Conservation des données de connexion : les pistes du gouvernement
Extension du domaine de la fuite en avant
Le 29 septembre 2021 à 12h46
13 min
Droit
Droit
L’épineux sujet de la conservation des données de connexion est loin d’être asséché. Le gouvernement a sur la rampe deux projets de décret afin d’obliger les intermédiaires techniques, hébergeurs, opérateurs et FAI, à ce devoir de mémoire. Explications détaillées.
Nouvelle saison d’une série aux multiples rebondissements, la conservation des données de connexion. Dans cette épopée qui pourrait figurer en bonne place sur Netflix ou équivalent, se retrouve relancé l’éternel arbitrage entre liberté et sécurité, vie privée et prévention ou lutte contre les infractions.
D’abord un rappel synthétique. Dans notre espace juridique, tous les intermédiaires, comme les opérateurs télécoms, les FAI ou les réseaux sociaux et autres hébergeurs, sont soumis à un beau principe… immédiatement battu en brèche. Ce beau principe est l’un des Commandements du Code des postes et des télécommunications électroniques : « les opérateurs de communications électroniques, affirme l’article L34-1 du CPCE, effacent ou rendent anonymes (…) les données relatives aux communications électroniques ».
Ainsi posé, l’article consacrerait le règne de l’absolutisme de la vie privée dans ses versants les plus protecteurs, mais bien aussi au-delà. Le principe est percé par une série d’exceptions. Et pas des moindres puisque pour nourrir les besoins du judiciaire, du renseignement, comme ceux de l’ANSSI, et même de l’estomac Hadopi, le coup de torchon sur la craie des données de connexion a été décalé d’une année.
Une période où les intermédiaires ont donc l’obligation de se souvenir de toutes les données de connexion concernées, à savoir les qui, quand, comment, de l’ensemble de ces échanges et activités en ligne, par opposition aux données de contenus (les mails, les photos attachées, les conversations, etc.)
En somme, un véritable conte du Petit Poucet 2.0 où les petits morceaux de pain ne périssent dans l’oubli du numérique que 365 longs jours après avoir été posés, souvent sans le savoir, par les internautes, clients et autres utilisateurs.
C’est ainsi grâce à la conservation des données de connexion que finalement les services du renseignement peuvent esquisser, parfois dans un luxe de détail, le graphe social d’une personne. C’est aussi avec cette fameuse obligation que la Hadopi parvient à savoir que telle adresse IP horodatée se rattache à tel abonné bientôt rappelé à l’ordre pour défaut de sécurisation. Et évidemment, le judiciaire n’est pas en reste puisqu’aujourd’hui une grande partie des enquêtes passent par l’exploitation des mines numériques.
Seulement, cet édifice construit depuis de longues années s’est ébréché, fendillé, abimé après de multiples secousses telluriques venues, non de France, mais d’Europe. Une jurisprudence de plus en plus pointilleuse de la Cour de justice de l’UE qui n’a guère eu de mal à constater, au fil de plusieurs arrêts, qu’une conservation indifférenciée de l’ensemble des données de connexion porte nécessairement une atteinte disproportionnée à la sacro-sainte vie privée. Et pour cause, tous les internautes y sont soumis, qu’ils fomentent un nouveau crime sur le territoire, ou pas.
Des arrêts, pour la plupart commentés longuement dans nos colonnes, trois références notables à retenir :
- 8 avril 2014 : l’arrêt fondamental « Digital Rights Ireland »
- 21 décembre 2016 : l’arrêt de consécration « Télé2 »
- 6 octobre 2020 : Les arrêts de précision « Quadrature du Net et FDN » et « Privacy International »
Dans les deux premiers, en substance, la Cour de justice de l’UE n’a pas condamné la conservation des données, mais a exigé de solides garanties et autres serrages de boulons de rigueur. Elle a tout autant demandé des États membres de n’imposer ce devoir de mémoire qu’aux infractions les plus graves, tout en encadrant les règles d’accès à ces bouts de vie privée laissés dans le sillage des communications électroniques.
