Auteur Sujet: Système de Logs Réseaux pour borne WiFi dans un lieu public (Lu 27555 fois)

vivien · « **Réponse #48 le:** 17 février 2022 à 09:01:37 »

Vrai ou faux? Il faut enregistrer des informations concernant l’utilisation de votre réseau ouvert
=> Vrai, l'article R.10-13 du Code des postes et des communications électroniques précise c qu'il faut enregistrer.

Vrai ou faux? Il faut enregistrer le nom des gens qui se connectent à votre WiFi
=> Vrai, mais cela n'a rien a voir avec La Hadopi

Vrai ou faux? La Hadopi va me manger tout cru si mon WiFi n’est pas sécurisé en WPA3 , filtrage P2P, pierre anti-ondes et cage de Faraday
=> Cela ne concerne pas un réseau ouvert au public.

Au passage, sur un réseau ouvert au public, il est interdit de bloquer des sites, de filtrer des ports, faire du filtrage applicatif, filtrage d'URL ou DPI (Deep Packet Inspection). Un réseau ouvert au public doit être neutre et le P2P ne peut pas être bloqué. Le document de la Hadopi ne concerne que les réseaux privés.

Vrai ou faux? Je suis condamnable si quelqu’un utilise ma connexion Internet pour pirater du contenu
=> Faux, si vous fournissez les informations demandées par l'article R.10-13 du Code des postes et des communications électroniques.

Vrai ou faux? Je dois stocker les adresses de sites ou URL visitées par mes utilisateurs
=> Faux, c'est strictement interdit sur un réseau ouvert au public, comme le DPI (Deep Packet Inspection)

Pour être précis, il est interdit d'aller regarder le contenu particulier des paquets transporté. L'Arcep est très clair sur ce qu'est le contenu particulier :

Citation de: vivien le 14 juillet 2021 à 22:03:00

Le DPI (Deep packet inspection) est interdit, même pour catégoriser le trafic :

Extrait de la du rapport 2020 (page 66) : Le règlement Internet ouvert permet aux FAI d’accéder qu’aux informations contenues dans l’en-tête du parquet IP et dans l’en-tête du protocole de la couche transport (par exemple l’en-tête TCP ou l’en-tête UDP) dont les noms de domaine et URL sont exclus. Par ailleurs, dans une lettre rendue publique, le Comité européen de la protection des données (EDPB) qui a été saisi pour avis, précise que le nom de domaine et l’URL peuvent être qualifiés de données à caractères personnels et à ce titre sont protégées par les dispositions de la directive vie privée et communications électroniques et du règlement général sur la protection des données. Ainsi, les FAI qui utiliseraient le nom de domaine ou les URL à des fins de catégorisation de trafic ou de facturation s’exposeraient non seulement à une violation potentielle du règlement internet ouvert, mais aussi à une possible violation de la protection des données à caractère personnel de leurs clients.

Cette année, en 2021, l'Arcep nous propose de nouveaux schémas explicatif sur TCP/IP, ce qui est neutre ou pas :

Plusieurs principes intrinsèques au fonctionnement d’internet découlent du modèle TCP/IP : le fonctionnement autonome des couches réseaux (layering principle), le principe du « meilleur effort » dans l’acheminement des données (best effort principle), le principe de bout-en-bout (end-to-end principle) ou encore le principe de transparence du réseau (network transparency).
Chaque couche réseau fonctionne de manière autonome : la segmentation des différentes fonctionnalités d’internet implique que les couches réseaux inférieures se concentrent sur l’acheminement des données utiles qui leur sont confiées (adressage et routage de l’information transmise), laissant la responsabilité des autres fonctionnalités (traitement et présentation des données acheminées) à la couche supérieure, dite applicative (cf. schéma synthétique du modèle TCP/IP). Pour éviter que les données transmises ne se perdent lorsqu’elles passent successivement les couches réseaux, chaque couche réseau ajoute des informations essentielles aux données transmises, qui sont regroupées dans un en-tête positionné au début de chaque paquet de données transféré par la couche précédente (cf. schéma synthétique du mécanisme d’encapsulation).

Seules les informations contenues dans l’en-tête destinée à une couche réseau sont utilisées par cette dernière. A titre d’exemple, la couche transport utilise les informations de l’en-tête « transport » pour acheminer les données reçues, mais n’est théoriquement pas en mesure de savoir si les données reçues de la couche applicative sont celles d’un email, d’une vidéo ou d’une page web. Cela implique de facto la circulation des données transmises de manière indifférenciée et de la meilleure manière possible dans les différentes couches traversées, conformément au principe du « meilleur effort ». Selon le principe de « bout-en-bout », seuls les services de la couche applicative, s’assurent de vérifier de l’intégralité et de la conformité des données transmises. Enfin, la segmentation des différentes fonctionnalités d’internet en couches réseaux rend le fonctionnement des couches réseaux inférieures transparent pour les services appartenant à la couche applicative. Ainsi, l’utilisateur final est en théorie libre d’utiliser le terminal ou le système opérateur de son choix, car leur fonctionnement reste indépendant du fonctionnement des couches réseaux inférieures.

