Accueil🇫🇷Chercher

Donnée de connexion

Les données de connexion (ou données techniques de connexion) sont les métadonnées associées à une connexion. Ce sont des données personnelles, accessibles légalement à certaines administrations chargées du Renseignement, à certaines conditions et dans certaines circonstances.

En France, une partie du personnel des services du renseignement a accès à un dispositif dit « interceptions obligatoires légales » (ou IOL) de surveillance automatisé (« d'écoute ») du réseau Internet en France. Cet IOL est d'abord resté secret (et a-légal ou illégal). Encore peu connu du public, il est basé sur l'utilisation de « sondes », initialement installées sur le réseau ADSL, permettant de collecter « en temps réel » des métadonnées (activité initialement non-autorisée)[1] - [2]. Ces métadonnées, pour ceux qui y ont accès, permettent de localiser des terminaux (téléphones, ordinateurs…) et renseignent sur les accès de ces terminaux aux réseaux ou aux services de communication en ligne ; sur l'acheminement des communications électroniques (téléphone, internet)[3] ; sur l'identification et l'authentification d'un utilisateur, d'une connexion, d'un réseau ou service de communication. Elles renseignent aussi sur le terminal et sur les données de configuration de ses logiciels[3].

En Allemagne

Dans les années 2000, avec le fort développement de l'internet, l'accès et la conservation dans le temps des données de connexion (étant considérées comme données personnelles), les dispositions relatives à leur conservation ont été jugées inconstitutionnelles[4].

En France

En 2005, deux juristes, Anne-Catherine Lorrain et Garance Mathias, s'intéressant au droit de l'immatériel dressent un état des lieux des données de connexion dans la Revue Lamy Droit de l'immatériel.

Au moins à partir de 2009, ces métadonnées, à certaines conditions et uniquement pour certaines finalités, peuvent en France être collectée par les services de renseignements (en temps réel ou de manière différée) dans le cadre du système des interceptions obligatoires légales[5]. La loi de programmation militaire (LPM) du 18 décembre 2013[6] a autorisé un accès administratif aux données de connexion, à des conditions qui seront précisées par la loi renseignement du 24 juillet 2015 (qui limite ce droit aux seuls services de renseignement), mais les articles L. 246-1 à L. 246-5 du Code de la sécurité intérieure (CSI) sont restés en vigueur entre le moment du vote de la loi et celui de la publication des décrets d'application de la loi renseignement[7].

L'accès à ces données par les services de renseignement est limité aux situations menaçant « la défense et la promotion des intérêts fondamentaux de la nation, et plus précisément quand il y a menace pour :

  1. L'indépendance nationale, l'intégrité du territoire et la Défense nationale ;
  2. Les intérêts majeurs de la politique étrangère de la France, l'exécution des engagements européens et internationaux de la France et la prévention de toute forme d'ingérence étrangère ;
  3. Les intérêts économiques, industriels et scientifiques majeurs de la France ;
  4. La prévention du terrorisme ;
  5. La prévention « a) Des atteintes à la forme républicaine des institutions ; « b) Des actions tendant au maintien ou à la reconstitution de groupements dissous en application de l'article L. 212-1 ; « c) Des violences collectives de nature à porter gravement atteinte à la paix publique ;
  6. La prévention de la criminalité et la prévention de la délinquance organisées ;
  7. La prévention de la prolifération des armes de destruction massive » ;

La définition des « données de connexion » varie selon la qualité de l'intermédiaire (défini par le Code des postes et des télécommunications). Pour les données susceptible d'être collectées en temps différé[5] ;

