Décret d’application de la LCEN sur la conservation des données par les FAI et hébergeurs

Le 1er mars 2011 était publié au Journal officiel le Décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne. Il s’agit notamment de préciser les mesures prévues par l’article 6, dans son paragraphe II, de la loi pour la confiance dans l’économie numérique du 21 juin 2004 (implémentant elle-même en droit français les dispositions de la directive européenne 2000/31/CE).

Ce texte comprend deux chapitres principaux. Le premier vient préciser les données à conserver par les fournisseurs d’accès et les hébergeurs pour permettre l’identification des personnes qui ont contribué à la création d’un contenu sur un service de communication au public en ligne. Le second précise les modalités d’accès à ces informations dans le cadre des enquêtes administratives relatives à la prévention des actes de terrorisme. Il s’agit dans ce dernier cas d’une extension à ce contexte des dispositions existant déjà pour l’accès aux données détenues par les opérateurs de communications électroniques au titre de l’article L34-1 du code des postes et communications électroniques.

Ces données ont vocation à être accédées dans le cadre d’une réquisition judiciaire, ou d’une demande administrative prévue par la loi. On rappellera que pour l’enquête pénale, les demandes judiciaires sont notamment encadrées par les articles 60-1 et 60-2 du code de procédure pénale.

Au contraire de l’article L34-1 du code des postes et communications électroniques, il n’était pas demandé ici au pouvoir réglementaire de préciser les catégories de données qui doivent être conservées, mais de façon plus précise les données qui sont concernées par cette obligation. Ainsi, on se retrouve avec un texte à la fois plus précis que le décret portant plus généralement sur les opérateurs – cf. articles R.10-12 à R.10-22 du code des postes et communications électroniques (et qui concerne donc aussi les fournisseurs d’accès à Internet), mais difficile à comparer. On notera toutefois au passage que la durée de conservation a été uniformisée dans les deux cas à un an.

Les exemples et les précisions que je donne ici ne représentent que mon point de vue personnel sur ce texte, ils ne sauraient évidemment engager une juridiction sur son interprétation éventuelle. Toutefois, ces informations sont basées sur ma connaissance des pratiques en la matière, aussi bien du côté des prestataires techniques que des besoins des enquêteurs.

L’article 1 liste les données à conserver

Les termes utilisés dans le décret sont volontairement génériques et cherchent à maintenir une certaine neutralité technologique. L’objectif est bien dans tous les cas de contribuer à l’identification de la personne ayant publié un contenu donné.

- Pour les personnes fournissant un accès à Internet :

  • L’identifiant de la connexion (en pratique une adresse IP) ;
  • L’identifiant attribué par ces personnes à l’abonné (selon les FAI il s’agira d’un identifiant de connexion, d’un pseudonyme choisi par l’utilisateur, d’un identifiant de carte SIM ou d’un numéro de téléphone) ;
  • L’identifiant du terminal utilisé pour la connexion lorsqu’elles y ont accès (l’adresse MAC de l’équipement par exemple) ;
  • Les dates et heure de début et de fin de la connexion (cette notion est superflue pour les FAI qui ne gèrent pas de sessions de connexion) ;
  • Les caractéristiques de la ligne de l’abonné (s’il s’agit d’une connexion par ADSL, par appel téléphonique RTC grâce à un modem, via un point d’accès Wifi, etc.) ;

Selon les configurations, il n’y a pas de sessions mais des accès permanents possibles pendant toute la durée de l’abonnement, dans ce cas les dates et heures de début et de fin n’ont pas de sens. En revanche, un FAI peut autoriser des modes de connexion différents pour un même abonné. Et par exemple, un même abonné pourrait se connecter de chez lui en ADSL (sans forcément de notion de début et de fin de session) et accéder ponctuellement via des points d’accès Wifi, avec une authentification et des débuts et fins de sessions.

- Pour les hébergeurs et pour chaque opération de création :

Rappelons que les hébergeurs sont, selon la loi pour la confiance dans l’économie numérique, "les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services".

