Net Report sur la loi du 23 janvier 2006
relative à la lutte contre le terrorisme
Historique du décret sur la conservation des données de connexion
11 Septembre 2001
A la suite des attentats du 11 septembre 2001, le gouvernement français décidait d'introduire au sein du loi sur la sécurité quotidienne - et postérieurement à la réunion de la Commission mixte paritaire - toute une série d'amendements relatifs au renforcement des procédures judiciaires.
Article L. 34-1 du Code des postes et communications électroniques
Un de ces amendements, aujourd'hui devenu l'article L. 34-1 du Code des postes et communications électroniques prévoit un principe tempéré par de nombreuses exceptions. Le principe est celui de l'effacement ou de l'anonymisation des données relatives à une communication électronique. Par exception, il peut être différé à cet effacement dans plusieurs situations : conservation des données de facturation, besoin de la recherche et de la poursuite des infractions et ceci dans une limite maximum d'une année.
Quelques temps plus tard, la loi sur la sécurité intérieure étend le champ des exceptions afin d'y faire figurer également une possibilité de conservation à des fins de protection des propres systèmes d'information de l'opérateur de communication électronique.
La loi du 23 janvier relative à la lutte contre le terrorisme
Introduction
Le décret d'application de la loi du 23 janvier 2006 est paru le 26 mars au Journal officiel. Il fixe à un an la durée pendant laquelle les FAI (Fournisseur d’Accès Internet) et autres opérateurs téléphoniques devront conserver les données de communication.
La loi du 23 janvier relative à la lutte contre le terrorisme apporte des éclaircissements en indiquant explicitement que ces principes et exceptions visent également "les personnes qui, au titre d'une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l'intermédiaire d'un accès au réseau, y compris à titre gratuit" (voir la citation ci-dessous).
CODE DES POSTES ET DES COMMUNICATIONS ELECTRONIQUES
(Partie Législative)
Article L34-1
Les personnes qui, au titre d'une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l'intermédiaire d'un accès au réseau, y compris à titre gratuit, sont soumises au respect des dispositions applicables aux opérateurs de communications électroniques en vertu du présent article.
Les personnes soumises au nouveau régime
Le texte nouveau inséré à l’article L. 34-1 I du CPCE soumet aux dispositions de la loi n° 2006-64 « les personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit ». La disposition vise tout particulièrement les « Cybercafés » en plus des prestataires traditionnels d’accès au réseau. Ainsi, une société commerciale qui propose à ses clients un accès au réseau Internet à titre accessoire, par exemple dans le cadre d’une activité de transport ou de restauration est soumise à l’obligation de conservation. Les prestataires de services à titre gratuit sont également visés par le texte. Il semblerait que ce critère de l’activité professionnelle conduise à soumettre aux dispositions de la loi « les mairies, bibliothèques et universités si leurs activités les conduisaient à titre accessoire à fournir une prestation identique à celle d’un cybercafé ». En revanche, une association peut-elle être considérée comme conduisant une activité professionnelle ? Faisant écho à la CNIL, il convient de se demander si ce critère n’est pas inadéquat au regard des « incertitudes qui s’attachent (…) à une telle définition » (CNIL, délibération n° 2005-208 du 10 octobre 2005). Toutefois, la loi n’est pas très claire à ce niveau, selon la CNIL il semble assuré que seules sont visées les personnes physiques ou morales dont l’activité professionnelle est d’offrir au public à titre accessoire ou principal une connexion au réseau Internet. Ce qui semble exclure les entreprises ou administrations, mais ceci reste encore flou.
Au niveau communautaire avait été souligné la charge financière que l’obligation de conservation des données relatives au trafic faisait peser sur les acteurs d’un marché sur lequel la concurrence est âpre. La loi française a donc anticipé le texte de la prochaine directive qui prévoit « une disposition qui oblige les États membres à dédommager les fournisseurs de communications électroniques des surcoûts supportés en raison de l’obligation de conservation ». Ainsi, la loi française prévoit-elle que « les surcoûts identifiables et spécifiques éventuellement exposés par les opérateurs et personnes mentionnés au premier alinéa pour répondre à ces demandes font l'objet d'une compensation financière». Ce dédommagement est d’autant plus nécessaire à la mise en œuvre d’un système proportionné de conservation des données, que les prestataires techniques ne conservent plus systématiquement les données de trafic à des fins de facturation. En effet, le développement des offres forfaitaires de communication et d’offres « illimitées » ne rend plus nécessaire la conservation systématique des informations relatives au trafic.
Outre ce cadre législatif, aujourd’hui inscrit à l’article L. 34.1 et suivants du Code des postes et communications électroniques, il était nécessaire d'avoir l'adoption d'un décret d'application fixant deux éléments :
- Les données à conserver.
- La durée de conservation
Le décret numéro 2006-358 du 24 mars 2006
C'est chose faite par le décret numéro 2006-358 du 24 mars 2006 relatif à la conservation des données des communications électroniques. Modifiant la partie réglementaire du Code des postes et communications électroniques, le décret apporte plusieurs précisions.
