Actuellement, la conservation des logs est inévitable pour tout fournisseur d’accès internet. En effet, l’enregistrement de certaines informations concernant les utilisateurs est désormais une obligation. Ceci a pour but d’éviter une utilisation malveillante ou illégale de cet accès internet, dans l’intérêt des utilisateurs comme du fournisseur. Toutefois, cette conservation des logs est réglementée.
Conservation des logs : l’installation d’un portail captif
Vous n’êtes peut-être pas familier avec le concept de logs ou de « journal de bord». Le log est le diminutif de login, désignant un dispositif ou un fichier qui permet de conserver les historiques d’un utilisateur d’un accès internet.
Ces historiques comprennent la date et l’heure de connexion d’un utilisateur. L’objectif de ce traçage d’accès est de surveiller tout incident, comme pour identifier la personne qui a tenté de faire une violation de données par exemple. Le log répertorie les informations chronologiquement à l’aide d’un logiciel, d’un serveur ou d’une application. Par exemple, si vous vous connectez à un Wi-Fi public d’un hôtel, les recherches effectuées pendant votre connexion peuvent être enregistrées avec les détails dans le journal de bord de ce dernier.
Facilitant la conservation des données de navigation internet dans vos locaux, un portail captif est un dispositif qui permet un accès rapide à internet, par Wi-Fi. Celle-ci est sécurisée par un administrateur.
Si un utilisateur souhaite se connecter pour la première fois sur un accès, le portail saisit sa demande de connexion et enregistre l’identifiant afin qu’il y accède. D’habitude, cette demande d’identification se fait via une page web stockée dans un serveur HTTP. Les identifiants, c’est-à-dire le mot de passe et le login, sont stockés dans une base de données d’un serveur distant ou hébergés localement.
Après authentification, l’utilisateur aura son accès internet. Toutefois, il est à noter que la durée de connexion autorisée pour ce dernier est limitée par l’administrateur. Une fois la durée fixée achevée, l’utilisateur est obligé de soumettre une nouvelle demande pour une nouvelle session.
Les obligations en matière de conservation des logs
Connexions Wi-Fi sécurisées : la mise en place d’un portail captif
Les informations concernant le terminal de connexion, les informations d’identification, la durée de connexion avec la date et l’heure de chaque utilisateur devraient être conservées par le portail captif. D’ailleurs, selon le contenu du décret du 24 mars 2006, les informations permettant d’identifier l’utilisateur telles que l’adresse IP de ce dernier, son numéro de téléphone, devraient être enregistrées. Les e-mails échangés et le contenu des pages web visitées ne sont pas soumis à cette obligation.
Des entreprises spécialisées vous proposent la mise en place d’un portail captif sur votre réseau professionnel, de sorte à en simplifier l’installation et l’utilisation. Elles vous permettent ainsi de fournir une connexion Wi-Fi sécurisée à vos collaborateurs, votre clientèle ou autres invités.
Conservation des logs : la législation en la matière
Selon la loi concernant les logs dans l’article 6 II, décrétée le 24 mars 2006 les FAI, l’obligation de préserver les données est valable pour une durée optimale d’un an. Au-delà de ce délai, ces données peuvent être anonymisées.
L’objectif de la conservation est la possibilité d’identifier facilement une personne soupçonnée d’actes ou de propos illicites à l’aide de ses données de navigation. Il est alors possible de solliciter une déconfidentialisation des informations conservées au besoin. Cette démarche est accessible uniquement aux autorités judiciaires, dans le cadre d’une enquête officielle.
Qui est concerné par la conservation des logs ?
Les institutions concernées par cette conservation sont tout d’abord les fournisseurs d’accès internet ou FAI, ainsi que les hébergeurs. Selon la loi antiterroriste du 23 janvier 2006, cette obligation ne concerne pas uniquement les FAI, mais est aussi applicable à toute personne physique ou morale qui procure un accès internet. Et ce, même s’il s’agit d’un accès octroyé à titre gratuit.
Actuellement, elle concerne beaucoup plus de public : notamment les opérateurs téléphoniques, les responsables des services sur internet (les blogs, sites web..) et les cybercafés. Ces derniers doivent garder les traces de leurs utilisateurs pendant une durée minimum d’un an. À noter que les frais de conservation sont à leur charge.
Chaque abonnement internet ou téléphonique, chaque consultation d’une page web, d’une vidéo, d’une photo, chaque appel effectué, doit être enregistré. Le login, le mot de passe et les pseudos de chaque utilisateur doivent être enregistrés.
Non seulement les identifiants, mais aussi le numéro de la carte bancaire, le numéro de téléphone, les adresses physiques et e-mail, la date et l’heure de connexion, et tous les détails utiles concernant l’utilisateur.
Conservation des données : les risques et les sanctions
La conservation des données ne doit pas excéder un délai d’un an pour éviter que les fichiers soient corrompus et/ou illisibles. Ils peuvent en effet subir l’obsolescence du matériel, qu’il s’agisse d’un support endommagé ou d’une défaillance au niveau du matériel de lecture.
Avec l’évolution constante du secteur numérique, il est possible de rencontrer des problèmes liés à l’incompatibilité des logiciels. L’accumulation de fichiers peut également présenter des problèmes de stockage. Du coup, afin d’éviter ces risques et pour que les données soient bien conservées, il faut procéder à des migrations de formats et de supports et à la constitution de métadonnées à chaque évolution technologique.
Pour bien conserver les logs, il est également nécessaire de mettre en place l’enregistrement dans un système de journalisation ou fichiers journaux des activités des utilisateurs. Ces outils de journalisation seront alors sécurisés afin de les rendre inaccessibles au grand public, mais aussi pour éviter tout accès non autorisé.
Enfin, il est nécessaire d’alerter la CNIL et les personnes concernées en cas de violation des données, notamment les utilisateurs dont les données ont été divulguées autant que ceux qui y ont eu accès.
Le non-respect de ces obligations ou toute négligence dans ce sens peut entraîner de lourdes sanctions. Elles peuvent être un emprisonnement d’un an et une amende de 75 000 € s’il s’agit d’une personne physique. Pour les personnes morales, l’amende peut aller jusqu’à 375 000 €, selon l’article 131-38 du Code pénal.