  • L’identifiant de la connexion à l’origine de la communication (adresse IP d’origine, ou toute autre information pertinente – dans une structure intégralement gérée par un opérateur de téléphonie mobile il pourrait envisager d’utiliser le numéro de téléphone mobile ou le numéro IMSI de son abonné qui publie des informations sur un site géré par le même opérateur) ;
  • L’identifiant attribué par le système d’information au contenu, objet de l’opération (une référence d’article ou de commentaire, l’URL ou la position dans une arborescence d’une page Web, la référence d’une petite annonce, etc.) ;
  • Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus (accès via l’interface Web, via un accès FTP, par envoi de SMS ou MMS, etc.) ;
  • La nature de l’opération (création, modification ou suppression) ;
  • Les date et heure de l’opération ;
  • L’identifiant utilisé par l’auteur de l’opération lorsque celui-ci l’a fourni (si par exemple, la personne utilise un pseudonyme pour se connecter ou une adresse de courrier électronique, qu’il y ait une authentification ou une simple déclaration) ;

- Dans les cas où il y a un contrat, ou la création d’un compte auprès du fournisseur d’accès ou de l’hébergeur, et dans la mesure où ces données sont collectées :

  • Au moment de la création du compte, l’identifiant de cette connexion (par exemple, l’adresse IP depuis laquelle la personne se connecte pour créer son compte) ;
  • Les nom et prénom ou la raison sociale ;
  • Les adresses postales associées ;
  • Les pseudonymes utilisés ;
  • Les adresses de courrier électronique ou de compte associées ;
  • Les numéros de téléphone ;
  • Le mot de passe (si le système utilisé stocke le mot de passe en clair) ainsi que les données permettant de le vérifier (hashs ou autres techniques permettant de stocker de façon sécurisée un mot de passe) ou de le modifier, dans leur dernière version mise à jour ;

- Dans les cas où des opérations de paiement sont réalisées dans le cadre du service offert par le fournisseur d’accès ou l’hébergeur, et pour chaque opération de paiement :

  • Le type de paiement utilisé ;
  • La référence du paiement ;
  • Le montant ;
  • La date et l’heure de la transaction.

L’article 2 précise ce qui constitue une opération de création de contenu

"La contribution à une création de contenu comprend les opérations portant sur :

  • a) Des créations initiales de contenus ;
  • b) Des modifications des contenus et de données liées aux contenus ;
  • c) Des suppressions de contenus."

L’article 3 fixe la durée de conservation

La durée de conservation de ces informations est fixée à un an à partir de chaque connexion ou contribution à un contenu. Pour la fiche reprenant les informations personnelles du compte ou du contrat, elles doivent être conservées un an après la clôture de ce compte.

L’article 4 précise les conditions de conservation

Il est rappelé que leur sensibilité justifie des mesures de sécurité proportionnées, conformément à l’article 34 de la loi informatique et libertés.

Les conditions de conservation doivent aussi permettre de répondre "dans les meilleurs délais" aux demandes de l’autorité judiciaire.

Conclusion

Dans la très large partie des cas, ce texte ne change rien aux pratiques existantes de la part des professionnels ou des plateformes d’hébergement y compris basées sur des logiciels libres. Pour les fournisseurs d’accès à Internet, ce sont exactement les mêmes données qu’ils conservent déjà dans le cadre de l’application de l’article L34-1 du code des postes et communications électroniques, formulées de façon différente parce que répondant à une législation distincte et des objectifs qui ne sont pas exactement les mêmes.

Pour les hébergeurs, il s’agit d’une clarification bienvenue sur ce qui pourrait leur être demandé, chacun étant concerné par les données qu’il collecte lui-même.

Ainsi, dans les situations complexes où plusieurs acteurs interviennent dans le processus d’hébergement, il leur revient de fixer – éventuellement par le biais de contrats – les responsabilités des uns et des autres et d’être en mesure d’indiquer aux autorités susceptibles de les requérir le bon interlocuteur. Par exemple, un blog et ses commentaires, même s’il est sous la responsabilité de son titulaire, peut être administré sur le plan technique par une plateforme hébergeant des milliers de blogs différents. C’est bien à elle que revient la responsabilité de conserver ces données et de répondre aux réquisitions.

Dans le cas où une personne, une entreprise, une association loue un serveur et l’administre elle-même auprès d’un "grand" hébergeur, il lui revient de le configurer (ou de le faire configurer par un prestataire) de façon à conserver les bonnes informations lorsqu’elle y installera un forum ou la possibilité de poster des commentaires. Le "grand" hébergeur évoqué ici a en revanche l’obligation de disposer des coordonnées de la personne à laquelle il loue le serveur, et éventuellement les informations de paiement.

D’ores et déjà, dans ces situations et dans la plupart des cas, les enquêteurs parviennent déjà très facilement à identifier le bon interlocuteur.

À propos Éric Freyssinet
Officier de gendarmerie. Chef de la division de lutte contre la cybercriminalité, unité de gendarmerie chargée des investigations sur Internet au niveau national. Les idées publiées sur ce blog le sont à titre personnel. Law enforcement officer (colonel with the Gendarmerie nationale in France). Head of the cybercrime division for that agency. Views published on these blogs are personal.