L’architecture d’Internet selon le modèle TCP/IP permet une segmentation de ses fonctionnalités et le recours à des conventions communes de fonctionnement que sont les protocoles réseaux. Cette uniformisation offre un cadre homogène au sein duquel les utilisateurs finaux disposent d’une égalité de traitement dans l’accès ou la diffusion par les réseaux de leurs contenus, de leurs services ou de leurs applications. En effet, internet incite les utilisateurs finaux à avoir une participation active dans la création de nouveaux contenus au niveau de la couche applicative, en disposant d’un cadre connu et en leur évitant de prendre en compte le fonctionnement des couches réseaux inférieures (cf. le principe de transparence du réseau). De plus, le recours à des protocoles réseaux, communément admis au sein d’une même couche, réduit les coûts de création d’un nouveau service par l’utilisateur final, favorisant de facto l’innovation. Ainsi, internet reste un environnement moteur de l’innovation.

Mais on doit conserver quoi comme données alors ?
=> L'adresse IP attribuée à la source de la connexion et le port associé et les informations demandées par l'article R.10-13 du Code des postes et des communications électroniques

iMarco27 · « **Réponse #49 le:** 17 février 2022 à 10:48:17 »

Donc maintenant en plus des IP, MAC, PSRC, PDST, PROTO il faut garder :
- Nom
- Prénom
- Date et lieu de naissance
- Adresse
- Email
- Numéro de téléphone
- ID (user login)
- Pseudonyme

La SNCF est hors la loi donc ?

Harvester · « **Réponse #50 le:** 17 février 2022 à 11:25:03 »

Gonzague semble dire que ces exigences ne s'appliquent qu'aux FAI, mais c'est à confirmer :

https://twitter.com/bouchecousue/status/1494250606067863552?t=6RIkX-X8tVYqlhlpnLqceg&s=19

iMarco27 · « **Réponse #51 le:** 17 février 2022 à 11:32:26 »

J'aimerais vraiment que ça soit plus clair avant d'investir dans un portail captif qui fait OTP...

D'ailleurs celui qui en conçoit un me disait que les demandes en France avaient explosé depuis peu...

Faudra peut-être mettre un champ "Si vous êtes terroriste, cochez cette case. Indiquez le nom et l'adresse de votre réseau de malfaiteur. Merci. Cordialement"

Les gens veulent que ça marche tout de suite, pas remplir de CERFA pendant 10 minutes... Je le vois bien avec ma famille dans les hôtels par exemple.

ppn_sd · « **Réponse #52 le:** 17 février 2022 à 12:18:53 »

Citation de: Harvester le 17 février 2022 à 11:25:03

Gonzague semble dire que ces exigences ne s'appliquent qu'aux FAI, mais c'est à confirmer :

https://twitter.com/bouchecousue/status/1494250606067863552?t=6RIkX-X8tVYqlhlpnLqceg&s=19

L'article L34-1 ne semble pourtant pas restreindre les obligations aux seuls opérateurs :

Citer

Les personnes qui, au titre d'une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l'intermédiaire d'un accès au réseau, y compris à titre gratuit, sont soumises au respect des dispositions applicables aux opérateurs de communications électroniques en vertu du présent article.

vivien · « **Réponse #53 le:** 17 février 2022 à 14:14:05 »

Il y a une chose qui est sur la loi n'est pas suffisamment claire pour qu'il y ait autant de différences d'interprétation entre juristes.

Je reproduis ci-dessous la version de Maître Alexandre Archambault sur twitter

Ce texte doit être interprété à l'aune des avis CNIL et, surtout, des arrêts CJUE rappelant que la non conservation est la règle, et que dès lors les exceptions ne peuvent imposer des obligations de conservation portant sur des données qui ne sont pas habituellement collectées.

Car les exceptions au principe RGPD/ePrivacy de minimisation des données tel que précisé par CJUE & CNIL s'entendent sur un périmètre strictement limité. Pas certain qu'une obligation de collecte de l'identité et de conservation sur 5 ans pour des contrats ponctuels soit conforme.

Rappelons par ailleurs que l'avis ARCEP sur cette question est beaucoup plus nuancé, en ce qu'une obligation de collecte et de conservation imposée dans le cadre d'une prestation accessoire et ne donnant pas lieu à abonnement pourrait être considérée comme disproportionnée.

