Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

CJUE : les adresses IP dynamiques sont des données personnelles
Et peuvent donc être sujettes aux droits de protection des données

Le , par Stéphane le calme

0PARTAGES

8  0 
Mise à jour du 22 / 10 / 2016 : la CJUE estime que les adresses IP dynamiques doivent être considérées comme des données personnelles

La Cour de justice de l’union européenne a confirmé l’avis de l’un de ses avocats généraux, Campos Sánchez-Bordona, qui a estimé que les adresses dynamiques IP font partie des données personnelles des utilisateurs. Par conséquent, elles peuvent être sujettes au droit des protections des données.

Sur la seconde question posée à la CJUE quant à l’interprétation de l’article 7 de la Directive 95/46/CE sur le Traitement des données à caractère personnel, la CJUE a avancé que « le traitement de données à caractère personnel est licite s’’il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée” ».

Source : CJUE

De nombreuses institutions publiques allemandes ont des portails internet accessibles au public sur lesquels elles fournissent des informations actualisées. Les autorités soutiennent que, afin de se prémunir contre les attaques et de rendre possibles les poursuites pénales contre les pirates, la plupart de ces portails enregistrent toutes les consultations dans des fichiers ou registres de protocole. Y sont conservés, y compris après la fin de la session, le nom du site ou du fichier consulté, les termes entrés dans les champs de recherche, la date et l’heure de la consultation, le volume des données transférées, la constatation du succès de la consultation et l’adresse IP de l’ordinateur à partir duquel la consultation a été faite.

Patrick Breyer, qui a consulté plusieurs des sites mentionnés, a intenté un procès contre le gouvernement allemand. Dans son recours, il a demandé à ce que la République fédérale d’Allemagne soit condamnée à cesser d’enregistrer ou de faire enregistrer par des tiers l’adresse IP du système hôte à partir duquel la consultation a eu lieu, dans la mesure où cela n’est pas nécessaire aux fins du rétablissement de la disponibilité du média électronique en cas de dérangement.

Il est convaincu qu’il devrait exister un droit de naviguer sur internet de façon anonyme si telle est la volonté de l’utilisateur. Si les éditeurs de sites traquent les activités des utilisateurs pour des raisons commerciales, mais également pour améliorer l’expérience utilisateur sur le site, ces données sont également fournies aux forces de l’ordre lorsqu’elles en émettent la demande via le canal judiciaire.

« Interdire aux gouvernements et aux géants de l’internet d’établir des enregistrements identifiables de nos habitudes en ligne est le seul moyen de protéger efficacement nos intérêts et vies privés, pour prévenir les avis d’infraction erronés ainsi que les faux soupçons. Les adresses IP se sont révélées être extrêmement sujettes à erreur et non fiables pour ce qui concerne l’identification des utilisateurs. Aussi longtemps que la navigation sur internet pourra donner lieu à des poursuites, il n’y aura pas de réelle liberté d'information et d'expression en ligne », a-t-il déclaré.

Et de poursuivre en disant « personne n’a le droit d’enregistrer ce que nous faisons et disons en ligne. La génération internet a le droit d’avoir accès à l’information en ligne de la même façon que nos parents écoutent la radio ou lisent les journaux sans surveillance et sans inhibition ».

Son recours a été rejeté en première instance. Il a toutefois été partiellement fait droit à son recours en appel, la République fédérale ayant été condamnée à cesser l’enregistrement après la fin de chaque session. L’ordre de cessation a été subordonné au fait que le requérant ait fourni ses données à caractère personnel pendant une session, y compris sous la forme d’une adresse électronique, et au caractère non nécessaire de l’enregistrement aux fins du rétablissement de la disponibilité du média électronique.

Deux questions ont été posées aux deux parties, notamment :
  • l’article 2, sous a), de la directive 95/46/CE […] doit‑il être interprété en ce sens qu’une adresse de protocole internet (adresse IP) qui est enregistrée par un fournisseur de services à l’occasion d’un accès à son site internet constitue pour celui-ci une donnée à caractère personnel même si c’est un tiers (en l’occurrence, le fournisseur d’accès) qui dispose des informations supplémentaires nécessaires pour identifier la personne concernée ?
  • l’article 7, sous f), de la directive 95/46 s’oppose-t-il à une disposition de droit national en vertu de laquelle le fournisseur de services ne peut collecter et utiliser des données à caractère personnel afférentes à un utilisateur sans le consentement de celui-ci que dans la mesure où cela est nécessaire pour permettre et facturer l’utilisation concrète du média électronique par l’utilisateur en question et en vertu de laquelle la finalité consistant à garantir la capacité générale de fonctionnement du média électronique ne peut pas justifier l’utilisation des données après la fin de la session en cours ?

Pour Manuel Campos Sánchez-Bordona, avocat général de la Cour de justice européenne, « l’adresse IP dynamique doit être considérée comme étant une donnée à caractère personnel pour le fournisseur de services internet, compte tenu de l’existence d’un tiers (le fournisseur d’accès au réseau) auquel le premier peut raisonnablement s’adresser pour obtenir des informations supplémentaires qui, combinées à l’adresse IP dynamique, permettraient d’identifier un utilisateur ».