  • Pour les « opĂ©rateurs de communications Ă©lectroniques » (dĂ©finis en France comme « les personnes dont l'activitĂ© est d'offrir un accès Ă  des services de communication au public en ligne »)[8], il s'agit :
    • d'informations permettant d'identifier l'utilisateur (dont pour les besoins de facturation et de paiement)
    • de donnĂ©es sur les terminaux de communication utilisĂ©s
    • des caractĂ©ristiques techniques (et date, horaire et durĂ©e) de la communication
    • des donnĂ©es sur les services complĂ©mentaires demandĂ©s ou utilisĂ©s (et sur leurs fournisseurs)
    • des donnĂ©es permettant d'identifier le (ou les) destinataire(s) de la communication
  • Pour les opĂ©rateurs du secteur de la tĂ©lĂ©phonie, il s'agit :
    • des donnĂ©es permettant d'identifier l'origine et la localisation de la communication
    • des donnĂ©es permettant d'Ă©tablir la facturation
  • Concernant les « opĂ©rateurs » en gĂ©nĂ©ral, il s'agit :
    • des donnĂ©es permettant d'identifier l'origine de la communication
    • des caractĂ©ristiques techniques (et date, horaire et durĂ©e) de la communication
    • des donnĂ©es Ă  caractère technique permettant d'identifier le ou les destinataires de la communication
    • des donnĂ©es relatives aux services complĂ©mentaires demandĂ©s ou utilisĂ©s et leurs fournisseurs
  • Pour les fournisseurs d'accès Internet (FAI), il s'agit[5] :
    • de l'identifiant de la connexion
    • de l'identifiant attribuĂ© par ces personnes Ă  l'abonnĂ©
    • de l'identifiant du terminal utilisĂ© pour la connexion lorsqu'elles y ont accès
    • des dates et heure de dĂ©but et de fin de la connexion
    • des caractĂ©ristiques de la ligne de l'abonnĂ©
  • pour les hĂ©bergeurs, il s'agit[5] :
    • de l'identifiant de la connexion Ă  l'origine de la communication ;
    • de l'identifiant attribuĂ© par le système d'information au contenu, objet de l'opĂ©ration ;
    • des types de protocoles de connexion au service (et pour le transfert des contenus) ;
    • de la nature de l'opĂ©ration ;
    • des date et heure de l'opĂ©ration ;
    • de l'identifiant utilisĂ© par l'auteur de l'opĂ©ration (quand celui-ci l'a fourni).

Pour les fournisseurs d'accès Internet (FAI) et hébergeurs[5] :

  • Lors de la crĂ©ation du compte, les « donnĂ©es de connexion » sont :
    • l'identifiant de cette connexion ;
    • les nom et prĂ©nom ou la raison sociale ;
    • les adresses postales associĂ©es ;
    • les pseudonymes utilisĂ©s ;
    • les adresses de courrier Ă©lectronique ou de compte associĂ©es ;
    • les numĂ©ros de tĂ©lĂ©phone ;
    • les donnĂ©es permettant de vĂ©rifier le mot de passe ou de le modifier, dans leur dernière version mise Ă  jour ;
  • Si et quand la souscription du contrat ou du compte est payante, les « donnĂ©es de connexion » incluent (pour chaque opĂ©ration de paiement)[5] :
    • le type de paiement utilisĂ© ;
    • la rĂ©fĂ©rence du paiement ;
    • le montant ;
    • la date et l'heure de la transaction.
  • Les donnĂ©es de connexion recueillies en temps rĂ©el sont celle de personnes source de menace terroriste, ou des donnĂ©es aspirĂ©es par des « boites noires » (systèmes qui calculent via un algorithme la prĂ©sence d'une menace terroriste Ă  partir d'un stock « d'informations ou documents » (notion pouvant Ă©voquer big data mais dĂ©finie par l'article L 34-1-VI selon lequel les donnĂ©es accessibles « portent exclusivement sur l'identification des personnes utilisatrices des services fournis par les opĂ©rateurs, sur les caractĂ©ristiques techniques des communications assurĂ©es par ces derniers et sur la localisation des Ă©quipements terminaux ». Elles ne doivent donc pas porter sur le contenu des correspondances Ă©changĂ©es). Ces informations ou documents sont donc des donnĂ©es[5] - [3] :
    • permettant de localiser les Ă©quipements terminaux ;
    • relatives Ă  l'accès des Ă©quipements terminaux aux rĂ©seaux ou aux services de communication au public en ligne ;
    • relatives Ă  l'acheminement des communications Ă©lectroniques par les rĂ©seaux ;
    • relatives Ă  l'identification et Ă  l'authentification d'un utilisateur, d'une connexion, d'un rĂ©seau ou d'un service de communication au public en ligne ;
    • relatives aux caractĂ©ristiques des Ă©quipements terminaux et aux donnĂ©es de configuration de leurs logiciels.
Après de nombreux débats, dont au niveau du Conseil constitutionnel qui ont d'abord, à plusieurs reprises, fait estimer inconstitutionnel le droit pour l'Autorité des marchés financiers (AMF) d'accéder aux données de connexion[9] depuis 2018, les données de connexion sont finalement, à certaines conditions, accessibles aux enquêteurs de l'AMF[10] - [11].

En France, parmi les cadres juridiques concernant les données personnelles, figurent notamment le règlement général sur la protection des données (RGPD) et la loi Informatique et Libertés.

