Bonjour à tous,
Petite question de légalité autour de l'adresse IP.
Tout d'abord en France l'IP est considérée comme une donnée personnelle, par conséquent nous sommes censés demander l'autorisation de l'utilisateur pour "collecter" cette donnée.
Toutefois nous avons également l'obligation légale dans la LCEN de stocker pendant 1 an les logs de nos serveurs (visites sur les sites, connexion aux services mails, etc).
Or nous ne pouvons pas d'un côté collecter automatiquement les IP des visiteurs et en même temps demander l'autorisation… Déjà ne serait ce que pour les bots, mais cela impliquerait de bloquer au niveau serveur les visites des personnes en les renvoyant d'abord sur un formulaire d'acceptation de collecte si ils sont Européens…
Autre point, quand je ban une IP via fail2ban je renvoie l'info sur un site centralisé pour ensuite propager ce blocage à l'ensemble de mes serveurs. Si une IP est bannie + de 5x elle est blacklistée de façon permanente. Les "events" de ban sont conservés 1 mois.
Mais là encore il s'agit d'IP, donc de données personnelles, donc d'autorisation préalable de collecte… Monsieur le pirate svp m'autorisez vous à enregistrer vos attaques informatique sur mes serveurs ?
Bref quel est votre point de vue là dessus, entre la LCEN et la RGPD notamment.
Quelles sont les solutions techniques que vous avez mit en place par rapport à ça ? Un formulaire par site n'est pas envisageable vu que je suis sysadmin et que ce sont les clients qui gèrent les sites pas moi. Et de toute façon cela ne fonctionne pas avec les bots ou sur des services mails / ftp / sftp…
@Sich
> Toutefois nous avons également l'obligation légale dans la LCEN de stocker pendant 1 an les logs de nos serveurs (visites sur les sites, connexion aux services mails, etc).
Pour information sur la durée de rétention :
> Extrait :
Nous appelons tous les hébergeurs à rejeter cette pratique illicite et à se conformer au droit de l'Union européenne : à ne retenir aucune données de connexion concernant leurs utilisateurs pour une durée supérieure à 14 jours.
Source : https://www.laquadrature.net/fr/requisition_mamot
Info intéressante. Je sais que certains pays ont déjà fait marche arrière sur la rétention de données, je savais aussi que des recours étaient en cours en France.
Mais je ne savais pas que juridiquement on pouvait ne retenir que 14 jours sans risquer des problèmes.
14 jours c'est de suite bien plus intéressant, que ce soit techniquement (ça prend de la place ces trucs) et éthiquement (enregistrer ce que font mes clients pendant 1 an ne plaît pas du tout).
Du coup c'est bien plus cohérent avec la RGPD qui interdit d'enregistrer les utilisateurs sans leur accord.
Je me permet de citer cette page, trouvée également sur le site de la quadrature qui date de juillet 2018 : <br />https://www.legifrance.gouv.fr/affichJuriAdmin.do?oldAction=rechJuriAdmin&idTexte=CETATEXT000037253929&fastReqId=1863567356&fastPos=1<br /><br />Actuellement le gouvernement refuse toujours de supprimer les obligations d'enregistrement des informations de connexion. Il est dit notamment : <br />[quote]Article 2 : Il est sursis à statuer sur la requête de French Data Network, la Quadrature du net et la Fédération des fournisseurs d'accès à Internet associatifs, jusqu'à ce que la Cour de justice de l'Union européenne se soit prononcée sur la question suivante [/quote]<br /><br />Par conséquent à ce jour moi petit hébergeur et sysadmin si je refuse d'enregistrer toutes les communications de mes clients je risque quand même de me retrouver en guerre avec la justice Française qui considère toujours à ce jour que j'ai l'obligation de surveiller mes clients. <br />Et même si je devais gagner au niveau Européen après de longues procédures je ne doute pas un seul instant de l'acharnement juridique dont pourrait faire preuve la justice et l'exécutif Français (surtout l'actuel) qui n'apprécie pas du tout que l'on essaie de remettre en cause ses pleins pouvoirs. <br /><br />La quadrature du net a toute une armée d'avocat, pas moi. Et tant qu'au niveau Français ces obligations légales n'auront pas été clairement supprimée je continuerai de pratiquer cette surveillance généralisée, même si elle est contraire au droit européen. <br /><br />Ce qui fait qu'actuellement en France nous avons 2 obligations légales totalement contradictoires. L'une d'obtenir le consentement des utilisateurs de nos services avant d'enregistrer leurs données de connexions (impossible à mettre en oeuvre de façon pratique), et de l'autre la LCEN qui nous imposes d'enregistrer tout un tas de données que le visiteur soit d'accord ou pas... <br /><br />L'avis du service juridique d'OVH serait le bienvenu :)
Êtes-vous sûr que l'IP est une donnée personnelle ?
1- il est impossible de rattacher directement une IP à une personne (je veux dire par là, que ça n'est pas comme une adresse postale, ou un téléphone)
2- les IP ne sont pas toutes fixes
J'avais suivi une formation RGPD, et la question avait été clairement tranchée. L'IP n'est pas une donnée personnelle.