L’arrêt LQDN et FDN a, quant à lui, été rendu suite à des questions préjudicielles posées par le Conseil d’État, avec une juridiction française en quête de justifications pour sauvegarder malgré tout cette obligation de conservation si pratique pour les services.
Face à une telle jurisprudence, qui a suscité de lourdes inquiétudes chez nombreux États membres dans leur capacité à prévenir et poursuivre les infractions, la décision d’octobre a finalement été plus nuancée que les précédentes.
L’arrêt, très dense, réserve notamment le cas des situations d’urgence, distinguant au surplus le régime des données de trafic et de localisation (hors IP) des données d’identification et enfin des seules adresses IP.
Crédits : Marc Rees (Licence CC-BY-SA 3.0)
Après cette décision européenne, le Conseil d’État a rendu un arrêt d’équilibriste, pour finalement sauver l’essentiel, certes en appelant une réforme des textes en vigueur suite à des incompatibilités manifestes du droit français.
Cette révision a été orchestrée par la loi du 30 juillet 2021 relative à la prévention d’actes de terrorisme et au renseignement, et tout particulièrement son article 17. Un article qui vient moduler l’obligation de conservation selon une ribambelle de finalités (procédures pénales, prévention des menaces contre la sécurité publique et sauvegarde de la sécurité nationale, la lutte contre la criminalité et la délinquance graves, etc.).
Crédits : Commission des lois du Sénat
L’article 17 exige, pour son application, la publication de deux décrets par le gouvernement, destinés à détailler concrètement la mise en œuvre de ces obligations.
Deux projets de décrets soumis à consultation
Le premier sera pris en application du Code des postes et des télécommunications électroniques, la seconde, de la loi sur la confiance dans l’économie numérique (LCEN).
Pourquoi deux pans légaux ? Tout simplement parce que l’obligation de conservation se retrouve à la fois dans l’article L. 34 - 1 du code des postes et communications électroniques, s’agissant des opérateurs de communications électroniques, mais aussi à l’article 6-II de l’inévitable loi sur la confiance dans l’économie numérique (ou LCEN) s’agissant cette fois des FAI et des hébergeurs.
C’est dans ce contexte que la Direction générale des Entreprises vient de lancer un appel à avis, en diffusant ces deux projets de décrets. Leur lecture permet de mieux comprendre les futures obligations qui pourraient peser sur les intermédiaires, ou – question d’angle, l’ampleur des atteintes à la vie privée des personnes physiques.
Les opérateurs de communications électroniques
Le premier projet de décret concerne donc les opérateurs de communications électroniques, soit les opérateurs déclarés et possiblement les opérateurs de communications électroniques comme Skype. Ceux-là devront donc conserver… :
Les informations relatives à l’identité civile de l’utilisateur
- Les nom et prénom ou la raison sociale
- Les adresses postales associées
- Les date et lieu de naissance
- Les adresses de courrier électronique ou de compte associées
- Les numéros de téléphone
Les informations relatives aux contrats ou aux créations de compte :
- L’identifiant de la connexion
- Les pseudonymes utilisés
- Les données permettant de vérifier le mot de passe ou de le modifier, le cas échéant par l’intermédiaire d’un double système d’identification de l’utilisateur, dans leur dernière version mise à jour
- Pour les opérations de paiements lors de la création d’un compte ou souscription d’un contrat :
-
- Le type de paiement utilisé
- La référence du paiement
- Le montant
- La date, l’heure et le lieu de la transaction
Les données techniques permettant d’identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés :
- L’adresse IP attribuée à la source de la connexion et le port associé
- Le numéro d’identifiant de l’utilisateur
- Le numéro d’identification du terminal
- Le numéro de téléphone à l’origine de la communication
Les données de trafic et de localisation
- Les caractéristiques techniques, la date, l’horaire et la durée de chaque communication
- Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs
- Les données permettant d’identifier le ou les destinataires de la communication
- Pour les activités de téléphonie, les données permettant d’identifier la localisation de la communication.