Concernant la seconde question, il précise tout d’abord que « avant de répondre, il convient d’apporter une précision sur l’information donnée par le Bundesgerichtshof (Cour fédérale de justice), selon laquelle les données litigieuses sont conservées afin de garantir le bon fonctionnement des sites internet en cause dans la procédure au principal, rendant le cas échéant possibles les poursuites pénales contre les attaques cybernétiques dont ces sites pourraient faire l’objet ». L’avocat général n’a pas précisé dans sa conclusion si les opérateurs de sites web pouvaient retenir les adresses IP des visiteurs ou si le droit à la confidentialité des utilisateurs devait prévaloir.

« L’article 7, sous f), de la directive 95/46 doit être interprété en ce sens que l’objectif visant à garantir le fonctionnement du média électronique peut, en principe, être considéré comme un intérêt légitime, dont la réalisation justifie le traitement de cette donnée à caractère personnel, pour autant qu’il prévale sur l’intérêt ou les droits fondamentaux de la personne concernée. Une disposition nationale qui ne permettrait pas de prendre en compte cet intérêt légitime ne serait pas conforme à la disposition précitée », a-t-il estimé.

Breyer estime que la Commission européenne gagnerait à agir plus rapidement à voter des lois qui protègent la vie privée en ligne : « la Commission devrait modifier la législation européenne pour interdire expressément tout enregistrement de masse de notre utilisation d'internet par les opérateurs de site. L'Europe devrait rejeter l’impitoyable méthode de la NSA qui consiste à « recueillir tout » et de faire respecter notre droit à la liberté d'information et d'expression à l'ère numérique [...] Ce harcèlement internet est à peu près aussi utile que d'accrocher une caméra de vidéo-surveillance à côté d'une porte de l'entrepôt ouvert. Nous avons besoin de sécuriser les systèmes informatiques, pas un soupçon général porté sur 400 millions d'utilisateurs d'internet en Europe ».

Source : CJUE

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Marwindows
Membre confirmé https://www.developpez.com
Le 17/05/2016 à 14:17
L’intérêt de journaliser les adresses IP ce n'est pas seulement pour faire joli ...
C'est en grande partie pour pouvoir constater quand et comment sont survenues telle ou telle attaque, ou encore dans le cadre d'enquête policière.

Dans tous les cas ... même si le site ne journalisait pas les adresses IP... il n’échapperait pas à BigBrowser

D'autant que le FAI sait exactement ce que fait son abonné ... donc non ... il n'y a pas de solution miracle pour avoir de l'anonymat ... à moins de s'appeler Shrek et de kiffer
manger des .onion
2  0 
Avatar de pmithrandir
Expert confirmé https://www.developpez.com
Le 24/10/2016 à 12:12
Citation Envoyé par Marwindows Voir le message
Chiffrage ou non, les IP ne sont ni plus ni moins qu'une toile araignée, on part de l'extrémité de la toile, pour arriver à un moment au dernier point, ta machine.
Un VPN chiffré rallonge le travail d'enquêteur, mais je te rassure, si l'on souhaite te retrouver, un vpn t'assurera juste un peu plus de temps ^^
C'est sur, meme si officiellement les logs sont detruits, je suis sur qu'avec de la motivation, on te retrouve.
Ok, ca sera peut etre employé que dans des cas ultra grave, mais a mon avis, c'est pas une mafia qui va te protéger au dela d'un certain point.

Dailleur, je ne serais pas étonné du tout que la CIA ou les services secrets soient derrière certains des VPN fournissant ce genre de service d'anonymat. Histoire d'être sur de bien voir les trucs passer.
J'aurai fait ca a leur place, parce que quand il sagit de secu nationale, je pense qu'ils s'en foutent des major de la musique et des films téléchargés...

Pour le sujet des IP, je trouve que c'est pas super pratique. Que l'IP soient ou non fiable est a mon avis un faux problème, dans le sens ou celle ci est quand meme la source de donnée la plus rapide... dans 99% des cas.
Je travaille sur un sujet dans ce domaine, et il y a des cas auxquels on ne pensent pas :
- l'ado qui dit qu'il va se suicider sur un forum... et qu'on retrouve en qq millisecondes meme après qu'il ne soit deconnecté.
- la personne qui spam / hack... parce qu'il a un virus, botnet, etc... (95% des problèmes reportés)
- du harcelement par des débiles qui se cachent pas.
- ...

Tous ceux la, on les retrouve avec un système simple, plutot au service du plus grand nombre. Priver les autorités ou les fournisseurs de ce genres de services pour garantir un anonymat me semble super bancal.
2  0 
Avatar de blbird
Membre expérimenté https://www.developpez.com
Le 24/10/2016 à 10:34
C'est loin d'être aussi simple de récupérer une IP. Tout dépend du gestionnaire VPN, certains sont bien meilleurs que d'autres et garantissent de ne pas stocker les IP plus que quelques jours au maximum, et en fonction des pays, il peut être impossible même pour la France et/ou un juge d'instruction de demander quoi que ce soit. Après ca se paye en temps de réponse à l'utilisation, évidemment.
1  0 
Avatar de LSMetag
Expert confirmé https://www.developpez.com
Le 17/05/2016 à 15:07
Citation Envoyé par Marwindows Voir le message
L’intérêt de journaliser les adresses IP ce n'est pas seulement pour faire joli ...
C'est en grande partie pour pouvoir constater quand et comment sont survenues telle ou telle attaque, ou encore dans le cadre d'enquête policière.