Ce qui me paraissait logique… je ne me voyais pas demander à tous les pirates, robots, abrutis… leur autorisation avant d'enclancher les blocages
le première fois que j'entends ça, c'est une formation qui énonce cela?
un Fai est tenu de fournir l'abonné ayant l'ip correspondant à un moment donné, ip dynamique ou pas, sinon comme ferait l'hadopi?
https://www.cnil.fr/fr/ladresse-ip-est-une-donnee-caractere-personnel-pour-lensemble-des-cnil-europeennes
Bonjour,
pour ma part j'ai entendu que effectivement l'adresse IP est une donnée perso et nécessite un consentement si elle est utilisé à des fins de statistiques. Par contre si elle est utilisé à des fins "technique" (détection attaque/intrusion etc…) il faut juste le mentionner obligatoirement sur le site 'usage qui est fait (pas besoin de consentement).
Aussi outre la LCEN, pour le RGPD il faut redemander tous les an le consentement pour continuer à conserver des données personnels du coup est-ce que c'est pas respecter à la fois la LCEN et le RGPD que de conserver les logs 12mois (à condition de pas les utiliser pour des stats sauf à anonymiser les IPs) ??
Cordialement, janus57
L'IP est bien à considérer comme une info perso vu qu'elle permet d'identifier de manière indirecte une personne : https://www.1avocat.com/l—adresse-ip–une-donnee-a-caractere-personnel_ad26.htmlavocat.com/l—adresse-ip–une-donnee-a-caractere-personnel_ad26.html
Pour la conservation des données c'est interdit au delà d'un an par la LCEN.
Pour ma part je considère que l'on peut enregistrer les accès visiteurs sans accord des visiteurs malgré la RGPD tant que l'on ne fait aucun traitement avec ces données. Juste du stockage pour des raisons de contrainte juridique.
Je m'interroge sur les stats awstats vu qu'elles utilisent l'IP pour avoir le pays d'origine, mais que l'IP n'est pas conservée dans les stats. A la base il y'a tout de même un traitement des infos de connexion pour sortir les stats…
Donc à voir si je mets fin aux stats ou pas. Vu que je ne peux pas contrôler si tous les sites de tous mes clients précisent bien que les connexions sont logguées et que des stats sont faites avec.
Ovh a bien des logs sur les hébergements?
je ne sais pas jusqu'à quelle date ils remontent, mais Ovh ne se pose pas de questions?
Je pense qu'OVH se pose bien la question et a un service juridique qui sait ce qu'il fait.
Pour ça que j'aurai aimé avoir un retour d'OVH sur ce point 
On en arrive à un délire total.
Dans le lien donné, c'est assez drôle, car ça protège une société concurrente qui peut accéder de façon malveillante…
Je m'interroge sur les stats awstats vu qu'elles utilisent l'IP pour avoir le pays d'origine, mais que l'IP n'est pas conservée dans les stats. A la base il y'a tout de même un traitement des infos de connexion pour sortir les stats…
On ne sait même plus ce qu'on a réellement droit de faire ou non. Dans le traitement des IPs a fin de stats pays, évidemment on prend l'IP originelle, mais on ne l'exploite pas en tant que telle. On en sort juste une donnée très générale (le pays).
C'est justement parce qu'on en arrive à un délire total que j'en suis à me poser ces questions…
Par exemple cet article sur l'anonymisation (et encore ça date d'avant la RGPD) qui impliquerait que l'anonymisation des stats n'est pas pertinente vu qu'on garde les logs d'origine…
https://www.1justice.com/articles/donnees-personnelles-anonymisation-pseudonymisation,26194.htmljustice.com/articles/donnees-personnelles-anonymisation-pseudonymisation,26194.html
[quote]
Dans le cas où un responsable de traitement transfère certaines données non identifiantes mais n’efface pas les données personnelles de ses systèmes, il doit être considéré que les données transmises constituent encore des données à caractère personnel, et ce même si les identifiants directs ont été supprimés.
[/quote]
> Dans le traitement des IPs… On en sort juste une donnée très générale (le pays).
humm:
```text
$_SERVER
Array
(
…
[GEOIP_LONGITUDE] => 4.
[GEOIP_LATITUDE] => 45.
[GEOIP_AREA_CODE] => 0
[GEOIP_DMA_CODE] => 0
[GEOIP_CITY] => Lyon
[GEOIP_REGION] => B9
[GEOIP_COUNTRY_NAME] => France
[GEOIP_COUNTRY_CODE] => FR
…
)
```
variable serveur apache chez ovh
et c'est bien plus précis que beaucoup de service alacon que je vois sur le net qui me sorte une localisation à Paris (je suis chez Free)
et maxmind a encore plus précis en payant
sans parler de Google qui géolocalise avec le ssid des wifi
Bonjour à tous,
Débat très intéressant auquel je me permets d'apporter ma modeste contribution.
Je rappelle pour la suite de mon explication que le RGPD est une directive de l'Union européenne et s'applique donc à l'ensemble de l'UE.
