Données de connexion: face au flou juridique, le Conseil d’État tranche
AFP
Dans l’océan des traces numériques laissées en ligne, les données de connexion sont massivement utilisées par la justice, certaines administrations ou les services de renseignement, mais le périmètre exact qu’elles recouvrent reste imprécis, selon des spécialistes. En France, les opérateurs téléphoniques enregistrent pendant un an l’heure et le destinataire des appels et messages reçus ou envoyés par leurs abonnés, ainsi que la durée des conversations. Les téléphones et smartphones laissent aussi une trace lorsqu’ils « accrochent » l’antenne d’un réseau mobile, ce qui permet de suivre les déplacements de leur propriétaire.
Dans le cas d’une connexion internet, les fournisseurs d’accès doivent garder en mémoire l’adresse IP qu’ils attribuent aux internautes. C’est cette adresse IP, considérée comme une donnée personnelle par la Commission informatique et liberté (Cnil), qui permettra ensuite une identification sur le réseau. Selon une décision rendue mercredi par le Conseil d’Etat, la conservation de ces métadonnées -qui n’incluent pas le contenu des échanges- est justifiée par la menace pour la sécurité nationale, mais leur utilisation doit être réservée à la criminalité grave ou au renseignement sous le contrôle d’une autorité indépendante.
Plus de 2,5 millions de requêtes d’accès à ces données d’identification (également appelées fadettes) ont été effectuées en 2020, avait rappelé le rapporteur public. Mais « le terme même de données de connexion est un souvenir du passé et sa définition juridique est assez floue », explique à l’AFP Stéphane Bortzmeyer, spécialiste des réseaux informatiques. « A l’époque de la téléphonie c’était clair, et internet a fait sauter tout ça. »
Connexions TCP, cookies and co
Selon lui, « ça a encouragé le glissement de certains discours politiques pour étendre les données de connexion à ce qu’un informaticien appellerait les connexions TCP », soit l’enregistrement du trafic entre deux machines, avec à la clé « une surveillance très intrusive ». L’obligation de conservation des données ne vise d’ailleurs pas que les opérateurs mais également les hébergeurs de sites qui gardent généralement un fichier « journal » de toutes les connexions, ajoute Alexandre Archambault, avocat spécialiste du numérique. « Les textes ne sont pas très clairs », reconnaît-il, et il est en définitive difficile de savoir si les données de connexion incluent le nom des sites visités ou l’adresse complète des pages consultées par un internaute. « Ça laisse de côté le contenu des échanges mais, très souvent, les métadonnées sont aussi révélatrices » pour lister les interactions sociales, relève M. Bortzmeyer.
Ces données de connexion sont par ailleurs loin d’être les seules traces laissées lors d’une navigation sur le réseau. Une fois arrivé sur un site, l’internaute est en effet pisté par une multitude de sociétés publicitaires, qui peuvent croiser plusieurs informations identifiantes grâce aux fameux « cookies ». Pour tenter de rester anonymes, les internautes peuvent recourir à un réseau privé virtuel (VPN) : un service souvent payant, qui consiste à faire transiter de manière chiffrée toute la connexion par un relais auquel on fait confiance. Ils peuvent aussi utiliser gratuitement le réseau Tor qui permet d’échanger en toute discrétion des informations sur Internet, grâce à une série d’ordinateurs relais basés aux quatre coins de la planète.
- Northvolt se débranche de ses créanciers / Plan marketing 2025, la méthode Maxime Baumard (Pennylane) / SOLTEO lève… - 22/11/2024
- SOLTEO lève 1,5 million d’euros pour développer les micro-centrales solaires - 22/11/2024
- EDEN AI lève 3 millions d’euros pour démocratiser l’accès à l’IA en entreprise - 21/11/2024