Il a eu une réponse de Solarus "Ça suppose de devoir défier le législateur et avoir les reins solides pour porter l'affaire à la CJUE, sans être sûr de gagner. Bref, c'est un pari risqué."

Et Alexandre Archambault : "Il y a au moins un opérateur coutumier du fait ;-) https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2021-04-21/393099"

D’après ce que j'ai compris les textes se sont fortement durcis suite au contentieux sur les requêtes de l'association La Quadrature du Net et autres et de l'association Igwan.net tendant à l'annulation pour excès de pouvoir.

iMarco27 · « **Réponse #54 le:** 17 février 2022 à 14:37:15 »

Donc si je comprends bien, la loi est contestée par deux hautes autorités : la CNIL et l'ARCEP et est illégale du point de vue du RGPD (CJUE) ?

Concrètement, moi je suis auto entrepreneur dans l'informatique au service des français, pas des terroristes. Mon boulot n'est pas de relever l'identité des utilisateurs. Que dois-je faire ? Collecter uniquement les données de connexion comme demande l'article original R10-13 de 2006 ? Ou mettre en place ce contrôle d'identité systématique ?

Je suis honnêtement perdu dans cette histoire, j'ai pas les moyens d'avoir une équipe d'avocats en cas de non-respect de la loi d'un coté, et non respect du RGPD et des régulateurs de l'autre...

vivien · « **Réponse #55 le:** 17 février 2022 à 14:54:20 »

Le fait que ARCEP émette un avis qui n'est pas entièrement pris en compte dans le décret final ne veut pas dire qu'elle conteste les décrets en questions (et cela ne doit pas être dans ses pouvoir de contester).

Je comprend qu'avant d'investir dans un portail captif qui fait OTP on souhaite avoir de la visibilité. Je vais voir si je peut avoir plus d'information.

iMarco27 · « **Réponse #56 le:** 17 février 2022 à 14:57:09 »

Merci

vivien · « **Réponse #57 le:** 28 février 2022 à 14:19:23 »

Pour rajouter au brouillard sur ce qu'il faut conserver pour les accès Wi-Fi proposés dans un lieu ouvert au public, voici un article de NextINpact du 25 février 2022 : La conservation généralisée des données de connexion est contraire à la Constitution.

L'article se base sur :
- Décision du Conseil constitutionnel n° 2021-976/977 QPC du 25 février 2022 sur la conservation des données à caractère personnel pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales
- Communiqué de presse du Conseil constitutionnel n° 2021-976/977 QPC du 25 février 2022

Le Conseil constitutionnel censure comme portant une atteinte disproportionnée au droit au respect de la vie privée des dispositions législatives concernant la conservation des données de connexion, dans leur version antérieure à la loi n° 2021-998 du 30 juillet 2021

L'objet de la question prioritaire de constitutionnalité (QPC)

Le Conseil constitutionnel a été saisi le 10 décembre 2021 par la Cour de cassation d'une QPC relative à la conformité aux droits et libertés que la Constitution garantit des paragraphes II et III de l'article L. 34-1 du code des postes et des communications électroniques, dans sa rédaction résultant de la loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale.

L'article L. 34-1 du code des postes et des communications électroniques est relatif au traitement des données à caractère personnel dans le cadre de la fourniture au public de services de communications électroniques. Son paragraphe II prévoit que les opérateurs de communications électroniques effacent ou rendent anonymes les données relatives au trafic enregistrées à l'occasion des communications électroniques dont ils assurent la transmission.

Par dérogation, les dispositions contestées de son paragraphe III ont prévu, dans leur version antérieure à leur modification par la loi n° 2021-998 du 30 juillet 2021 relative à la prévention d'actes de terrorisme et au renseignement, que ces opérateurs peuvent être tenus de conserver certaines catégories de données de connexion. Au nombre de ces données figurent les données de trafic, en vue de leur mise à disposition de l'autorité judiciaire pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales.

Les critiques formulées contre ces dispositions

Les requérants, rejoints par les parties intervenantes, reprochaient à ces dispositions d'imposer aux opérateurs de communications électroniques la conservation générale et indifférenciée des données de connexion, sans la réserver à la recherche des infractions les plus graves ni la subordonner à l'autorisation ou au contrôle d'une juridiction ou d'une autorité indépendante. L'une des parties intervenantes ajoutait qu'une telle conservation n'était pas nécessaire en raison de l'existence d'autres moyens d'investigation. Il en aurait résulté une atteinte disproportionnée au droit au respect de la vie privée, ainsi qu'une méconnaissance du droit de l'Union européenne.

Le contrôle des dispositions faisant l'objet de la QPC

Par sa décision de ce jour, le Conseil constitutionnel rappelle que la liberté proclamée par l'article 2 de la Déclaration des droits de l'homme et du citoyen de 1789 implique le droit au respect de la vie privée.