Sur la question de savoir s'il faut appliquer le droit français ou le droit européen, la réponse est simple. Le droit européen prévaut sur le droit français.
Pour bien comprendre, il suffit de prendre un exemple simple. Dans une entreprise, il existe souvent un règlement intérieur qui régit le fonctionnement de la société. Dans le cas ou un article de ce règlement irait en contradiction avec la loi française, c'est cette dernière qui s'applique.
Pour la durée de conservation des logs de nos serveurs, il faut savoir que la législation européenne à statuée sur le sujet et que la durée de conservation des logs pendant une durée de 14 jours n'est pas une obligation légale mais uniquement une recommandation. Il est tout à fait possible et légal de ne rien conserver du tout.
Concernant le RGPD, voici ce que dit le texte de loi sur le RGPD concernant la définition de la donnée personnelle :
> «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;
Pour les adresses IP est considéré ce qui suit :
> Les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu'elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de connexion («cookies») ou d'autres identifiants, par exemple des étiquettes d'identification par radiofréquence. Ces identifiants peuvent laisser des traces qui, notamment lorsqu'elles sont combinées aux identifiants uniques et à d'autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes.
Reste à voir si un filtrage firewall sur IP sans sauvegarde des logs de navigation constitue un manquement au RGPD.
Pour ceux intéressés, voici le lien vers le texte officiel sur le RGPD :
https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679
Hum, certes le droit Européen est "supra national", toutefois cela passe normalement par des transcriptions en droit local / national.
Concernant les logs apache c'est quasiment impossible d'avoir le consentement de l'utilisateur avant de commencer à logguer… Ou alors rediriger tous les visiteurs vers un vhost qui n'enregistre rien du tout, leur faire valider un formulaire, et de là les autoriser à aller ailleurs (check d'un cookies par exemple).
Or cela bloquerait tous les bots, notamment pour le référencement.
Reste la solution de ne RIEN enregistrer du tout, là aussi grande erreur, ne serait ce que pour des outils comme fail2ban.
Attention moi je parle en tant que sysadmin qui gère des serveurs pour ses clients et qui n'a pas du tout la main sur les sites… On a besoin pour des raisons techniques et de sécurité d'enregistrer tout un tas de chose, même pour au minimum quelques jours.
Par exemple je trouve ça dans le texte qui autoriserait la collecte d'IP en vertu de la LCEN : la partie 40, voir 45 et tout un tas d'autres d'ailleurs.
En gros on s'assoit sur le consentement préalable quand c'est pour répondre à d'autres obligations légales. Comme quoi ce texte est une belle bêtise, l'Etat se donne le Droit de ne pas tenir compte de la protection des données personnelles…
Les obligations c'est juste pour le Citoyen qui doit s'écraser et obéir…
La partie 49 dit également qu'on a le droit de logguer pour sécuriser nos systèmes.
En gros pour nous autres sysadmin quasiment rien ne change. Nous avons l'obligation légale d'enregistrer nos clients, et nous avons le droit d'enregistrer pour sécuriser nos systèmes…
C'est aux webmaster de se prendre la tête avec toutes ces nouvelles obligations…
Pour info une réponse de la CNIL a quelques questions que je leur ai posé :
Selon le Règlement européen sur la protection des données (RGPD), le consentement de la personne dont des données sont enregistrées dans un fichier n'est pas nécessaire lorsque ces données sont collectées :
Pour l'exécution d'un contrat (Ex : contrat de vente, de location, de travail, etc.) ou de mesures précontractuelles (ex : un devis, des pourparlers, etc.).
Parce qu'un texte légal rend obligatoire certains fichiers (ex : le recensement de la population par l'INSEE, le registre unique du personnel, etc.).
Pour l'exécution d'une mission d'intérêt public ou relevant de l'autorité publique (ex : constitution de fichiers de police, de l'administration fiscale, etc.).
Pour sauvegarder les intérêts vitaux d'une personne (ex : en cas d'épidémie, dans les situations de catastrophe naturelle ou d'origine humaine, etc.).
Pour un intérêt légitime (ex : la prévention de la fraude, les transferts au sein d'un groupe, la sécurité des réseaux, etc.) sauf si les intérêts ou les libertés fondamentales de la personne concernée prévalent.
En dehors de ces cas, le consentement de la personne concernée est obligatoire. C'est le consentement qui confère alors au fichier projeté son caractère licite.
merci du retour
Donc en gros je résume par rapport à mes recherches :
- on a parfaitement le droit de collecter les IP dans le cadre de la LCEN puisque c'est une obligation légale.
- Il est possible de faire des stats sous réserve d'anonymisation (par exemple awstats).
- Il est possible d'enregistrer à des fins de sécurité les IP lors d'attaque informatique.
Et tout ça sans avoir le consentement préalable des visiteurs.
Bien entendu cela implique de ne pas faire usage des fichiers de logs des serveurs à des fins commerciales ou qui iraient plus loin que la simple collecte pour l'application de la LCEN.
Merci a toi pour toutes les infos. C'est maintenant plus clair.