Donnée de connexion

Les données de connexion (ou données techniques de connexion) sont les métadonnées associées à une connexion. Ce sont des données personnelles, accessibles légalement à certaines administrations chargées du Renseignement, à certaines conditions et dans certaines circonstances.

En France, une partie du personnel des services du renseignement a accès à un dispositif dit « interceptions obligatoires légales » (ou IOL) de surveillance automatisé (« d'écoute ») du réseau Internet en France. Cet IOL est d'abord resté secret (et a-légal ou illégal). Encore peu connu du public, il est basé sur l'utilisation de « sondes », initialement installées sur le réseau ADSL, permettant de collecter « en temps réel » des métadonnées (activité initialement non-autorisée)^[1],[2]. Ces métadonnées, pour ceux qui y ont accès, permettent de localiser des terminaux (téléphones, ordinateurs…) et renseignent sur les accès de ces terminaux aux réseaux ou aux services de communication en ligne ; sur l'acheminement des communications électroniques (téléphone, internet)^[3] ; sur l'identification et l'authentification d'un utilisateur, d'une connexion, d'un réseau ou service de communication. Elles renseignent aussi sur le terminal et sur les données de configuration de ses logiciels^[3].

En Allemagne

Dans les années 2000, avec le fort développement de l'internet, l'accès et la conservation dans le temps des données de connexion (étant considérées comme données personnelles), les dispositions relatives à leur conservation ont été jugées inconstitutionnelles^[4].

En France

En 2005, deux juristes, Anne-Catherine Lorrain et Garance Mathias, s'intéressant au droit de l'immatériel dressent un état des lieux des données de connexion dans la Revue Lamy Droit de l'immatériel.

Au moins à partir de 2009, ces métadonnées, à certaines conditions et uniquement pour certaines finalités, peuvent en France être collectée par les services de renseignements (en temps réel ou de manière différée) dans le cadre du système des interceptions obligatoires légales^[5]. La loi de programmation militaire (LPM) du 18 décembre 2013^[6] a autorisé un accès administratif aux données de connexion, à des conditions qui seront précisées par la loi renseignement du 24 juillet 2015 (qui limite ce droit aux seuls services de renseignement), mais les articles L. 246-1 à L. 246-5 du Code de la sécurité intérieure (CSI) sont restés en vigueur entre le moment du vote de la loi et celui de la publication des décrets d'application de la loi renseignement^[7].

L'accès à ces données par les services de renseignement est limité aux situations menaçant « la défense et la promotion des intérêts fondamentaux de la nation, et plus précisément quand il y a menace pour :

1. L'indépendance nationale, l'intégrité du territoire et la Défense nationale ;
2. Les intérêts majeurs de la politique étrangère de la France, l'exécution des engagements européens et internationaux de la France et la prévention de toute forme d'ingérence étrangère ;
3. Les intérêts économiques, industriels et scientifiques majeurs de la France ;
4. La prévention du terrorisme ;
5. La prévention « a) Des atteintes à la forme républicaine des institutions ; « b) Des actions tendant au maintien ou à la reconstitution de groupements dissous en application de l'article L. 212-1 ; « c) Des violences collectives de nature à porter gravement atteinte à la paix publique ;
6. La prévention de la criminalité et la prévention de la délinquance organisées ;
7. La prévention de la prolifération des armes de destruction massive » ;

La définition des « données de connexion » varie selon la qualité de l'intermédiaire (défini par le Code des postes et des télécommunications). Pour les données susceptible d'être collectées en temps différé^[5] :

• pour les « opérateurs de communications électroniques » (définis en France comme « les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne »)^[8], il s'agit :
  • d'informations permettant d'identifier l'utilisateur (dont pour les besoins de facturation et de paiement),
  • de données sur les terminaux de communication utilisés,
  • des caractéristiques techniques (et date, horaire et durée) de la communication,
  • des données sur les services complémentaires demandés ou utilisés (et sur leurs fournisseurs),
  • des données permettant d'identifier le (ou les) destinataire(s) de la communication ;
• pour les opérateurs du secteur de la téléphonie, il s'agit :
  • des données permettant d'identifier l'origine et la localisation de la communication,
  • des données permettant d'établir la facturation ;
• concernant les « opérateurs » en général, il s'agit :
  • des données permettant d'identifier l'origine de la communication,
  • des caractéristiques techniques (et date, horaire et durée) de la communication,
  • des données à caractère technique permettant d'identifier le ou les destinataires de la communication,
  • des données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;
• pour les fournisseurs d'accès Internet (FAI), il s'agit^[5] :
  • de l'identifiant de la connexion,
  • de l'identifiant attribué par ces personnes à l'abonné,
  • de l'identifiant du terminal utilisé pour la connexion lorsqu'elles y ont accès,
  • des dates et heure de début et de fin de la connexion,
  • des caractéristiques de la ligne de l'abonné ;
• pour les hébergeurs, il s'agit^[5] :
  • de l'identifiant de la connexion à l'origine de la communication,
  • de l'identifiant attribué par le système d'information au contenu, objet de l'opération,
  • des types de protocoles de connexion au service (et pour le transfert des contenus),
  • de la nature de l'opération,
  • des date et heure de l'opération,
  • de l'identifiant utilisé par l'auteur de l'opération (quand celui-ci l'a fourni).