Quelle serait la durée de conservation ?
Contrairement à la situation d’avant la réforme entreprise par la loi du 30 juillet 2021, désormais, la durée va dépendre de finalités et des procédures engagées.
Les données relatives à l'identité civile de l'utilisateur seront par exemple conservées cinq ans, « pour les besoins des procédures pénales, de la prévention des menaces contre la sécurité publique et de la sauvegarde de la sécurité nationale ». Ces cinq ans sont calculés « à compter de la fin de validité de son contrat », donc possiblement des dizaines d’années pour les utilisateurs trop fidèles à un opérateur.
Toujours pour ces mêmes finalités, les autres informations fournies par l'utilisateur lors de la souscription d'un contrat ou de la création d'un compte et les informations relatives au paiement seront conservées cette fois un an, mais là encore à compter de la fin de validité de son contrat ou de la clôture de son compte.
Pour les besoins maintenant...
- de la lutte contre la criminalité et la délinquance grave,
- la prévention des menaces graves contre la sécurité publique
- et la sauvegarde de la sécurité nationale,
... toutes « les données techniques permettant d'identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés » seront conservées au maximum un an à compter de la connexion ou de l'utilisation des équipements terminaux.
Enfin, pour la sauvegarde de la sécurité nationale, et en cas de « menace grave », « actuelle » ou menace « prévisible », le Premier ministre pourra adresser une injonction aux opérateurs pour les obliger à conserver en supplément d’autres données.
C’est la voie de l’injonction rapide qui concernera toutes les données techniques permettant d'identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés, « jusqu'à l'expiration d'un délai d'un an à compter de la connexion ou de l'utilisation des équipements terminaux ».
Les hébergeurs et les FAI (LCEN)
Là aussi, les informations relatives à l’identité civile de l’utilisateur seront stockées durant cinq ans après la fin du contrat. Cela concernera :
- Les nom et prénom ou la raison sociale
- La ou les adresses postales associées
- Les date et lieu de naissance
- Les adresses de courrier électronique ou de comptes associées
- Le ou les numéros de téléphone
D’autres informations fournies lors de la souscription du contrat ou de la création du compte seront conservées un an, après la fin de validité du contrat ou la clôture de son compte. Ce sont :
- L’identifiant fourni par l’utilisateur lors de la création du compte
- Tous les pseudonymes utilisés par cette personne
- Mais aussi « les données permettant de vérifier le mot de passe ou de le modifier, le cas échéant par l’intermédiaire d’un double système d’identification de l’utilisateur, dans leur dernière version mise à jour ».
Même délai d’un an s’agissant des informations relatives au paiement :
- Type de paiement utilisé
- Référence du paiement ;
- Montant
- Date, heure et lieu de la transaction
Les données techniques permettant d’identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés seront conservées là encore un an à compter du jour de la connexion s’agissant des FAI, ou de la création d’un contenu, pour chaque opération y contribuant (création initiale, modification et suppression) s’agissant des hébergeurs.
Cela visera…
Pour les FAI, à chaque connexion de leurs abonnés :
- L’identifiant de la connexion ;
- L’identifiant attribué par ces personnes à l’abonné ;
- L’adresse IP attribuée à la source de la connexion et le port associé.
Pour les hébergeurs, à chaque opération de création d’un contenu (ex : un commentaire sous une vidéo, envoi d’un fichier partagé sur Soundcloud, ou d’un tweet), devront être conservés :
- L’identifiant de la connexion à l’origine de la communication ;
- Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus.
L'injonction rapide, version LCEN
FAI et hébergeurs pourront enfin être visés par une « injonction rapide ».
Les FAI devront alors conserver pour une durée d'un an pour chaque connexion de leurs abonnés :
- Les dates et heures de début et de fin de la connexion ;
- Les caractéristiques de la ligne de l’abonné.
