Obligations des entreprises pour la journalisation des connexions

Définir formellement les obligations légales des entreprises en matière de journalisation est une tâche difficile pour quelqu'un qui n'est pas juriste. Il nous a semblé cependant intéressant d'aborder ce sujet, et d'établir un panorama de ces obligations. Sans apporter de réponse définitive, nous espérons ainsi mieux cerner les aspects que les entreprises doivent prendre en compte sur ce sujet.

Panorama des obligations légales sur la journalisation

De façon générale, la loi française dans le domaine des traces informatiques (et de la journalisation) a privilégié tout d'abord la protection de l'individu, en encadrant fortement la création de données relatives aux personnes (cf. les lois CNIL).

Cependant un certains nombre de lois a aménagé ce principe général en créant des obligations de conservations de traces pour certaines communications électroniques.

Ces obligations sont définies au travers de 3 lois :

• La loi sur la sécurité quotidienne "LSQ" (loi n°2001-1062 du 15 novembre 2001)
• La loi pour la confiance dans l’économie numérique "LCEN" (loi n°2004-575 du 21 juin 2004)
• La loi dite "anti-terrorisme" (loi n°2006-64 du 23 janvier 2006).

Nota : Initialement la loi du 1er août 2000 (art. 43-9) définissait également des obligations dans ce domaine, mais ce point a été abrogé par la suite par la "LCEN".

Deux décrets viennent préciser comment ces obligations doivent être appliquées :

• Le décret n° 2006-358 du 24 mars 2006 qui découle de l’article 34-1 du Code des Postes et Communications Electroniques (CPCE). Ce décret décrit les obligations des opérateurs de communications électroniques, c'est-à-dire les FAI (Fournisseur d'Accès à Internet) et les opérateurs de téléphonie.
• Un décret qui n'est pas encore paru à ce jour (il existe cependant à l'état de projet) dont l'objectif est de préciser l'article 6-II de la "LCEN". Ce décret définira les obligations spécifiques aux FAI (obligation visant à identifier les connexions), mais aussi des obligations pour les hébergeurs de données (obligations visant à identifier les créateurs des contenus).

 
Le premier décret (n° 2006-358) impose aux FAI et opérateurs de téléphonie de conserver des données permettant d'identifier les communications passées (typiquement : l'identification de l'utilisateur, du terminal utilisé, du type et de la durée des communications). La durée de conservation de ces données est de un an exactement. Ces données sont  à conserver pour les besoins de la recherche, de la constatation et de la poursuite des infractions.

Nota : Ce décret, pour lesquels l'AFA (Association des Fournisseurs d'Accès avait déposé un recours en annulation) a finalement été validé par le Conseil d'Etat dans son arrêt du 7/08/2007.

Le second décret n'est pas encore disponible. Très probablement, il étendra aux hébergeurs les obligations déjà définies pour les FAI. Il imposera donc l'obligation de conserver une trace permettant d'identifier les auteurs des contenus.

 

L'entreprise est considérée comme un FAI

Le 4 février 2005, un jugement de la Cour d'Appel de Paris a établi pour une affaire qu'elle jugeait en appel, l'entreprise incriminée (une banque française) avait les mêmes obligations que celles que le législateur avait assignées aux fournisseurs d'accès à Internet (cf. : http://www.e-juristes.org/Obligation-de-conservation-des ).

Bien qu'il s'agisse d'un cas isolé, ce jugement fait aujourd'hui jurisprudence. Et il est depuis couramment admis qu'une entreprise qui fournit un accès à Internet à ses employés, ou à ses visiteurs, a les mêmes obligations légales en terme de conservation de données de connexions qu'un FAI.

Nota : Selon certaines sources, cette position est cependant en contradiction avec la délibération CNIL n° 2005-208 du 10 octobre 2005 sur le même sujet (http://www.cnil.fr/index.php?id=1883).

 

Conséquences pour l'entreprise

Du fait de cette jurisprudence toute entreprise est donc aujourd'hui susceptible de recevoir une demande officielle (réquisition judiciaire) lui demandant par exemple d'identifier la personne qui a utilisé une adresse IP donnée à une date précise.

La prise en compte de cette obligation n'est pas triviale. Le sujet a été abordé récemment dans la liste de discussion de l'OSSIR (Observatoire de la Sécurité des SI et des Réseau). Il en ressort que :

• sur le plan technique l'obligation de conservation est difficile à implémenter (par exemple, quelles sont les sources d'information qu'il faut prendre en compte ?).
• sur le plan juridique un équilibre doit être trouvé pour concilier les obligations de respect de la vie privée avec celles de conservation de traces. Cet équilibre repose sur une analyse juridique et nécessite donc une collaboration étroite entre le RSSI et les services juridiques de l'entreprise.

 

Pour plus d'information

• Analyse du projet de décret pour l'article 6-II de la LCEN :
  • http://www.domaine.info/content/view/1342/150/ (cabinet Alain Bensoussan Avocats)
  • http://www.aclorrain.fr/docs/donnees-de-connexion_07.pdf (document du CERDI)