Données de connexion : la Quadrature du Net traîne quatre opérateurs devant la CNIL
Pi quoi encore ?
Opérateurs de communications électroniques :
Le 23 mars 2018 à 09h59
6 min
Droit
Droit
La Quadrature du Net poursuit son infatigable bataille contre la conservation généralisée des données de connexion. Dernier épisode en date, quatre bénévoles viennent de saisir la CNIL suite au refus opposé par Bouygues Telecom, Free Mobile, Orange et SFR de leur ouvrir l’accès à leurs données personnelles.
La législation en vigueur en France contraint les intermédiaires techniques à conserver l’ensemble des données de connexion pendant un an. Comme déjà relaté dans nos colonnes, le périmètre de ces informations – sur le terrain de la loi Renseignement – est particulièrement vaste et intrusif au regard des informations collectées aussi bien en temps différé qu’en temps réel :
Les données glanées en temps différé
- Les informations permettant d'identifier l'utilisateur, notamment pour les besoins de facturation et de paiement
- Les données relatives aux équipements terminaux de communication utilisés
- Les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication
- Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs
- Les données permettant d'identifier le ou les destinataires de la communication
Les opérateurs de téléphonie :
- Les données permettant d'identifier l'origine et la localisation de la communication
- Les données permettant d’établir la facturation
Les « opérateurs » :
- Les données permettant d'identifier l'origine de la communication
- Les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication
- Les données à caractère technique permettant d'identifier le ou les destinataires de la communication
- Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs
Les FAI :
- L'identifiant de la connexion
- L'identifiant attribué par ces personnes à l'abonné
- L'identifiant du terminal utilisé pour la connexion lorsqu'elles y ont accès
- Les dates et heure de début et de fin de la connexion
- Les caractéristiques de la ligne de l'abonné
Les FAI et hébergeurs :
Au moment de la création du compte :
- l'identifiant de cette connexion
- Les nom et prénom ou la raison sociale
- Les adresses postales associées
- Les pseudonymes utilisés
- Les adresses de courrier électronique ou de compte associées
- Les numéros de téléphone
- Les données permettant de vérifier le mot de passe ou de le modifier, dans leur dernière version mise à jour
Lorsque la souscription du contrat ou du compte est payante, les informations suivantes relatives au paiement, pour chaque opération de paiement :
- Le type de paiement utilisé
- La référence du paiement
- Le montant
- La date et l'heure de la transaction.
Les données recueillies en temps réel
- Celles permettant de localiser les équipements terminaux
- Relatives à l'accès des équipements terminaux aux réseaux ou aux services de communication au public en ligne
- Relatives à l'acheminement des communications électroniques par les réseaux
- Relatives à l'identification et à l'authentification d'un utilisateur, d'une connexion, d'un réseau ou d'un service de communication au public en ligne
- Relatives aux caractéristiques des équipements terminaux et aux données de configuration de leurs logiciels.
Droit d'accès et de rectification
C’est à partir de ce stock que quatre bénévoles de la Quadrature du Net ont considéré que « ces données très personnelles n'ont, à notre connaissance, jamais été fournies aux titulaires de ligne ». En octobre dernier, ils ont donc sollicité la communication de ces informations auprès de Free Mobile, Bouygues Telecom, SFR et Orange, au titre du droit d’accès et de rectification.
Une démarche un peu vaine : « Nous avons reçu une réponse incomplète de SFR, et une fin de non recevoir de Free, qui prétend que ces informations personnelles ne sont pas communicables aux personnes concernées ! Orange et Bouygues Telecom, eux, n'ont jamais répondu ».
Dans sa réponse citée par LQDN, Free prévient qu'« en application de la législation en vigueur, celles-ci ne peuvent être transmises que sur réquisition des autorités judiciaires uniquement ».
Après cette tentative, ils ont saisi la CNIL pour éprouver leur demande sur le socle de la loi de 1978 sur l’Informatique et les Libertés. Selon le sens de la réponse apportée par l’autorité indépendante, ils pourront poursuivre leur procédure devant les juridictions administratives.
Les données de connexion, la CJUE et la France
Ce chapitre s’inscrit dans un ouvrage déjà très dense, riche de plusieurs arrêts de la Cour de justice de l’Union européenne et de réponses du gouvernement français minorant leur impact.
Dans son arrêt Tele2 Sverige, la CJUE a jugé le 21 décembre 2016 qu’ « eu égard à la gravité de l’ingérence dans les droits fondamentaux en cause que constitue une réglementation nationale prévoyant, aux fins de la lutte contre la criminalité, la conservation de données relatives au trafic et de données de localisation, seule la lutte contre la criminalité grave est susceptible de justifier une telle mesure ».
De ces lignes, la justice laisse entendre qu’une conservation généralisée des données de connexion est proscrite. La France n’est pas de cet avis. Intervenant dans une autre affaire en cours, elle rétorque que « la conservation des données techniques de communications électroniques, telles que les données de connexion ou de localisation, est strictement nécessaire pour garantir la disponibilité de ces données à des fins de préservation des intérêts vitaux de la sécurité nationale ».
