Les adresses IP et les logs
Transcription
Les adresses IP et les logs
Internet responsable – Le mot du juriste Les adresses IP et les logs Pierre PEREZ Délégation aux Usages de l'Internet (DUI) Jean DUCHAINE École supérieure de l'éducation nationale, de l'enseignement supérieur et de la recherche (ESENESR) 2009 – actualisation : 2013 L’adresse IP est une information indispensable à toute communication sur Internet Pour que l’ordinateur de l’internaute puisse se connecter au serveur informatique où sont stockées les données consultées, il faut que celui-ci soit identifié par un identifiant unique, appelé numéro IP, sous forme de quatre nombres séparés par des points (ex. : 209.125.255.96). Ce numéro IP attribué par le fournisseur d’accès est l’adresse réseau de la machine d’un utilisateur connecté à Internet. Elle est permanente ou attribuée par le fournisseur d’accès à la volée pour la durée de la connexion (on parle dans ce cas d’adresse IP dynamique). L’adresse IP, la date et l’heure de connexion constituent ce que l’on appelle usuellement les logs et juridiquement les données de connexion ou de trafic. Comme ces données peuvent permettre d’identifier une personne, elles constituent des données à caractère personnel et sont donc directement concernées par la législation sur l'informatique et les libertés. Les logs sont des informations automatiquement enregistrées dans les serveurs des fournisseurs techniques de l’Internet Le fournisseur d’hébergement conserve le journal des connexions de ses clients, qui est un relevé précis des connexions réalisées par les abonnés au travers de ses serveurs, et des actions effectuées sur les fichiers stockés, et qui contient également la date, l’heure de la connexion et l’adresse IP. Ces données permettent ensuite de remonter jusqu’au fournisseur d’accès de l’utilisateur, l’identification du fournisseur d’accès étant fournie par l’adresse IP. Le fournisseur d’accès dispose lui-même des données de connexion lui permettant l’identification de l’utilisateur du compte. Il en est de même dans un établissement scolaire ou dans une entité de type rectorat ou direction des services départementaux de l'éducation nationale. Cette identification n’est possible que si les prestataires techniques enregistrent les données de connexion en fonction des utilisateurs et s’ils les conservent suffisamment longtemps. Leur conservation et leur éventuelle communication aux autorités judiciaires sont de nature à faciliter la poursuite des auteurs d’infractions en ligne. Des obligations de conservation des données mises à la charge des prestataires techniques Les prestataires techniques d’accès et d’hébergement sont tenus, de manière générale, au respect du secret professionnel pour tout ce qui concerne la divulgation des éléments d’identification de leurs clients. Les administrateurs réseau au sein du système éducatif sont soumis à une même obligation. Les opérateurs de télécommunications, et notamment les fournisseurs d’accès, sont tenus d’effacer ou de rendre anonyme toute donnée relative à une communication dès que celle-ci est achevée. Ce principe est toutefois assorti d’une exception : les données de nature à permettre l’identification de toute personne ayant contribué à la création d’un contenu des services doivent être conservées pendant une durée d’un an, pour pouvoir, le cas échéant, être transmises à l’autorité judiciaire pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales. Ces données ne doivent pas porter sur le contenu des correspondances échangées ou des informations consultées. C’est ainsi que pourra avoir accès à ces données toute personne justifiant d’un intérêt légitime sur autorisation du juge, les autorités judiciaires (juge, parquet, officier de police judiciaire). Ainsi, un responsable de structure publique ne pourra pas, en dehors de ce cas précis, avoir accès aux données de connexion de ses personnels. La collecte et le traitement des données sont soumis au respect de la loi Informatique et Libertés : déclaration des fichiers à la CNIL, obligation de protéger les informations, respect de la finalité, interdiction de divulgation à un tiers qui n’a pas la qualité pour les recevoir, sous peine de sanctions pénales. Page 1 sur 1