Les hébergeurs devront conserver durant un an pour chaque opération de création d’un contenu :
- L’identifiant attribué par le système d’information au contenu, objet de l’opération
- La nature de l’opération
- Les date et heure de l’opération
- L’identifiant utilisé par l’auteur de l’opération lorsque celui-ci l’a fourni
Le projet de décret, dont on peut s'interroger sur les conséquences sur le traitement Hadopi et même ANSSI , indique que la conservation devra concerner des données « pertinentes au regard des finalités poursuivies par la loi ». En outre, ces opérations devront être soumises aux prescriptions de la loi de 1978, s’agissant de l’obligation de sécurisation des données à caractère personnel.
Enfin, le texte prévient que « les conditions de la conservation [devront] permettre une extraction dans les meilleurs délais en cas d’injonction des autorités habilitées ». Une manière d’imposer la réactivité des intermédiaires techniques qui pourraient être tentés de trainer la patte.
Conservation des données de connexion : les pistes du gouvernement
-
Deux projets de décrets soumis à consultation
-
Les opérateurs de communications électroniques
-
Quelle serait la durée de conservation ?
-
Les hébergeurs et les FAI (LCEN)
-
L'injonction rapide, version LCEN
Commentaires (23)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 29/09/2021 à 14h20
Encore une loi sécuritaire qui atteint de manière disproportionnée a la vie privée 5 ans (dès la fin du contrat) cool si on change jamais de contrat on est stocké a vie …
Je me demande si ces deux proposition sont pas encore pire que ce qui est déjà en place …
Le 29/09/2021 à 14h33
Là je ne vois pas le problème. Tu voudrais que ton FAI ne connaisse pas ton identité, même pendant la durée du contrat ?
5 ans après, ok, c’est abusif, mais pendant le contrat ?
Le 29/09/2021 à 15h13
J’ai lu le titre trop vite:
“Les pires du gouvernement”
Ben en fait c’était vrai …
Le 29/09/2021 à 15h48
Sauf que la je parle des données de connexion stockées a vie ….
Le 29/09/2021 à 16h19
Quand je lis l’article, c’est écrit que les données de connexion sont stockées un an à compter de la connexion. Les informations de connexion ne font pas partie des informations conservées 5 ans après la fin du contrat (qui sont : identité, moyen de paiement, etc.)
Le 29/09/2021 à 16h36
Oui les données de connection seront conservé un an à partir de leur création pour les FAI uniquement (ce qui change beauuuuuuucoup de choses)
Car pour les autres il faudrait conserver uniquement ce qui attrait à la création de contenu ce qui parait top mais peu nuire par exemple à la sécurité des comptes (ne plus pouvoir stocker le pays de connexion d’un compte par exemple pour éviter le mec qui se connecte soudainement depuis la Russie)
Le 29/09/2021 à 23h31
C’est plutôt la plage de port de l’abonné.
0-65535 en temps normal.
Moins avec du 4rd ou MAP.
Et avec du CGN stateful NAT44 ou NAT64(mobile) là c’est effectivement chaque session au sens session TCP/UDP
En IPv6 pas de problème, il suffit de conserver le /64 du mobile ou le /56 du domicile.
Le 30/09/2021 à 13h26
Mais dans ce cas ça représente un sacré volume de données à stocker à l’échelle d’un pays ?
Le 30/09/2021 à 08h44
J’ai du mal à savoir de quoi traite “chaque opération de création d’un contenu”…
Quand on upload un avatar sur Nxi, c’est une création de contenu?
si non, alors comment est-ce défini, et qu’est-ce qu’une création de contenu???
Le 30/09/2021 à 12h27
C’est écrit dans l’article :
Le 30/09/2021 à 15h37
Il manque un point intéressant dans cet article.
La définition de criminalité grave, personnellement je n’en ai pas trouvé de définition.
Encore une arnaque dans lequel on mettra ce que l’on veut et source de contentieux avec jurisprudence ??
Le 30/09/2021 à 18h38
En effet, mais ils le font déjà depuis longtemps sur le mobile avec le NAT44.
Par exemple chez Orange les clusters de F5 qui fournissent ça archivent tout pour très longtemps.