Pour les fournisseurs d'accès Internet (FAI) et hébergeurs^[5] :

• lors de la création du compte, les « données de connexion » sont :
  • l'identifiant de cette connexion,
  • les nom et prénom ou la raison sociale,
  • les adresses postales associées,
  • les pseudonymes utilisés,
  • les adresses de courrier électronique ou de compte associées,
  • les numéros de téléphone,
  • les données permettant de vérifier le mot de passe ou de le modifier, dans leur dernière version mise à jour ;
• si et quand la souscription du contrat ou du compte est payante, les « données de connexion » incluent (pour chaque opération de paiement)^[5] :
  • le type de paiement utilisé,
  • la référence du paiement,
  • le montant,
  • la date et l'heure de la transaction ;
• les données de connexion recueillies en temps réel sont celle de personnes source de menace terroriste, ou des données aspirées par des « boites noires » (systèmes qui calculent via un algorithme la présence d'une menace terroriste à partir d'un stock « d'informations ou documents » (notion pouvant évoquer big data mais définie par l'article L 34-1-VI selon lequel les données accessibles « portent exclusivement sur l'identification des personnes utilisatrices des services fournis par les opérateurs, sur les caractéristiques techniques des communications assurées par ces derniers et sur la localisation des équipements terminaux ». Elles ne doivent donc pas porter sur le contenu des correspondances échangées). Ces informations ou documents sont donc des données^[5],[3] :
  • permettant de localiser les équipements terminaux,
  • relatives à l'accès des équipements terminaux aux réseaux ou aux services de communication au public en ligne,
  • relatives à l'acheminement des communications électroniques par les réseaux,
  • relatives à l'identification et à l'authentification d'un utilisateur, d'une connexion, d'un réseau ou d'un service de communication au public en ligne,
  • relatives aux caractéristiques des équipements terminaux et aux données de configuration de leurs logiciels.

Après de nombreux débats, dont au niveau du Conseil constitutionnel qui ont d'abord, à plusieurs reprises, fait estimer inconstitutionnel le droit pour l'Autorité des marchés financiers (AMF) d'accéder aux données de connexion^[9] depuis 2018, les données de connexion sont finalement, à certaines conditions, accessibles aux enquêteurs de l'AMF^[10],[11].

En France, parmi les cadres juridiques concernant les données personnelles, figurent notamment le règlement général sur la protection des données (RGPD) et la loi Informatique et Libertés.

Depuis le 20 octobre 2021, selon la loi (cf. article R. 851-5-I du Code de la sécurité intérieure modifié par Décret n°2021-1362 du 20 octobre 2021 - art. 11)^[3], ces « données de connexion » n'incluent pas le « contenu des correspondances échangées ou des informations consultées » (en vertu d'une décision du Conseil constitutionnel sollicité à définir ce champ, lors d'une question prioritaire de constitutionnalité posée par la Quadrature du Net, FDN et FFDN.

À la suite d'arrêts de la chambre criminelle de la Cour de cassation du 12 juillet 2022, la Cour a précisé dans quelles conditions les données de connexion pouvaient être utilisées dans des procès^[12]. Ces explications étaient en effet devenues nécessaires à la suite de l'arrêt du 6 octobre 2020 (La Quadrature du Net) de la Cour de justice de l’Union européenne qui dit que « le droit de l’Union européenne1 s'oppose à une conservation généralisée et indifférenciée, à titre préventif, des données de trafic et de localisation aux fins de lutte contre la criminalité, quel que soit son degré de gravité ».

