Un Wifi chez vous ? Allez-vous être déclaré opérateur de télécom ?

Le marché du Wifi encore émergent sera-t-il stoppé net ? Le 15 décembre prochain, Éric Montagne, du SmartWiFiClub, organise une table ronde sur le projet de loi contre le terrorisme, qui sera débattu le même jour et le lendemain au Sénat.

Il est important que tous les acteurs - petits ou grands - du Wi-Fi en accès public fassent entendre leur voix auprès des sénateurs, pour éviter que cette loi ne soit adoptée sans qu’il y ait eu de débat démocratique avec les principaux intéressés, et sans que les sénateurs soient informés des conséquences concrètes de son application.

Car cette disposition Internet est quasiment passée sous silence. Les médias ont surtout commenté les volets relatifs à la vidéosurveillance ou aux contrôles renforcés dans les trains, mais rien - ou si peu - n’a été dit sur cette disposition qui attribue de fait le statut d’opérateur à de nouvelles et nombreuses entités qui n’étaient jusque-là pas concernées par le dispositif légal.

De quoi s’agit-il ? Le projet de loi contre le terrorisme qui a été adopté en procédure d’urgence par les députés, le 29 octobre dernier, comporte deux chapitres obligeant désormais toute personne qui propose un accès Internet à conserver et à communiquer aux services de police les données de connexion.

Le texte du projet est explicite : l’article 6 assimile à des opérateurs de communications en ligne, les personnes physiques ou morales dont l’activité professionnelle, directe ou indirecte, est d’offrir une connexion Internet à destination du public par l’intermédiaire d’un accès au réseau, à titre gratuit ou payant, que cette activité soit menée à titre accessoire ou principal.

En somme, toutes ces « personnes » vont maintenant devoir identifier chaque utilisateur de leur réseau, enregistrer leurs données de connexion (les logs, c’est-à-dire les adresses IP des sites visités et les adresses e-mails des correspondants, ainsi que les dates et durées des communications, mais pas le contenu des visites et des courriers), conserver ces données au moins trois ans (on comprend les « réticences » de la CNIL, eu égard à sa mission de préservation de la vie privée et des libertés individuelles !) et pouvoir les communiquer à tout moment, sans réquisition ni contrôle du juge, aux services de police et de gendarmerie spécialisés dans la prévention du terrorisme.

En clair, sont concernés, non seulement les cybercafés, voire les opérateurs virtuels qui se lancent dans la VoIP, mais aussi tous ceux qui proposent du Wi-Fi public : les hotspots (gares, hôtels, cafés, restaurants, aéroports...), ainsi que les collectivités territoriales et les mairies (un mauvais cadeau de Noël pour l’aménagement numérique du territoire !), les universités, les bibliothèques... voire les entreprises privées qui permettent, par exemple, à leurs visiteurs d’accéder à Internet via une liaison sans fil (un arrêt de la Cour d’appel, cette année, n’a-t-il pas récemment assimilé la BNP à un FAI dans un litige ?)

Nul n’est censé ignorer la loi. Et dans l’état actuel de la technologie et des modèles économiques qui font la part belle au prépayé et au gratuit, l’application sensu stricto de ce projet de loi peut mettre à mal tous les marchés encore naissants de l’accès Internet sans fil. En Italie, où une loi similaire a été votée, le développement du Wi-Fi a été stoppé net, avant que les autorités ne décident de faire marche arrière, trois mois plus tard.

Pourquoi ? Parce qu’aujourd’hui, il n’est pas possible d’identifier à coup sûr un utilisateur qui se connecte sur un accès Wi-Fi. C’est compréhensible pour le Wi-Fi en accès gratuit, mais il en va de même pour le Wi-Fi payant. Même les opérateurs mobiles, pourtant techniquement armés dans ce domaine et habitués à répondre à des requêtes judiciaires sur le cellulaire, ne peuvent identifier qu’à peine une connexion sur deux sur leur réseau de hotspots.