10 Responses to Décret d’application de la LCEN sur la conservation des données par les FAI et hébergeurs

  1. Sur la conclusion que tu tires de ton analyse du texte, un point me chagrine. Tu indiques qu’en pratique le texte ne changera rien. Et ça ne semble pas te choquer. Des gens, dans un ministère, ont travaillé à rédiger un texte qui dans la pratique ne changera rien. L’administration a payé d’honnêtes et travailleurs fonctionnaires à écrire un texte relativement complexe, attendu et redouté par certains depuis 7 ans, pour qu’il ne change rien. Est-ce crédible? Dans le climat actuel autour d’Internet, dans les relations qu’on voit entre le réseau et le pouvoir en ce moment, il y a forcément une très forte présomtion. La présomption que le texte en question s’inscrit dans un cadre tendant à faire disparaitre la liberté d’expression sur Internet, ou au moins à l’erroder. Tu dis qu’à ton sens, en n’engageant bien que toi, celà ne change rien. Mon avis est que dans le climat actuel, c’est suspect.

    Et sur cet élément là, celui qui cristalise tous les fantasmes, c’est le mot de passe. Qu’est-ce que le mot de passe, fut-il chiffré, vient faire là-dedans? À quoi peut-il bien servir dans le cadre d’une enquête? Je ne pense pas qu’il fasse partie des éléments habituellement communiqués par les hébergeurs de service, or c’est une donnée éminemment personnelle, qui ne peut pas avoir d’autre utilité que celle d’usurpé l’identité de la personne, ou de pouvoir accéder à d’autres de ses compte si elle utilise le même mot de passe ailleurs. Et ce sans contrôle légal. En effet, pour usurper l’identité de quelqu’un, par exemple pour remonter un réseau, il suffit de faire une saisie du compte, en demandant à pouvoir y accéder en contournant le mécanisme d’authentification. Aucun besoin d’avoir le mot de passe.

    Sur ton déchifferment du texte, au moins une erreur factuelle. Les dates de début et de fin de session pour les FAIs ne sont pas optionnels. Relis le texte. Ôte ta casquette de technicien, et remet ton képi de gendarme: "Les personnes [...] sont tenues de conserver [...] d) Les dates et heure de début et de fin de la connexion ;" rien ne précise ici "si elles y ont accès" ou "quand de telles informations existent" ou quoi que ce soit d’autre. Je t’accorde le "tenues de conserver" qui est différent de "tenues de fournir". Mais la loi dispose clairement que "Les [FAI] détiennent et conservent", et que le décret dira quoi.

    In fine, tel qu’il est écrit, le décret, articulé avec a loi, fait qu’il est illégal de fournir de l’accès à Internet avec une technique qui ne permette pas de détenir et conserver des dates et heures de début et de fin de session.

    • Bonsoir Benjamin,

      Sur ton premier point, plusieurs défauts d’analyse à mon sens:
      - Pour beaucoup d’acteurs, avant la loi de 2004, l’obligation n’existait pas, et depuis cette loi la jurisprudence est venue leur rappeler qu’ils devaient quand même être en mesure de contribuer à l’identification des contributeurs à la création d’un contenu (jurisprudence BNP Paribas, par exemple), même si le décret n’existait pas encore. Le décret vient mieux préciser leurs obligations et éventuellement pour ceux qui conservent plus d’informations que nécessaire les inciter à réfléchir sur la nécessité ou non de détenir ces informations supplémentaires (ils peuvent en avoir besoin pour faire fonctionner leurs services, mais pas toujours). La durée de conservation enfin est un paramètre qui n’était pas certain à 100%.
      - Cette liste de données et notamment le 1° et 2° seront cruciaux dans l’évaluation des surcoûts identifiables;
      - L’application du chapitre II du même décret est encadrée par son chapitre I. Les enquêtes judiciaires ne sont pas limitées à ce périmètre, le pouvoir de réquisition du code de procédure pénale portant sur toute information stockée par une personne, les enquêtes administratives sur le terrorisme le sont (II bis de l’article 6 de la LCEN) ;

      Sur le mot de passe, oui effectivement 12345 ne va pas identifier une personne, mais gHBJQ_7U7DQNCRB sera plus précis pour faire une corrélation entre deux identités en ligne et contribuer à l’identification. Quand ce sera un hash (ou autre mode de sécurisation) l’indication sera moins précise mais parfois utile. Et oui, cela sert. Enfin, l’utilisation en ligne de ce mot de passe (s’il est stocké en clair donc), est juridiquement impossible aujourd’hui, donc pour moi la question ne se pose pas.