En vertu de l'article 34 de la Constitution, il appartient au législateur de fixer les règles concernant les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques. Il lui incombe d'assurer la conciliation entre, d'une part, les objectifs de valeur constitutionnelle de sauvegarde de l'ordre public et de recherche des auteurs d'infractions et, d'autre part, le droit au respect de la vie privée.

À cette aune, le Conseil constitutionnel juge que, en adoptant les dispositions contestées, le législateur a poursuivi les objectifs de valeur constitutionnelle de prévention des atteintes à l'ordre public et de recherche des auteurs d'infractions.

Toutefois, en premier lieu, le Conseil constate que les données de connexion conservées en application des dispositions contestées portent non seulement sur l'identification des utilisateurs des services de communications électroniques, mais aussi sur la localisation de leurs équipements terminaux de communication, les caractéristiques techniques, la date, l'horaire et la durée des communications ainsi que les données d'identification de leurs destinataires. Compte tenu de leur nature, de leur diversité et des traitements dont elles peuvent faire l'objet, ces données fournissent sur ces utilisateurs ainsi que, le cas échéant, sur des tiers, des informations nombreuses et précises, particulièrement attentatoires à leur vie privée.

En second lieu, le Conseil relève que, d'une part, une telle conservation s'applique de façon générale à tous les utilisateurs des services de communications électroniques et que, d'autre part, l'obligation de conservation porte indifféremment sur toutes les données de connexion relatives à ces personnes, quelle qu'en soit la sensibilité et sans considération de la nature et de la gravité des infractions susceptibles d'être recherchées.

De l'ensemble de ces motifs, le Conseil constitutionnel déduit que, en autorisant la conservation générale et indifférenciée des données de connexion, les dispositions contestées portent une atteinte disproportionnée au droit au respect de la vie privée.

Après avoir relevé que les dispositions déclarées contraires à la Constitution ne sont plus en vigueur, le Conseil constitutionnel juge que la remise en cause des mesures ayant été prises sur le fondement de ces dispositions méconnaîtrait les objectifs de valeur constitutionnelle de sauvegarde de l'ordre public et de recherche des auteurs d'infractions et aurait ainsi des conséquences manifestement excessives. Par suite, il juge que ces mesures ne peuvent être contestées sur le fondement de cette inconstitutionnalité.

vivien · « **Réponse #58 le:** 28 février 2022 à 15:12:43 »

Maintenant la problématique est que la décision du Conseil constitutionnel concerne l'ancienne version de l'article L34-1 du Code des postes et des communications électroniques.

La nouvelle version de l'article L34-1 du CPCE en vigueur depuis le 1er août 2021 n'est pas impacté directement par la décision du Conseil constitutionnel, selon Matthieu Audibert, officier de gendarmerie et doctorant en droit privé et sciences criminelles :

Le Conseil constitutionnel censure les dispositions permettant la conservation généralisée et indifférenciée des #données de connexion qui étaient en vigueur jusqu'au 30 juillet 2021.

Dans sa décision, le Conseil constitutionnel semble s'aligner sur la position de la CJUE dans son arrêt Quadrature du net (principe: pas de conservation généralisée et indifférenciée). Toutefois

dans son arrêt Quadrature du Net, la CJUE prévoit une exception: la menace grave pour la sécurité nationale https://curia.europa.eu/juris/document/document.jsf;jsessionid=B9624AFA74C22B84B6D7328A37A84907?text=&docid=232084&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=1227820

Exception prise en compte par le Conseil d'État dans sa décision French Data Network https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2021-04-21/393099

Exception prise en compte par le législateur dans l'article L34-1 du CPCE qui est en vigueur depuis le 1er août 2021 et qui n'est pas impacté directement par la décision du Conseil constitutionnel. https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000043887545

Conclusion: c'est l'ancien système de conservation généralisée et indifférenciée des données de connexion qui est déclaré inconstitutionnel.

Cette déclaration d'inconstitutionnalité ne peut être utilisée pour les procédures pénales en cours au titre des objectifs de valeur constitutionnelle de sauvegarde de l'ordre public et de recherche des auteurs d'infractions, en raison des conséquences manifestement excessives.

Perspectives: quid du nouvel article L. 34-1 du CPCE. La question est ouverte..

La balle est maintenant dans le camp de la chambre criminelle de la Cour de cassation, au titre du principe de primauté du droit de l'UE...

Source : Twitter de Matthieu Audibert, le 25 février 2022

Free_me · « **Réponse #59 le:** 28 février 2022 à 15:19:01 »

d'un autre coté, l'interet de proposer du wifi public en 2022 me semble tres limité.