La raison de cela ? Plus de la moitié des utilisateurs payent leur accès Wi-Fi avec une carte prépayée, un paiement par carte bancaire ou un paiement en ligne. Pour pouvoir identifier cet utilisateur, il faudrait que le marchand (ou le gestionnaire de hotspot) qui lui vend cette carte, lui demande son identité et puisse « tracer » ses connexions. Et pour autant que le gestionnaire et le client acceptent cette contrainte, il faudrait le faire à chaque transaction, contrairement à ce qui se passe pour les cartes prépayées téléphoniques, pour lesquelles une seule vérification d’identité à l’achat du terminal est suffisante.

Certes, les nécessités de la lutte contre le terrorisme justifient la mise en œuvre de nouvelles dispositions, mais le volet Internet du projet de loi impose des obligations dont on peut craindre qu’elles soient disproportionnées, techniquement irréalistes, économiquement inapplicables et, surtout, sans effet, compte tenu de l’objectif poursuivi. Car sur Internet, et a fortiori via un accès Wi-Fi, les terroristes disposent d’un arsenal de parades pour utiliser le réseau en tout anonymat (par exemple, en trafiquant la MAC ADRESS de la carte Wi-Fi et en se connectant via n’importe quel Wi-Fi libre non sécurisé). En somme, ces obligations risquent surtout de pénaliser le plus grand nombre - fournisseurs d’accès, opérateurs et clients, et de rester sans effet sur la cible visée.

En outre, le projet de loi comporte bien des zones d’ombre. Quelles sont réellement les « personnes morales ou privées » concernées par ces obligations ? Comment obtenir, exploiter et rapprocher ces données ? Comment informer le public de la mise en place de ces dispositifs ? Quel dédommagement (le projet évoque une compensation financière) sera versé à ces « opérateurs » qui devront investir dans des outils de tracking (serveur proxy, disque dur, sauvegardes...) et de maintenance pour conserver une masse gigantesque de données ? Une telle masse d’information pourra-t-elle être exploitée par les services concernés dans le cadre de leur mission de prévention terroriste ?

A l’extrême, quelle est la responsabilité du cafetier du coin ou d’un usager résidentiel du Wi-Fi, dont la connexion peut être utilisée en libre accès par un voisin ou par un passant situé dans la zone de couverture ? Faudra-t-il, demain, fermer la moitié des points d’accès Wi-Fi publics en France, et tirer un trait sur ce marché ? Le développement du Wi-Fi comme technologie d’accès alternative dans les collectivités privées d’ADSL est-il menacé ?

Ces questions spécifiques méritent un débat lui aussi spécifique. C’est pourquoi nous lançons ce débat, le 15 décembre, au SmartWiFiClub.

Cette table ronde que j’animerai réunira les intervenants suivants :

- M. Joël Gaget, délégué général de la Wireless-Link, pour exposer la problématique des opérateurs et les différentes solutions technologiques en cours ou en développement pour l’identification des utilisateurs sur les hotspots
- M. Philippe Le Grand, directeur du Syndicat mixte Manche numérique, Conseil général de la Manche, pour exprimer le point de vue d’une collectivité territoriale
- M. Albin Périgault, fondateur et gérant de XS Arena, la chaîne de cybercafés leader à Paris
- M. Étienne Wery, avocat spécialisé au Barreau de Paris et de Bruxelles, pour nous parler de la situation dans les autres pays européens et de l’arsenal législatif européen.

Nous avons également invité M. Jean-Patrick Courtois, sénateur-maire de Mâcon et rapporteur du projet de loi pour le Sénat, qui n’a pas rejeté notre invitation mais ne nous a pas encore officiellement confirmé sa venue. À défaut, nous pourrions recevoir un de ses collaborateurs, étant entendu que la discussion du projet de loi au Sénat aura commencé le jour même, et se poursuivra le lendemain, vendredi 16 décembre 2005. Nous nous inscrivons donc en plein débat parlementaire.

15/12/05 - 19 heures - Hôtel Raphaël, avenue Kléber, Paris. Si vous désirez y participer : mail d’Éric ici