      Sur ton dernier point, le texte ne parle pas de sessions, mais de connexion. La connexion sans gestion de sessions, telle que tu la décris, commence bien au début de l’abonnement pour se finir le dernier jour. Donc ce raccourci couvre bien toutes les situations. Les premières versions du texte listaient tout un tas de situations différentes, au risque de ne pas toutes les couvrir, d’où le choix d’une version plus simple et couvrant l’ensemble des situations. Pas parfait, mais plus neutre.
      PS: si l’IP est dynamique, il y a bien gestion de sessions.

  2. On va commencer par le point technique: si l’IP est dynamique, il y a bien gestion de sessions. Techniquement, tu te trompes (il y a allocation de ressource, mais pas forcément de session, parler de session DHCP est par exemple parfaitement abusif). Mais le débat est de peu d’importance.

    Pour ce qui est de l’usage du mot de passe, tu dis que c’est parfois un moyen d’identification intéressant, ce dont je conviens (les gens mémorisent peu de mots de passe). Cependant ce moyen d’identification me semble beaucoup trop dangereux pour être aussi légèrement encadré. Tel qu’est formulé le décret, c’est une information qui peut être transmise à n’importe quel procureur qui fait une enquête sur ordre. Un peu comme une fadette dans certaines affaires de presse…

    Tu me dis que légalement il est interdit à la police de s’en servir pour usurper une identité. Oui. Dans le doute, je te crois sur ce point-là (ça fait longtemps que j’ai pas relu LOPPSI…). Sauf que c’est un outil dangereux, qu’on met entre les mains de beaucoup trop de gens. L’utilisation des fadettes par n’importe qui, pour n’importe quoi, y compris identifier des sources de journalistes (ce qui est interdit), montre quelles dérives on risque.

    Je ne vois d’utilité au mot de passe que dans des cas très rares, qui devraient relever de la saisie du compte utilisateur, donc nécessairement encadrés (i.e. le cadre des interceptions, pas le cadre des réquisitions simples habituelles).

    • Benjamin,

      - Sur la portion trollesque de ton intervention je ne répondrais pas;
      - Quant à la fin de ton raisonnement, si on le suivait, on réserverait l’ADN ou l’analyse de disques durs à une élite d’enquêteurs. Tu es très très très éloigné de la réalité de l’enquête judiciaire d’aujourd’hui.

  3. db dit :

    Bonjour,
    quelques questions.

    Va-t-on assister à une migration de certains forums sur des serveurs étrangers (hors Europe) tout en conservant le TLD .fr (la plupart ont un TLD .com toutefois) ?

    Tout cela ne préconise-t-il pas l’usage d’un identifiant/authentifiant openID, OAuth ou biométrique dont les crédits sont hébergés à l’étranger (Google par exemple) ou sur une carte à puce perso ?
    En effet, dans ce cas là, pas de mot de passe, encore moins de schéma de construction, pas de hashes, rien !

    Enfin, étant donné que la conservation du MDP (quand il existe en tant que tel) a pour objectif l’analyse comportementale (même mot de passe = même bonhomme ou, plutôt, même schéma de construction de mot de passe == même bonhomme) voire la substitution (d’un officier à l’internaute) quid de l’application de la LOPSSI (substitution d’identité) dans ce dernier cas ?
    Les officiers en service en sont exemptés ?
    db

    • Bonsoir db,

      Le but de la présente réglementation n’est pas d’influencer les pratiques, mais d’encadrer la conservation des données facilitant l’identification des personnes contribuant à la création d’un contenu. Il se trouve qu’aujourd’hui cohabitent plusieurs modes d’authentification, et donc ils devaient être tous pris en compte.
      Par ailleurs, je vous rappellerais qu’aujourd’hui, en France, la législation et ce décret encadrent précisément les données conservées par les prestataires sur Internet. Dans tous les pays où il n’y a pas de telles règles, savez-vous quelles informations conservent les prestataires et pendant combien de temps ? A quelles fins ? Avec qui ils les partagent ?

      Enfin, lorsque l’on saisit une voiture qui a participé à un braquage dans le cadre d’une enquête judiciaire, ce n’est pas pour aller faire un tour avec. De la même façon, il n’y a pas de raison que des informations quelles qu’elles soient, obtenues dans une enquête judiciaire, soient utilisées de façon illégale par ceux qui sont chargés de faire respecter la loi.

      Bonne soirée.

  4. db dit :

    Merci "mon colonel" pour ces précisions et cette vue de l’intérieur. C’est important.

