Guide d'autodéfense numérique

On a vu qu'on accédait à Internet par l'intermédiaire d'un fournisseur d'accès à Internet (FAI). Ce FAI est en général une société qui fournit une « box » connectée à Internet. Mais ça peut aussi être une association ou une institution publique (une université, par exemple, quand on utilise leurs salles informatiques). Les FAI sont eux aussi soumis à des lois concernant la rétention de données.

Au sein de l'Union Européenne, une directive oblige les fournisseurs d'accès à Internet (FAI) à garder la trace de qui s’est connecté, quand, et depuis où. En pratique, cela consiste à enregistrer quelle adresse IP a été assignée à quel abonné pour quelle période1. Les institutions qui fournissent un accès à Internet, comme les bibliothèques et les universités, font de même : en général il faut se connecter avec un nom d'utilisateur et un mot de passe. On peut ainsi savoir qui utilisait quel poste à quel moment. La directive européenne précise que ces données doivent être conservées de 6 mois à 2 ans. En France, la durée légale est de un an2.

De plus, FAI et hébergeurs français sont tenus de conserver les « informations fournies lors de la souscription d'un contrat par un utilisateur ou lors de la création d'un compte » pendant un an après la fermeture du compte. « Lorsque la souscription du contrat ou du compte est payante », ils doivent aussi conserver les informations relatives au paiement3.

L'objectif des lois de rétention de données est donc de rendre facile, pour les autorités, d'associer un nom à tout geste effectué sur Internet.

Des flics qui enquêteraient par exemple sur un article publié sur un blog peuvent demander aux responsables du serveur hébergeant le blog l'adresse IP de la personne qui a posté l'article, ainsi que la date et l'heure correspondantes. Une fois ces informations obtenues, ils vont demander au fournisseur d'accès à Internet responsable de cette adresse IP à qui elle était assignée au moment des faits.

  • Quelle histoire ! Mais quel rapport avec nos bureaux ?
  • Et bien c'est également pour ça que je vous appelle. Ils affirment qu'ils ont toutes les preuves comme quoi ces documents ont été publiés depuis vos bureaux. Je leur ai dit que ce n'était pas moi, que je ne voyais pas de quoi ils parlaient.

C'est exactement de ça qu'il s'agit quand, dans notre histoire du début, la police prétend, traces à l'appui, que les relevés bancaires ont été postés depuis les bureaux rue Jaurès. Elle a au préalable obtenu auprès des hébergeurs du site de publication l'adresse IP qui correspond à la connexion responsable de la publication des documents incriminés. Cette première étape permet de savoir d'où, de quelle « box », provient la connexion. La requête auprès du FAI permet de savoir quel est le nom de l'abonné – adresse en prime – via son contrat, associé à l'adresse IP.


  1. « Les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne »(LCEN, op. cit.), c'est-à-dire les FAI, sont tenues de conserver durant un an : « a) L'identifiant de la connexion ; b) L'identifiant attribué par ces personnes à l'abonné ; c) L'identifiant du terminal utilisé pour la connexion lorsqu'elles y ont accès ; d) Les dates et heure de début et de fin de la connexion ; e) Les caractéristiques de la ligne de l'abonné ; » (décret n° 2011-219 du 25 février 2011, op. cit.).

  2. Parlement Européen et Conseil, 2006, Directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE.

  3. « 3° Pour les personnes mentionnées aux 1 et 2 du I du même article [FAI et hébergeurs, NdA], les informations fournies lors de la souscription d'un contrat par un utilisateur ou lors de la création d'un compte : a) Au moment de la création du compte, l'identifiant de cette connexion ; b) Les nom et prénom ou la raison sociale ; c) Les adresses postales associées ; d) Les pseudonymes utilisés ; e) Les adresses de courrier électronique ou de compte associées ; f) Les numéros de téléphone ; g) Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour ; 4° Pour les personnes mentionnées aux 1 et 2 du I du même article [FAI et hébergeurs, NdA], lorsque la souscription du contrat ou du compte est payante, les informations suivantes relatives au paiement, pour chaque opération de paiement : a) Le type de paiement utilisé ; b) La référence du paiement ; c) Le montant ; d) La date et l'heure de la transaction. Les données mentionnées aux 3° et 4° ne doivent être conservées que dans la mesure où les personnes les collectent habituellement » (décret n° 2011-219 du 25 février 2011, op. cit.).