Notes et références

1. La rédaction de Mediapart, « Dossier: les Français sous surveillance », sur Mediapart, 15 avril 2015 (consulté le 27 novembre 2021)
2. Jérôme Hourdeaux, « La surveillance du Net a été généralisée dès 2009 », sur Mediapart (consulté le 27 novembre 2021)
3. « Code de la sécurité intérieure » (consulté le 8 décembre 2021)
4. Deshayes B & Reinhold D (2010) L’inconstitutionnalité des dispositions allemandes relatives à la conservation des données de connexion (données à caractère personnel)
5. Marc Rees, « Les données de connexions accessibles aux services du renseignement », sur nextinpact.com, 1^er février 2016 (consulté le 8 décembre 2021)
6. « LOI n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale (1) », sur legifrance.gouv.fr (consulté le 8 décembre 2021).
7. Cf. art. 26 de la loi du 24 juillet 2015.
8. Cf. article L 34-1-II du code des postes et communications électroniques (CPCE), où la définition a pour origine la loi pour la confiance dans l'économie numérique du 21 juin 2004 (art. 6).
9. Nathalie Martial-Braz, « Inconstitutionnalité du droit de communication des données de connexion reconnu à l'AMF », Revue des Sociétés, n^o 10,‎ octobre 2017, p. 582 (lire en ligne, consulté le 10 décembre 2021).
10. Loi n^o 2018-898 du 23 octobre 2018 relative à la lutte contre la fraude, JO du 24 octobre 2018, texte 1 sur 131 ; Décret n^o 2018-1188 du 19 décembre 2019 relatif à la procédure de communication des données de connexion aux enquêteurs de l'Autorité des marchés financiers, JO du 21 décembre 2018, texte 49
11. Jean-Marie Brigant, « Le législateur rétablit la connexion : le (nouveau) droit de communication des enquêteurs de l'AMF », Revue de Science Criminelle et de Droit Pénal Comparé, n^o 02,‎ août 2019, p. 391 (lire en ligne, consulté le 10 décembre 2021).
12. « Note explicative relative aux arrêts de la chambre criminelle du 12 juillet 2022 (pourvois n° 21-83.710, 21-83.820, 21-84.096 et 20-86.652) Conservation des données de connexion et accès », sur Cour de cassation

Voir aussi

Bibliographie

• Nicolas Ochoa, Le droit des données personnelles, une police administrative spéciale, thèse, 2014, Paris 1, disponible en suivant le lien https://tel.archives-ouvertes.fr/tel-01340600.
• Collectif, Informatique et Libertés. La protection des données à caractère personnel en droit français et européen, LGDJ, Intégrales, 16 juillet 2015, (ISBN 978-2359710939).
• Collectif, Règlement européen sur la protection des données: Textes, commentaires et orientations pratiques, Bruylant Édition, 10 janvier 2018, (ISBN 978-2802759676).
• Ludovic Coudray, La protection des données personnelles dans l'Union européenne: Naissance et consécration d'un droit fondamental, Éditions Universitaires Européennes, 4 mai 2010, (ISBN 978-6131502699).
• Alexis Deprau, Le droit face à la terreur, éditions du Cerf, Paris, 2021
• Guillaume Desgens-Pasanau, La Protection des données à caractère personnel, publié chez Litec LexisNexis, collection Carré Droit, septembre 2012, (ISBN 2711016838).
• Anne-Catherine Lorrain et Garance Mathias, « Données de connexion : la publication du premier décret ou la première pierre d’un édifice encore inachevé », Revue Lamy Droit de l'immatériel, n^o 17,‎ juin 2006, p. 35-38 (ISSN 1772-6646).

Documentaire

• Elise Lucet, « Cash investigation : Nos données personnelles valent de l'or », sur france.tv, France 2, 2021 (consulté le 19 mai 2021).

Articles connexes

Généralités

• Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP)
• Biométrie
• Pseudonymisation
• Chartes du droit à l'oubli numérique
• Ciblage comportemental
• Commission d'accès aux documents administratifs
• Commission de contrôle des informations nominatives
• Contrôleur européen de la protection des données
• Données de santé
• Données des dossiers passagers (PNR)
• Économie de la surveillance
• Identité numérique (Internet)
• Économie de la surveillance
• Fichage
• Fichage en France
• Fuite d'information
• Viol de correspondance privée
• Frenchelon • Echelon
• Géolocalisation
• Identité  , Identité (psychologie)
• Liste d'autorités chargées de la protection des données (Data Protection Authorities)
• Métadonnée
• On the Internet, nobody knows you're a dog (Sur l'Internet, personne ne sait que tu es un chien)
• Profil utilisateur
• Renseignement d'origine électromagnétique
• Interceptions obligatoires légales (IOL)
• Résolution de Madrid
• Sécurité du système d'information
• Sécurité des données
• Social Web
• Traces numériques, cookie (informatique)
• Vie privée et informatique

Aspects techniques

• Authentification forte
• Certificat numérique
• Gestion de l'impression
• OpenID
• RFID (radio-étiquettes, puce électronique
• Catégorie:Système de gestion d'identité

Aspects légaux

• Carte d'identité
• CNIL
• Intégrité numérique
• Loi informatique et libertés (1978)
• Loi relative au renseignement (2015)
• Règlement européen sur la protection des données de 2016
• Surveillance globale
• Usurpation d'identité
• Homeland Security Presidential Directive - HSPD-12
• Norme FIPS 201 (en) (PIV : Personal Identity Verification)

Critiques

• Big Brother Awards
• Comité d'enquête sur la surveillance électronique de masse de citoyens de l'Union européenne

Liens externes

• L’accès administratif aux données de connexion, Contrepoints, 30 juillet 2015
• Données de connexion : toujours du flou sur le périmètre de la surveillance, NextInpact, 28 juillet 2015
• Inquiétude sur les données de connexion, Le Monde, 22 juillet 2015

•   Portail du droit
•   Portail de la sécurité informatique