    La Hadopi a changé les comportements, c’est prouvé.
    L’Arjel a certainement modifié les comportements des joueurs (qui sont des passionnés et on ne détruit pas une passion comme cela) : Tor et autres proxies sont certainement ressortis des placards.
    Quant à LOPSSI, …

    Oui, je ne sais pas ce que Google fait de mes crédits. Il les refile probablement à la NSA, c’est vrai.
    Mais, au pire, le fournisseur OpenID ou OAuth peut être moi-même et moi je sais ce que je fais de mes crédits.

    Votre discours, rassurant, ne suffit pas à dissiper mes inquiétudes sur les possibles.
    Je ne parle pas des enquêteurs : ils ont une éthique et je crois sincèrement qu’elle n’est pas encore trop galvaudée. Je parle des autres services comme ceux de l’anti-terrorisme (au hasard) qui ne prendront jamais de précaution, eux !

    En effet, M. Bernard Barbier "DT" de la DGSE, a tout de même déclaré, je cite :
    Ils mènent une double vie, mais ont les mêmes mots de passe. Et nous stockons bien évidemment tous les mots de passe, nous avons des dictionnaires de millions de mots de passe.
    Même si ce M. Barbier ne sait pas exactement de quoi il cause (il parle de Rainbow Tables et non de mots de passe réels) cela ne fait que surajouter à mes craintes que le pistage devient progressivement la règle et non l’exception que seule une enquête judiciaire devrait motiver.

    Je ne peux m’empêcher de penser à Minority Report.
    La multiplicité des fichiers policiers en tout genre dont la gestion chaotique a été démontrée par la CNIL n’arrange rien.

    Je n’ai rien à me reprocher à ma connaissance.
    Enfin, si, j’ai écrasé quelques fourmis l’été dernier et vu des fourmis cela correspond à la nouvelle définition du terrorisme.
    Mais je refuse et j’ai peur qu’on utilise "mes traces" (ou celles de mes proches), un jour, parce que celles-ci arrangeront bien certaines personnes en se trouvant être accusatoires à mon encontre dans un dossier quelconque : pression, discrédit, etc.

    Ce n’est que l’humble avis d’un citoyen standard qui craint pour l’avenir citoyen de ses enfants.

    Cordialement,

    db

    • Bonjour,

      Sur le point du changement des comportements, une fois de plus, ça n’a pas d’importance. Il y a tellement de paramètres qui font évoluer les pratiques sur Internet, que ce que nous tentons de faire au quotidien c’est de nous y adapter et de trouver des réponses à la lutte contre les comportements et les pratiques illégaux sur Internet.

      Enfin, je tiens à rappeler qu’une enquête judiciaire interagit avec la sphère privée. Donc, oui, à chaque fois qu’on parle des pouvoirs dévolus à l’enquête judiciaire, cela touche à la vie privée. Et donc forcément, à chaque fois, il y a débat.

      Cordialement,

      E.F.

  5. Zig dit :

    Article intéressant, puisqu’il donne une "traduction" du langage de juriste au technicien que je suis. Je viens tout juste de m’intéresser de près au sujet. Mon entreprise héberge des sites web, dont certains disposent de forum. aussi, je me sens concerné par la conservation des informations.

    Déception en revanche sur un point:
    - "Les exemples et les précisions que je donne ici ne représentent que mon point de vue personnel sur ce texte, ils ne sauraient évidemment engager une juridiction sur son interprétation éventuelle."
    Vu votre fonction, je m’attendais à un peu plus que du "je pense que" ou "d’après moi…". Le jour ou une autorité me demandera de fournir les données que je suis tenu de conserver, je n’aurais pas droit à autant de laxisme, sinon Procès / Amende / Prison… Mais je comprends votre embarras, la loi étant une fois de plus, plutôt floue

    Il me semble donc bien que les hébergeurs de forum, ou autre réseau sociaux, sont tenues de conserver les données. Mais quand est-il de leur verracité, notament en ce qui concerne les noms prénoms, adresses postales et numéros de téléphones. Lorsque les services sont gratuits, ces données, même lorsqu’elle sont obligatoires, sont souvent bidons, justement parce que les internautes n’ont qu’une confiance limitée sur ce qui peut en être fait.

  6. Zig dit :

    Un autre point qui me chagrine…
    Nous sommes tenu de conserver les identifiants de contenu. Pas les contenus eux même.

    Or, si un internaute supprime un contenu qu’il a créé, je pourrai fournir l’ID de ce contenu, mais mon système ne me permettra pas de savoir à quoi il correspond.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

Suivre

Recevez les nouvelles publications par mail.

Rejoignez 127 autres abonnés

%d bloggers like this: