Les adresses IP et les logs

Internet responsable – Le mot du juriste
Les adresses IP et les logs
Pierre PEREZ
Délégation aux Usages de l'Internet (DUI)
Jean DUCHAINE
École supérieure de l'éducation nationale,
de l'enseignement supérieur et de la recherche (ESENESR)
2009 – actualisation : 2013
L’adresse IP est une information indispensable à toute communication sur Internet
Pour que l’ordinateur de l’internaute puisse se connecter au serveur informatique où sont stockées les données
consultées, il faut que celui-ci soit identifié par un identifiant unique, appelé numéro IP, sous forme de quatre nombres
séparés par des points (ex. : 209.125.255.96). Ce numéro IP attribué par le fournisseur d’accès est l’adresse réseau
de la machine d’un utilisateur connecté à Internet. Elle est permanente ou attribuée par le fournisseur d’accès à la
volée pour la durée de la connexion (on parle dans ce cas d’adresse IP dynamique). L’adresse IP, la date et l’heure
de connexion constituent ce que l’on appelle usuellement les logs et juridiquement les données de connexion ou de
trafic.
Comme ces données peuvent permettre d’identifier une personne, elles constituent des données à caractère
personnel et sont donc directement concernées par la législation sur l'informatique et les libertés.
Les logs sont des informations automatiquement enregistrées dans les serveurs des
fournisseurs techniques de l’Internet
Le fournisseur d’hébergement conserve le journal des connexions de ses clients, qui est un relevé précis des
connexions réalisées par les abonnés au travers de ses serveurs, et des actions effectuées sur les fichiers stockés, et
qui contient également la date, l’heure de la connexion et l’adresse IP. Ces données permettent ensuite de remonter
jusqu’au fournisseur d’accès de l’utilisateur, l’identification du fournisseur d’accès étant fournie par l’adresse IP. Le
fournisseur d’accès dispose lui-même des données de connexion lui permettant l’identification de l’utilisateur du
compte.
Il en est de même dans un établissement scolaire ou dans une entité de type rectorat ou direction des services
départementaux de l'éducation nationale.
Cette identification n’est possible que si les prestataires techniques enregistrent les données de connexion en fonction
des utilisateurs et s’ils les conservent suffisamment longtemps.
Leur conservation et leur éventuelle communication aux autorités judiciaires sont de nature à faciliter la poursuite des
auteurs d’infractions en ligne.
Des obligations de conservation des données mises à la charge des prestataires techniques
Les prestataires techniques d’accès et d’hébergement sont tenus, de manière générale, au respect du secret
professionnel pour tout ce qui concerne la divulgation des éléments d’identification de leurs clients. Les
administrateurs réseau au sein du système éducatif sont soumis à une même obligation.
Les opérateurs de télécommunications, et notamment les fournisseurs d’accès, sont tenus d’effacer ou de rendre
anonyme toute donnée relative à une communication dès que celle-ci est achevée.
Ce principe est toutefois assorti d’une exception : les données de nature à permettre l’identification de toute personne
ayant contribué à la création d’un contenu des services doivent être conservées pendant une durée d’un an, pour
pouvoir, le cas échéant, être transmises à l’autorité judiciaire pour les besoins de la recherche, de la constatation et de
la poursuite des infractions pénales. Ces données ne doivent pas porter sur le contenu des correspondances
échangées ou des informations consultées. C’est ainsi que pourra avoir accès à ces données toute personne justifiant
d’un intérêt légitime sur autorisation du juge, les autorités judiciaires (juge, parquet, officier de police judiciaire). Ainsi,
un responsable de structure publique ne pourra pas, en dehors de ce cas précis, avoir accès aux données de
connexion de ses personnels.
La collecte et le traitement des données sont soumis au respect de la loi Informatique et Libertés : déclaration des
fichiers à la CNIL, obligation de protéger les informations, respect de la finalité, interdiction de divulgation à un tiers qui
n’a pas la qualité pour les recevoir, sous peine de sanctions pénales.
Page 1 sur 1