Obligations légales - RGPD et Conservasion des logs

Bonjour,

Je doit admettre que je suis un peu largué concernant les obligations légales en tant qu’hébergeur… On trouve beaucoup d’informations, parfois contradictoires, et malgré les quelques informations dans la section Points juridiques du wiki, une question reste en suspens, notamment suite au partage de ce lien dans un compte rendu du camps chatons 2022

  • Qu’en est-il de l’imbroglio « loi européenne vs loi française » concernant la durée de conservation des logs ?

J’ai appris qu’un groupe juridique à été créé afin de discuter des obligations légales et un compte rendu très intéressant et prometteur a été publié. Existe-t-il des documents qui en sont ressortis ? Comment est-il possible de le soutenir / y participer ?

Merci pour vos réponses.

Quelle est la durée pendant laquelle vous conservez les données de connexion ?

  • 14 jours, conformément à la loi européenne
  • 1 an, conformément à la loi française
  • Je ne sais pas, j’utilise la configuration par défaut

0 votant

1 « J'aime »

Perso j’ai pas relancé le travail sur ce groupe juridique. @jeltz qui était d’une grande aide bosse en ce moment sur un autre sujet de lobbying législatif pour améliorer la stabilité des offres fibres.

Bref je sais pas trop quand relancer/synthétiser ça. Cette histoire c’est un peu le tonneau des Danaïdes de toute façon.

Après quelques recherches supplémentaires, je le crois volontiers…

Ça va donc rester flou, merci à celles et ceux qui répondent au sondage, ça permet d’avoir une idée de la situation. Je me demande cependant si des structures conservant les données 14 jours ont déjà reçues des requêtes de police judiciaire auxquelles elles n’ont pas pu répondre.

Oui, La Quadrature du Net a été dans ce cas

On a des nouvelles sur ce sujet ?

Dans le cadre du GT SM2TP, on se pose la question de la conservation de logs d’un serveur SMTP.

Je me réfère donc au décret 2021-1362 : Décret n° 2021-1362 du 20 octobre 2021 relatif à la conservation des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne, pris en application du II de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique - Légifrance

Un serveur SMTP n’est pas un service d’hébergement : aucun contenu n’est créé ou modifié, c’est comme un routeur : ça ne fait que faire transiter une information. Donc nous ne sommes pas hébergeurs au sens de réglementation, mais un service intermédiaire.

Du coup voici ce qu’il faut qu’on conserve :

Article 6
(…)
a) L’identifiant de la connexion ;
b) L’identifiant attribué par ces personnes à l’abonné ;
c) L’adresse IP attribuée à la source de la connexion et le port associé ;

Bon pas sûr de ce que sont le A et le B dans le cadre s’un serveur SMTP (A = identifiant du mail dans la queue temporaire ? mais B = ???), mais adresse IP + port c’est clair.

Par contre ça ne mentionne pas la date ni l’heure… Donc théoriquement on pourrait juste stocker une liste d’adresses IP sans date/heure ?

Autre point qui me chiffonne, l’article 8 :

Les données mentionnées aux articles 2 à 6 ne doivent être conservées que dans la mesure où elles sont collectées par les personnes mentionnées aux 1 et 2 du I de l’article 6 de la loi du 21 juin 2004 susvisée lorsqu’elles assurent la mise en œuvre des services de communication au public en ligne.

Donc si on ne collecte pas ces données en premier lieu (pas de log activés), on n’a pas à les conserver ? Ça me paraîtrait bizarre…ment facile de se soustraire à cette obligation de logs du coup.

J’ai posé la question sur le chat de la quadrature du net, pour avoir plus d’infos.

Retour de Bastien Le Querrec de la Quadrature du Net sur Matrix :

Non, c’est pas vrai. Le décret sur la conservation des données de connexion dit bien que s’il n’y a pas de collecte, il n’y a pas de conservation obligatoire.

Décision n° 459724 - Conseil d'État
9. Il résulte des dispositions de l’article 8 du décret n° 2021-1362, citées au point 7, que les fournisseurs et hébergeurs de contenus soumis à l’obligation de conservation des données de connexion ne sont tenus de conserver que les données qu’ils sont amenés à collecter dans le cadre de leur activité. Si, s’agissant des dispositions issues du décret n° 2021-1361 codifiées dans le code des postes et des communications électroniques, citées au point 6, l’article R. 10-12, qui définit les données de trafic et de localisation au sens des IV et V de l’article R. 10-13, indique qu’il s’agit " des informations rendues disponibles par les procédés de communication électronique, susceptibles d’être enregistrées par l’opérateur à l’occasion des communications électroniques dont il assure la transmission ", cette précision ne saurait être interprétée comme imposant aux opérateurs de communications électroniques de conserver des données autres que celles qu’ils sont amenés à collecter dans le cadre de leur activité en ce qui concerne celles mentionnées aux I, II et III du même article R. 10-13.

donc un service qui a une politique de no-log, c’est légal en france
mais si par exemple tu conserves des IP quelques semaines ou même quelques heures pour la sécurité de ton infra, tu dois les conserver un an si l’obligation de conservation généralisée est en vigueur
(c’est très théorique, elle l’est de manière continue depuis 2001)

Petit point technique ici : Bastien fait référence au fait que suite à victoire judiciaire (arrêt « French Data Network »), la législation française ne peut plus exiger 1 an de stockage de logs de manière permanente, mais uniquement en cas de menace sur la sécurité nationale. Du coup ils ont changé la loi pour que ce 1 an de stockage ne soit obligatoire qu’en cas de menace… Du coup ils renouvellent le décret en disant que si si y’a toujours une menace urgente… Donc dans les fait ça reste toujours 1 an de stockage. Cf. Décret n° 2021-1363 du 20 octobre 2021 portant injonction, au regard de la menace grave et actuelle contre la sécurité nationale, de conservation pour une durée d'un an de certaines catégories de données de connexion - Légifrance

Suit une précision sur le « quick freeze » :

attention toutefois, l’autorité judiciaire peut quand même enjoindre un hébergeur à faire un quick freeze
dans ce cas, il y a obligation de conserver les données de connexion d’une personne ciblée pour l’avenir
même un service avec une politique de no-log peut se voir enjoindre de faire un quick freeze
quick freeze = conservation rapide : une conservation non prévue initialement
en gros, les flics disent à un fournisseur : « merci de conserver les données de connexion que vous n’avez pas encore supprimées, ainsi que celles à venir, concernant telle personne »
c’est ciblé, contrairement à l’obligation de conservation indifférenciée

Cf. III bis du L34-1 du code des postes et télécom : https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000043887545

Donc conclusion : on n’a pas à conserver les données type adresse IP, si on ne les collecte pas.

1 « J'aime »