Tout d'abord, il précise que les "données relatives au trafic" s'entendent comme les "informations rendues disponibles par les procédés de communication électronique, susceptibles d'être enregistrées par l'opérateur à l'occasion des communications électroniques dont il assure la transmission et qui sont pertinentes au regard des finalités poursuivies par la loi". Le critère de pertinence au regard des finalités semble flou mais cela est immédiatement tempéré par la suite du texte.
En effet, le texte fixe ensuite la liste des données devant être conservées pour les besoins de la recherche, de la constatation et de la poursuite des infractions. Il s'agit de:
a) Les informations permettant d'identifier l'utilisateur. En pratique, il s'agit de tous les éléments collectés lors de l'inscription (nom, prénom, numéro de téléphone, adresse, numéro de carte bancaire, etc.)
b) Les données relatives aux équipements terminaux de communication utilisés. Cette disposition devrait s'adresser plutôt aux opérateurs de téléphonie. Néanmoins, et en l'absence de précision, cela viserait l'ensemble des prestataires, fournisseurs d'accès y compris. Est-ce à dire qu'il devra y avoir une conservation des informations relatives à la machine utilisée (ou au type de machine utilisée) ?
c) Les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication. Il s'agit ici, pour les FAIs, de la conservation de l'adresse IP et de la date et de l'heure de connexion et déconnexion.
d) Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs.
e) Les données permettant d'identifier le ou les destinataire(s) de la communication. Il s'agit ici, par exemple de la conservation de l'adresse électronique du destinataire d'un message envoyé. A noter que ces données ne peuvent en aucun cas porter sur le contenu de la communication. A ce titre, et ce que ne précise pas le décret, c'est de savoir si devront être conservées les URL des sites visités.
Le décret fixe également, et sans surprise, la durée de conservation à un an à compter du jour de l'enregistrement de ces informations.
Le texte prévoit enfin que les surcoûts identifiables et spécifiques supportés par les opérateurs requis par les autorités judiciaires pour la fourniture des données relevant des catégories mentionnées au présent article sont compensés selon les modalités prévues à l'article R. 213-1 du Code de procédure pénale.
Ce dernier texte, créé par le présent décret, prévoit que les tarifs relatifs aux frais mentionnés au 23° de l'article R. 92 correspondant à la fourniture des données conservées en application du II de l'article L. 34-1 du code des postes et des communications électroniques sont fixés par un arrêté du ministre de l'économie, des finances et de l'industrie et du garde des sceaux. Cet arrêté distingue les tarifs applicables selon les catégories de données et les prestations requises, en tenant compte, le cas échéant, des surcoûts identifiables et spécifiques supportés par les opérateurs requis par les autorités judiciaires pour la fourniture de ces données.
Si la loi a fixé le principe (au travers d'une exception) de la conservation des données de connexion, le décret vient quant à lui préciser la durée et les catégories de données devant faire l'objet de ladite conservation.
Il faudra sans doute attendre l'arrêté pour connaître avec précisions les données devant être conservées. En effet, si les définitions permettent d'ores et déjà d'identifier certaines données, ces grandes catégories soulèvent quelques interrogations.
Enfin, et concernant la conservation des données de trafic par les hébergeurs - en application de l'article 6 de la loi pour la confiance dans l'économie numérique - il faudra sans doute attendre un nouveau décret.
Net Report vous aide à respecter les réglementations
Laissez Net Report vous aider à respecter les réglementations et automatisez votre approche réseau face à ses directives :
Vos logs : les réglementations de conformité sont claires au sujet du besoin de stockage et d'analyse des logs. Si les entreprises ont correctement stocké les évènements résultant de l'activité réseau, elles peuvent facilement découvrir les origines de dysfonctionnement ou d'attaques. Ceci peut également faciliter d'éventuelles poursuites en justice contre les personnes malveillantes.
Vos rapports partagés : la sécurité est un soucis partagé. En analysant constamment les évènements et en conservant les logs des évènements, tous vos départements, y compris le département de Sécurité, peuvent générer des rapports sur l'activité et la sécurité de réseau afin de partager l'information avec la direction.
Notre Solution
Modifier la sécurité de votre entreprise pour être en conformité avec les réglementations peut exiger de nombreux changements, souvent de natures diverses. Par exemple, contrôler les quantités de logs de votre base de données. Nous vous aidons à stocker, agréger et purger vos données, diminuer le volume de votre base de données, analyser et rapporter les informations clefs en temps réel. Tout cela en tenant compte des particularités inhérentes à chaque département de votre entreprise, selon les exigences de la politique de sécurité retenue par la société.
Nos Workshops et Formations
Fournir des connaissances et des compétences pour comprendre les contrôles internes exigés par les réglementations clefs aux Etats-Unis et en France, à savoir : la loi Sarbanes-Oxley (SOX) de 2002 et la loi de la Sécurité Financière (LSF). Pour un complément d'information cliquez ici...
Net Report vous propose des "workshops" interactifs qui couvrent les exigences relatives à ces deux lois (Public Company Accounting Oversight Board - PCAOB et l'Autorité des Marchés Financiers -AMF), ainsi que les cadres référentiels : Committee of Sponsoring Organisations (COSO), Control Objectives for Information and Related Technology (CoBiT), ISO/IEC 27002 (17799) et la relation entre eux.
Contactez notre Consultante, Nerys Grivolas pour un complément d'information :
nerys@netreport.fr
|
PCI DSS