Appréhender la conservation des logs en entreprise

A l'origine obligation contextuelle liée aux conséquences du 11 septembre 2001, la conservation des logs est devenue aujourd'hui une obligation permanente. Les entreprises, sous certaines conditions, y sont également soumises.

Établie par la Loi sur la Sécurité Quotidienne de 2001, l'obligation de conservation des logs ne concernait originellement que les FAI pour une période d'une année, soumise à l'anonymisation des données relatives à la communication. Les fournisseurs d'accès à Internet pouvaient être soumis à l'obligation de les mettre à disposition de l'autorité judiciaire.

De temporaire, cette mesure, après avoir été prolongée jusqu'à fin 2005 grâce au projet de Loi sur la Sécurité Intérieure, a été rendue pérenne par la Loi Pour la Sécurité intérieure adoptée le 18 mars 2003.

D'autre part, l'amendement Estrosi et la loi du 23 janvier 2006 relative à la Lutte contre le terrorisme, ont permis aux services de police d'avoir accès aux logs de connexion, sans contrôle judiciaire. Dans le même temps, la loi pour la confiance dans l'économie numérique (2004) obligeait à conserver les informations permettant d'identifier le déposeur d'un contenu.

Cette évolution des règles juridique en la matière s'est accompagnée d'une extension des personnes concernées. Alors qu'en 2001, il ne s'agissait que des opérateurs de télécommunication. Sont concernés aujourd'hui tous les fournisseurs d'accès à des services de communication tels que cybercafés, hotels, bibliothèques et connexions Wi-Fi.

Dans les entreprises, la CNIL a considéré en 2005 que les services fournis pour les seuls salariés de l'Entreprise n'étaient pas assujettis à la conservation des logs, sauf dans le cas des accès fournis à des filiales. L'arrêt de la cour d'appel de Paris du 4 février 2005, représente cependant une jurisprudence isolée dans laquelle BNP Paribas a été tenue de fournir ce type d'informations.

Depuis 2006, obligation est faite aux FAI de conserver les données techniques dans une finalité de recherche, poursuite et infraction pénales, qui peut faire l'objet d'une réquisition des services de police sans autorisation judiciaire.

Une non-conservation impliquerait des sanctions pénales, tout comme un non-respect de la durée minimale (qui varie en fonction des finalités) où de l'anonymisation des données. On s'aperçoit ainsi que la France a devancé les Etats-Unis en matière de possibilités de réquisition des informations de connexion.

En ce qui concerne le respect de la vie privée dans l'entreprise, l'ouverture de fichiers d'un salarié est possible sous réserve d'une déclaration préalable à la CNIL. Dans le respect des correspondances privées. En effet, la jurisprudence Nikon interdit de consulter les fichiers privés du salarié.

Celle-ci à été révisée en 2005 : il est aujourd'hui possible d'ouvrir ces fichiers en requérant la présence du salarié ou en l'informant. Ce qui ne s'applique pas aux cas de risque ou événement particulier (terrorisme / pédophilie).

Les coûts de fourniture de logs sont pris en charge par la justice ou la police, sur présentation des factures.

Tribune réalisée dans le cadre d'un séminaire organisé par Wallix