OVH : « en tant que FAI, on pourra nous demander d’installer des boîtes noires sur notre réseau »

Nous l’évoquions ensemble le 5 mai dernier, les députés ont adopté à une large majorité la loi sur le renseignement par 438 voix pour et 86 contre. En attendant la suite du processus législatif (au Sénat), Octave Klaba, fondateur de l’hébergeur OVH, revient en détail sur les conséquences de cette loi, pour les hébergeurs, les FAI et leurs clients. En voyant arriver le projet de loi sur le renseignement, OVH et d’autres hébergeurs ont menacé de s’exiler hors de France, si la loi renseignement était adoptée.

Quelles sont les conséquences de cette loi pour les hébergeurs et les datacentres en France ?

Le fondateur d’OVH explique que plusieurs hébergeurs (AFHADS, Gandi, IDS, Ikoula, Lomaco, Online) ont alerté le gouvernement sur leurs refus de voir passer la loi renseignement telle quelle. Celle-ci serait extrêmement néfaste pour tout un pan de l’économique des datacentres en France.

Les hébergeurs ont ensuite été invités par le gouvernement à discuter de la loi pendant deux jours. « La première journée, il nous a été dit que les intérêts économiques ne primaient pas sur les problématiques antiterroristes. Le gouvernement ne voulait rien changer du tout. Les choses ont évolué le lendemain et nous avons pu rédiger l’amendement pour l’activité d’hébergement. C’est a minima, c’est-à-dire que la loi n’allait pas être retirée et nous n’avons pas pu y inclure tout ce que nous voulions. Mais la modification de la loi que nous avons obtenue nous permet aujourd’hui de dire que la loi est compatible avec les datacentres et l’activité d’hébergement ».

« On ne parle donc plus de boîtes noires installées au cœur des datacentres »

Suite à ces débats, les hébergeurs ont réussi à minimiser le champ d’application de la loi. « La loi s’applique uniquement dans le cadre de la lutte antiterroriste. Elle ne peut pas être appliquée pour d’autres cas, par exemple l’activisme politique. Les demandes doivent être ciblées et précises, comme dans le cadre d’une enquête judiciaire classique. On ne parle donc plus de boîtes noires installées au cœur des datacentres pour écouter toutes les communications, mais on parle d’une demande ciblée et limitée. Par exemple, on doit nous préciser l’IP ou l’e-mail qui doit être écouté. L’écoute est limitée dans le temps à 4 mois, renouvelables. La demande ne peut porter que sur les métadonnées c’est à dire qui communique avec qui. Et donc la demande ne peut pas porter sur le contenu des communications elles-mêmes. Si la demande concerne une IP, les métadonnées consistent en une liste des IP qui se sont connectées sur l’IP écoutée. Si la demande est une boîte d’e-mail, les métadonnées sont une liste des adresses e-mails qui ont communiqué avec la boîte e-mail écoutée. Comme dans le cadre d’une enquête judiciaire, la récupération des métadonnées doit être assurée par l’hébergeur lui-même. Il n’y a donc ni intervention d’une personne extérieure ni installation de boîtes noires au sein de datacentres », explique le fondateur d’OVH.

Il affirme notamment que chez les hébergeurs, « il n’y a pas de boîtes noires ». Et de préciser : « lorsqu’on parle de boîtes noires, on parle d’écoute massive, permanente et totale. Ce n’est pas du tout le cas pour les hébergeurs ».

Des boites noires chez les FAI : Free, Orange, SFR, Bouygues…

Pour l’activité fournisseur d’accès internet, celle-ci sera effectivement soumise à l’ensemble de la loi. « C’est-à-dire qu’en tant que FAI, on pourra nous demander d’installer des boîtes noires sur notre réseau de FAI. La loi va, en effet, permettre de capter l’ensemble des échanges que la population effectue via les téléphones mobiles et Internet vers l’extérieur : vers les hébergeurs, vers Google, vers Facebook, vers tout ».

« Les visiteurs français de sites web passeront obligatoirement par ces FAI qui eux sont soumis à la loi renseignement ».

A la question, finalement, que conseillez-vous à vos clients ? Octave Klaba répond : « pour nos clients hébergement français et étrangers, il n’y a pas de changements, sauf si le client a une activité terroriste. En dehors de ce cas de figure, l’hébergement en France n’est pas impacté par la loi renseignement et tout continue comme avant. Héberger les serveurs en dehors de la France n’évitera pas les écoutes chez les FAI français. Les visiteurs français de sites web passeront obligatoirement par ces FAI qui eux sont soumis à la loi renseignement. On peut bien sûr utiliser un VPN pour administrer son serveur mais on ne peut pas obliger 100% des visiteurs de sites web à utiliser un VPN juste pour consulter un site web. C’est pourquoi OVH ne va pas arrêter ou réduire l’activité de ses datacentres en France […] Nous vivons en démocratie. Le plus grand nombre décide pour le pays, les lois sont votées de manière démocratique par des personnes qui ont été élues et auxquelles nous avons décidé de donner le pouvoir ».

Pour lire l’intégralité du point de vue d’OVH, rendez vous sur le site de l’hébergeur.