Sur la même longueur d’onde, le député LREM Fabien Gouttefarde, membre de la commission de la Défense nationale, ajoute que « l’idée d'une collecte sélective des données semble peu opérationnelle et impliquerait de faire renoncer les services à l'exploitation administrative ou judiciaire des données de connexion qui repose nécessairement sur une collecte générale et préalable de ces données par les opérateurs dans des objectifs commerciaux ».
Le nouveau dossier lancé par la Quadrature est utile puisqu’il permettra de remettre au chaud le sujet de la collecte généralisée, cette fois sous l’angle de l’accès aux données. Sauf réponse favorable de la CNIL, la procédure devrait prendre des mois.
Données de connexion : la Quadrature du Net traîne quatre opérateurs devant la CNIL
-
Les données glanées en temps différé
-
Les données recueillies en temps réel
-
Droit d'accès et de rectification
-
Les données de connexion, la CJUE et la France
Commentaires (12)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 23/03/2018 à 22h55
Si j’ai bien compris, le but est d’attaquer la conservation systématique des donnés de connexion de tout le monde. Pas juste de personnes sous surveillance.
(j’ai tout de même l’impression ici que ces “données de connexion” sont en fait l’ensemble des méta-données liés à l’utilisation des services fournis par le FAI, et apparemment pas que des méta-données, en lisant la liste de l’article)
L’Europe dit qu’il ne faut pas le faire.
La France (et j’imagine qu’elle n’est pas la seule) dit que si, pendant 1 an.
J’imagine que pour réaliser cette démarche il faut y aller méthodiquement et passer par des étapes qui peuvent sembler évidente.
A titre personnel je me demande ce que conserve exactement mon FAI de mon utilisation de ses services ?
Tout ? Non.
Mais quoi exactement ?
Pour les clients Orange, pas de soucis, … “Orange a pris [l’engagement] devant la Commission européenne de fournir à ses clients un tableau de bord de leurs données personnelles d’ici 2015.”
A moins qu’ils ne soient (un peu) en retard ?
Le 23/03/2018 à 10h08
Éventuellement, la procédure pourrait être relancée pour l’éprouver, cette fois, sur le socle du RGPD. En tout cas, excellente initiative. " />
Le 23/03/2018 à 10h30
oui une belle saisie.
curieux de voir les données stockées par les FAI.
Le 23/03/2018 à 10h46
Une superbe demande !
La réponse de Free fait allusion à l’article 41 de la Loi 78-17 je suppose, mais comme la “communication des données qui y sont contenues ne met pas en cause ses finalités, la sûreté de l’Etat, la défense ou la sécurité publique, ces données peuvent être communiquées au requérant”, il suffit de demander à la CNIL de servir d’intermédiaire pour accéder à ces données, sauf à être particulièrement surveillé par l’État.
J’ai bien envie de faire la même demande à Sosh.
Ils n’ont trouvé personne chez eux pour faire la demande à FDN ? " />
Le 23/03/2018 à 10h54
FDN est un trop petit FAI pour être contraint à garder ces données. De mémoire, il y a un seuil défini d’abonnnés par la loi.
Le 23/03/2018 à 10h54
Edit plus possible, en me relisant, je me rends compte que la réponse de Free est fausse.
En fait, elle aurait pu objecter l’article 41 (s’il est bien applicable ici) mais elle ne l’a pas fait, elle doit donc appliquer l’article 39 et fournir les données.
Le 23/03/2018 à 11h00
ici
Le 23/03/2018 à 11h01
Bien sûr que non. Tu as des liens vers les textes de loi dans la page de la Quadrature mise en lien. Il n’y a heureusement aucune limite liée à la taille d’un opérateur. Cela serait la porte ouverte à tous ceux qui voudraient se cacher de l’État.
Tu confonds peut-être avec HADOPI qui se limite aux “gros” FAI pour les demande d’identification à partir de l’adresse IP.
Le 23/03/2018 à 11h10
L’épreuve tant redoutée par nos candidats, le 4 à la suite " />
Le 23/03/2018 à 11h26
Ils sont bien courageux, ces cinq quatre gus dans leur garage ! " /> La QdN !
Le 23/03/2018 à 13h28
Excellente idée d’attaquer sur le droit, ceux qui veulent cacher sous le tapis le fait qu’ils respectent la loi européenne plus ou moins en fonction de leur intérêt étatique, quittent à enfreindre les Droits de l’Homme … et du CITOYENS " />
Le 23/03/2018 à 19h19
Pas compris le but “réel” de la démarche…
Une fois que le mec de la QdN aura eu accès a ses propres données personnelles, il compte les publier sur le web pour qu’on puisse tous connaitre ses communications, localisations, … ? Non, ca m’étonnerait.
Du coup, le mec compte juste publier un blog en disant “ah la la, c’est scandaleux, ils ont collecté des données !” pour faire du buzz ?
" />