Actualité : article de veille

La CNIL dresse la liste des obligations en matière de rétention des données de connexion dans le cadre de la surveillance des réseaux

Le 21/02/2008 par La Rédaction de Net-iris, dans Technologies / Sécurité & Protection.

Vos réactions...

   

La lutte contre la cyberdélinquance en tout genre passe par la surveillance des réseaux, mais aussi par l'accès à certaines données permettant d'identifier les délinquants. Aussi, le législateur a depuis plusieurs années renforcé les mesures de surveillance des réseaux, en prescrivant notamment l'obligation de conserver les données relatives aux utilisateurs. Il a aussi défini les conditions de leur transmission à différents services de l'Etat, afin d'éviter les abus et respecter les droits individuels des internautes.
La CNIL a été de nombreuses fois interrogée, tant par les entreprises que par les administrations, sur la portée exacte de leurs obligations et les mesures qu'elles devaient prendre pour s'y conformer. Le 19 février dernier, la CNIL a décidé de mettre en ligne un bref rappel des obligations existantes en matière de rétention des données de connexion, dont voici la teneur.

Obligation générale de conservation des données relatives aux utilisateurs des services de communications électroniques :
Il existe tout d'abord une obligation de conserver les données de trafic prévue par l'article L34-1 du Code des postes et des communications électroniques. Ce texte impose aux opérateurs de communications électroniques de conserver les données relatives au trafic (données techniques liées à la communication) pendant 1 an.
Les opérateurs ne doivent conserver que les seules données techniques :
- ils n'ont aucune obligation de constitution de fichiers nominatifs des utilisateurs : les organismes fournissant une connexion Wi-Fi peuvent choisir d'offrir cette prestation sans procéder à l'identification des personnes. Ils ne sont alors tenus que de détenir les données techniques créées par l'utilisation de leurs services ;
- ils ne peuvent conserver les informations relatives au contenu des communications : le texte d'un SMS, l'objet d'un e-mail, etc.
C'est l'article R10-13 du CPCE qui précise les catégories des données à conserver. Il s'agit :
- des informations permettant d'identification de l'utilisateur (adresse IP, numéro de téléphone, adresse de courrier électronique, etc.)
- des données relatives aux équipements terminaux de communication utilisés
- des caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication
- des données relatives aux services complémentaires demandés ou utilisés et à leurs fournisseurs
- des données permettant d'identifier le ou les destinataires de la communication.
Pour connaître en détail ces données, la CNIL recommande de se référer à l'article 5 de la directive (n°2006/24/CE) du 15 mars 2006.
Enfin, la loi relative à la lutte contre le terrorisme du 23 janvier 2006 a étendu la définition "d'opérateurs de communications électroniques", sans toutefois préciser la nature des organismes soumis à cette obligation, rappelle la CNIL. Toutefois, elle ajoute que "selon les informations communiqués par le ministère de l'intérieur, les entreprises et les administrations qui assurent un accès au réseau internet à leurs salariés et agents ne seraient pas concernées par cette obligation de conservation".

Obligation de conservation des données permettant l'identification des personnes ayant contribué à la création de critères en ligne :
L'article 6 de la LCEN (voir dossier) impose aux fournisseurs d'hébergement et aux FAI de conserver les données de nature à permettre l'identification des personnes ayant contribué à la création de contenus mis en ligne (blogs, pages personnelles, annonces sur un site de vente aux enchères, etc.) et ce, aux fins de communication éventuelle aux autorités judiciaires ainsi qu'aux services en charge de la lutte contre le terrorisme.
Il est précisé que le décret définissant les catégories de données concernées ainsi que leur durée de conservation sera prochainement publié au journal officiel.

© 2008 Net-iris

   

Commentaires et réactions :