Depuis le 20 octobre 2021, selon la loi (cf. article R. 851-5-I du Code de la sécurité intérieure modifié par Décret n°2021-1362 du 20 octobre 2021 - art. 11)[3], ces « données de connexion » n'incluent pas le « contenu des correspondances échangées ou des informations consultées » (en vertu d'une décision du Conseil constitutionnel sollicité à définir ce champ, lors d'une question prioritaire de constitutionnalité posée par la Quadrature du Net, FDN et FFDN.

À la suite d'arrêts de la chambre criminelle de la Cour de cassation du 12 juillet 2022, la Cour a précisé dans quelles conditions les données de connexion pouvaient être utilisées dans des procès[12]. Ces explications étaient en effet devenues nécessaires à la suite de l'arrêt du 6 octobre 2020 (La Quadrature du Net) de la Cour de justice de l’Union européenne qui dit que « le droit de l’Union européenne1 s'oppose à une conservation généralisée et indifférenciée, à titre préventif, des données de trafic et de localisation aux fins de lutte contre la criminalité, quel que soit son degré de gravité ».

Notes et références
  1. La rédaction de Mediapart, « Dossier: les Français sous surveillance », sur Mediapart, (consulté le )
  2. Jérôme Hourdeaux, « La surveillance du Net a été généralisée dès 2009 », sur Mediapart (consulté le )
  3. « Code de la sécurité intérieure » (consulté le )
  4. Deshayes B & Reinhold D (2010) L’inconstitutionnalité des dispositions allemandes relatives à la conservation des données de connexion (données à caractère personnel)
  5. Marc Rees, « Les données de connexions accessibles aux services du renseignement », sur nextinpact.com, (consulté le )
  6. « LOI n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale (1) », sur legifrance.gouv.fr (consulté le ).
  7. Cf. art. 26 de la loi du 24 juillet 2015.
  8. Cf. article L 34-1-II du code des postes et communications électroniques (CPCE), où la définition a pour origine la loi pour la confiance dans l'économie numérique du 21 juin 2004 (art. 6).
  9. Nathalie Martial-Braz, « Inconstitutionnalité du droit de communication des données de connexion reconnu à l'AMF », Revue des Sociétés, no 10,‎ , p. 582 (lire en ligne, consulté le ).
  10. Loi no 2018-898 du 23 octobre 2018 relative à la lutte contre la fraude, JO du 24 octobre 2018, texte 1 sur 131 ; Décret no 2018-1188 du 19 décembre 2019 relatif à la procédure de communication des données de connexion aux enquêteurs de l'Autorité des marchés financiers, JO du 21 décembre 2018, texte 49
  11. Jean-Marie Brigant, « Le législateur rétablit la connexion : le (nouveau) droit de communication des enquêteurs de l'AMF », Revue de Science Criminelle et de Droit Pénal Comparé, no 02,‎ , p. 391 (lire en ligne, consulté le ).
  12. « Note explicative relative aux arrêts de la chambre criminelle du 12 juillet 2022 (pourvois n° 21-83.710, 21-83.820, 21-84.096 et 20-86.652) Conservation des données de connexion et accès », sur Cour de cassation

Voir aussi

Bibliographie
  • Nicolas Ochoa, Le droit des donnĂ©es personnelles, une police administrative spĂ©ciale, thèse, 2014, Paris 1, disponible en suivant le lien https://tel.archives-ouvertes.fr/tel-01340600
  • Collectif, Informatique et LibertĂ©s. La protection des donnĂ©es Ă  caractère personnel en droit français et europĂ©en, LGDJ, IntĂ©grales, 16 juillet 2015, (ISBN 978-2359710939).
  • Collectif, Règlement europĂ©en sur la protection des donnĂ©es: Textes, commentaires et orientations pratiques, Bruylant Édition, 10 janvier 2018, (ISBN 978-2802759676).
  • Ludovic Coudray, La protection des donnĂ©es personnelles dans l'Union europĂ©enne: Naissance et consĂ©cration d'un droit fondamental, Éditions Universitaires EuropĂ©ennes, 4 mai 2010, (ISBN 978-6131502699).
  • Guillaume Desgens-Pasanau, La Protection des donnĂ©es Ă  caractère personnel, publiĂ© chez Litec LexisNexis, collection CarrĂ© Droit, septembre 2012, (ISBN 2711016838)
  • Anne-Catherine Lorrain et Garance Mathias, « DonnĂ©es de connexion : la publication du premier dĂ©cret ou la première pierre d’un Ă©difice encore inachevĂ© », Revue Lamy Droit de l'immatĂ©riel, no 17,‎ , p. 35-38 (ISSN 1772-6646).

Documentaire

Articles connexes

Généralités

Aspects techniques

Aspects légaux

Critiques

Liens externes
Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.