Mais grâce au trafic IPv6 grandissant ils ont de moins en moins de logs de sessions dynamiques
Le 30/09/2021 à 19h48
Ok merci.
Le 03/10/2021 à 04h12
Pourquoi moins de log en IPv6 ?
Le 03/10/2021 à 08h45
En IPv6 tu files un préfixe à un client, y compris sur mobile. Un /64 en l’occurrence, via 3GPP.
Du coup pas de nat sur le coeur de réseau contrairement à IPv4. Donc pas de table dynamique de mapping client-ip publique+port - horodatage.
Donc pas de logs monstrueux.
Ton téléphone peut très bien garder le même préfixe IPv6 plusieurs jours, tout comme un routeur domestique ne change pas d’IP wan souvent.
Par contre il faut loguer les sessions NAT64 générées par les mobiles. Mais comme c’est fait sur les mêmes plateformes que celles qui faisaient le NAT44, pas de problème.
Par exemple, un téléphone portable qui va sur Google où Facebook en IPv6 ne génère plus de logs unitaires.
Le 02/10/2021 à 09h56
Probablement.
La france est reconnue sur le plan international pour utiliser les lois anti-terroriste pour tout et n’importe quoi, et en particulier pour lutter contre les actions des groupes écologiques ou de contestation sociale. https://www.amnesty.org/fr/latest/press-release/2017/05/france-unchecked-clampdown-on-protests-under-guise-of-fighting-terrorism/ https://mrmondialisation.org/effets-dun-etat-durgence-permanent/ .
Une certaine vision de l’avenir…
Je me demande comment ça se gère effectivement pour les hotels, les opérateurs mobiles, …. ça représente des millions (milliard?) de lignes de logs à stocker , tagger, indexer,…
Le 02/10/2021 à 17h30
C’est toujours moins de données que ce google ads ou cloudflare stocke sur nous chaque jour…
C’est un volume de données pas si énorme au regard du nombre de clients derrière.
Il suffit de comparer au SIEM d’une entreprise qui a chaque action d’un utilisateur peut parfois recevoir des logs de chaque système traversé par le flux…
Le 03/10/2021 à 08h19
Merci pour ce dossier Marc, une question, la surveillance et l’analyse des adresses URLs par le DPI est-il un projet toujours en cours, ou c’est annulé ?
Le 03/10/2021 à 09h17
certains Députés ont compris qu’on ne pouvait PAS continuer ainsi :
abstention aux ‘Régionales de 2021’—> + de 60%
abstention à la ‘Présidentielle de 2017’—> 23%
“faut arrêter l’hémorragie
https://www.francetvinfo.fr/elections/municipales/l-assemblee-nationale-lance-une-consultation-citoyenne-en-ligne-pour-comprendre-les-raisons-de-l-abstention-aux-elections_4791291.html
Le 03/10/2021 à 10h10
Quel rapport avec les logs ?
Tu veux un système où selon le nombre de fois où l’internaute va sur le Figaro, le Monde, Marianne ou Valeurs actuelles ça comptabilise des voies pour le parti correspondant ?
Dans ce cas je propose de comptabiliser NXI pour le parti pirate.
Le 03/10/2021 à 14h32
Donc prochain dossier NXi, comment monter un proxy dans un autre pays européen pour la navigation Internet du foyer ? 😉
Le 03/10/2021 à 17h52
lol, ils ont surtout compris qu’il fallait encore noyer le poisson dans une énième consultation qui finira a la corbeille , comme les précédentes….et ils pourront se donner bonne conscience et arguer qu’ils ont consultés le populo…..
et ca va marcher, y’en a meme qui vont aller voter hehehe
Le 04/10/2021 à 08h51
N’oublie pas que pour les régionales, tu as aussi l’effet pandémie qui a dû bien aider à gonfler les chiffres de l’abstention (en plus, il n’y avait pas de vaccins disponibles à ce moment-là, à part pour les ultra-vieux qui ne vont de toute façon plus voter)…