sport : analyses, résultats et matchs en direct
high-tech | arts & stars : toute l'actu people | l'actu en images | La une des lecteurs : votre blog fait l'actu