Lundi matin, une fausse manipulation chez Orange a entraîné le blocage de nombreux sites, comme Google.fr et Wikipedia, ainsi que la redirection des personnes tentant d'y accéder vers une page du ministère de l'intérieur dénonçant l'apologie du terrorisme. Beaucoup d'internautes ont sans doute été très surpris par l'apparition de ce message. Mais, au-delà de la fausse manipulation chez Orange, de quoi s'agit-il?

Depuis l'adoption de la loi Cazeneuve en 2014, l'administration a désormais le pouvoir de dresser une liste de sites destinés à être bloqués afin de lutter contre l'apologie du terrorisme. Cette liste, élaborée en secret et sans aucun contrôle judiciaire, est ensuite transmise aux opérateurs, lesquels sont chargés de mettre en place la censure sur leurs réseaux (dans la plus grande confidentialité) .

Mais, en plus de ce dispositif de blocage, déjà fort critiquable, le gouvernement a également décidé d'imposer aux opérateurs la redirection des visites interceptées vers une page du ministère de l'Intérieur. De ce fait, le gouvernement a créé de sa propre initiative (la loi ne l'ayant pas prévu) un système permettant techniquement au ministère de l'intérieur de savoir qui voudrait visiter tel site bloqué.

Nous avions fortement critiqué cette obligation de redirection lors d'une procédure devant le Conseil d'État. Par une décision du 15 février 2016, ce dernier a rejeté nos arguments, considérant que cette obligation de redirection, bien que permettant au ministère de recevoir des données identifiant les visiteurs interceptés, n'implique pas que le ministère fasse un traitement des données interceptées et n'est donc pas en soit susceptible de constituer une atteinte à la vie privée.

Or, qu'observe-t-on aujourd'hui?

Suite à l'évènement de lundi et à la réaction publique qui a suivi, le ministère de l'intérieur a été contraint de reconnaitre qu'il « dispose d'un prestataire pour le suivi statistique des consultations [...] de cette page de blocage » (et de la page « recours » y étant liée) et que ce prestataire conserve les « adresses IP collectées lors des consultations redirigées » (à l'exception de celles collectées durant l'incident de lundi et qui ont été, elles seules, supprimées). Cette collecte de données est précisément ce que nous dénonçions comme étant l'unique raison d'être de l'obligation de redirection, mais que le Conseil d'État a feint de ne pouvoir anticiper.

Or, d'une part, le traitement de données personnelles ici reconnu par le ministère n'a pas été autorisé validement. Pour ce faire, son autorisation aurait au moins dû être précédée par un examen préalable de la CNIL (tel que cette dernière le rappelait dans son avis concernant l'obligation de redirection ), ce qui n'a pas été le cas. D'autre part --- et c'est l'essentiel --- un tel traitement, même s'il respectait les formalités légales, resterait illicite en ce qu'il constituerait une atteinte à la vie privée et à la liberté d'information disproportionnée par rapport à l'objectif initialement prévu par le législateur.

Nous avons déjà saisi la CNIL d'une plainte à ce sujet. La récente déclaration du Ministère de l'Intérieur nous ouvre probablement une autre voie contentieuse… À suivre !