En 2016, le Parlement britannique votait le Investigatory Powers Act (que l'on pourrait traduire par «la loi sur les pouvoirs de surveillance»). Sous ce nom qui peut paraître banal, se cache une loi que certaines associations du pays décrivent comme l'une des plus draconiennes du monde en matière de surveillance.
La législation prévoyait notamment la création d'«Internet connection records», ou ICR, donc la possibilité de contraindre des fournisseurs d'accès à internet, sur décision d'un juge, à conserver des historiques de navigation pendant un an. Sept ans plus tard, le site Wired révèle comment ce dispositif, qui a dépassé sa phase expérimentale, se développe aujourd'hui dans la plus grande discrétion.
Je m'abonne
Historique, adresse IP et applications
Des documents officiels montrent qu'en 2022, la police du Royaume-Uni estimait que le test que ce dispositif était un succès. Si ce système ne permet pas de voir en détail les pages web consultées, il permet néanmoins de lister les sites que les personnes surveillées ont visité –on pourra ainsi savoir que vous vous êtes rendus sur Wikipédia, mais pas sur quel article.
Il était également prévu que les forces de l'ordre puissent avoir accès à l'historique des applications ouvertes sur un smartphone, ou à d'autres informations comme l'adresse IP, un numéro client, etc. En 2016, les fournisseurs d'accès internet jugeaient que cela leur prendrait des années avant de pouvoir mettre en place un tel système permettant la collecte et le stockage des ICR.
Il se pourrait toutefois que certaines de ses composantes soient désormais en place: l'Agence nationale de lutte contre le crime (la NCA), par exemple, s'en servirait, d'après Wired, dont les journalistes se basent sur un document officiel de février 2023, résumant la mise en place de ces dispositifs. L'essai qui se concentrait sur la fréquentation de sites web proposant des contenus pédopornographiques aurait ainsi permis de repérer 120 visiteurs. «Seules quatre» de ces personnes sont connues des forces de police.
Un système opaque
Les détails techniques de ce système restent encore secrets. Afin de justifier ce silence, le ministère britannique de l'Intérieur évoque des contraintes liées à la sécurité nationale et des questions d'intérêts commerciaux. Un porte-parole du gouvernement a toutefois tenu à préciser à Wired que le pays avait «un des systèmes de surveillance les plus solides et transparents au monde en matière de protection des données personnelles et de la vie privée».
Une erreur dans l'usage des ICR a pourtant déjà été documenté en 2020. Dans son rapport annuel 2020, publié en janvier 2022, l'Investigatory Powers Commissioner's Office (IPCO), qui supervise les agences de renseignement, la police et les autorités locales, affirme ainsi qu'un opérateur de télécommunications, à qui les forces de l'ordre avaient demandé des historiques de navigation, a fourni «un excès de données par rapport à ce qui était autorisé». La cause de cette erreur serait un défaut technique.
Pendant ce temps, les critiques continuent d'affluer. Selon Nour Haidar, avocat et juriste auprès de l'association de libertés civiles Privacy International, les ICR ne protègent pas les citoyens. «Nous pensons que cela rend [notre vie privée] moins sûre, car ces données sont susceptibles d'être utilisées de manière abusive», insiste-t-il.
Tout cela vous effraie? Dites-vous qu'en France, les fournisseurs d'accès sont tenus de conserver vos données de connexion (historique des sites et pages visités, géolocalisation, volume de données échangées, entre autres) pendant un an.