Dans tous les cas ... même si le site ne journalisait pas les adresses IP... il n’échapperait pas à BigBrowser

D'autant que le FAI sait exactement ce que fait son abonné ... donc non ... il n'y a pas de solution miracle pour avoir de l'anonymat ... à moins de s'appeler Shrek et de kiffer
manger des .onion
Si tu es derrière un VPN chiffré, on verra l'adresse de ton VPN. Souhaite ensuite bonne chance pour savoir chez quel fournisseur se tourner et pour qui (sauf si cet utilisateur laisse trainer ses vraies coordonnées).
0  0 
Avatar de Marwindows
Membre confirmé https://www.developpez.com
Le 17/05/2016 à 15:27
Chiffrage ou non, les IP ne sont ni plus ni moins qu'une toile araignée, on part de l'extrémité de la toile, pour arriver à un moment au dernier point, ta machine.
Un VPN chiffré rallonge le travail d'enquêteur, mais je te rassure, si l'on souhaite te retrouver, un vpn t'assurera juste un peu plus de temps ^^

Si tu as l'ip d'une machine, tu sais que ... c'est cette machine qui a effectué la requête.
Si cette même machine n'est finalement qu'un "relay" chiffré, alors tu auras quand même une liste d'ip qui a transité par celui-ci ...
Aussi tu pourras suspecter chacune de ces adresses, et faire le même travail, jusqu'à remonter à la source.

Donc non, le VPN ne garantit aucunement un anonymat.

Bien entendu, c'est mon avis "personnel" sur la question

Si tu veux vraiment t'assurer l'anonymat, tu passes par un réseau public depuis ta fourgonnette, en utilisant une antenne longue portée (alfa) et de là, tu utilises un VPN
1  1 
Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 23/10/2016 à 12:46
Citation Envoyé par Marwindows Voir le message
Chiffrage ou non, les IP ne sont ni plus ni moins qu'une toile araignée, on part de l'extrémité de la toile, pour arriver à un moment au dernier point, ta machine.
Un VPN chiffré rallonge le travail d'enquêteur, mais je te rassure, si l'on souhaite te retrouver, un vpn t'assurera juste un peu plus de temps ^^

Si tu as l'ip d'une machine, tu sais que ... c'est cette machine qui a effectué la requête.
Si cette même machine n'est finalement qu'un "relay" chiffré, alors tu auras quand même une liste d'ip qui a transité par celui-ci ...
Aussi tu pourras suspecter chacune de ces adresses, et faire le même travail, jusqu'à remonter à la source.

Donc non, le VPN ne garantit aucunement un anonymat.
Et comment tu obtiens la liste des ips ayant transité par un vpn?
0  0 
Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 24/10/2016 à 10:43
Citation Envoyé par Marwindows Voir le message
En demandant tout simplement au gestionnaire du VPN, et sur présentation d'un mandat de te fournir les logs de transit.
Ou carrément de mettre en place le stockage des ip dans des logs s'il ça n'est pas fait.
Et avec quelle autorité? Tu crois qu'un juge français pourra contraindre le fournisseur de mon VPN basée au panama?

Citation Envoyé par Marwindows Voir le message

En générale les ip sont loguées mon ami ...
Non pas toujours. Certains fournisseurs de VPN son sans logs (difficile à vérifier mais on peut penser que dans le lot y en a qui le font vraiment).

Citation Envoyé par Marwindows Voir le message

sinon comment l'administrateur de la machine qui fait office de VPN pourrait se prémunir d'attaques ^^
Je ne vois pas le rapport.
0  0 
Avatar de Marwindows
Membre confirmé https://www.developpez.com
Le 24/10/2016 à 10:52
@benjani13
Je parle en mon nom propre ...
Mais je logue les ip qui se connectent sur mon serveur de manière à détecter un DDOS ou autre attaque de masse, afin de pouvoir bannir certaines IP ou carrément certain range IP
D'autant que d'autre outil comme FAIL2BAN ont besoin de ces logs

Pour ce qui est du reste de tes interrogations, je pense que dans le cadre d'enquêtes internationales tout est possible, mais je doute que pour des besoins locaux ...
Ou bien si NKM passe au pouvoir et décide de mettre en place son fameux projet de backdoor sur toutes les machines ... tu ne sois vraiment surveillé
0  0 
Avatar de Meetoo
Membre à l'essai https://www.developpez.com
Le 19/08/2017 à 12:14
On voit bien qu'il y a des constations à tirer de l'article:
L'anonymat reste encore un enjeu majeur, l'internaute veut se protéger car lui même demeure vulnérable à d'éventuelles attaques, de sa part les institutions veulent garder toutes les traces par peur de risque de piratage ou vol de données ou même d'un côté sécuritaire. La recommandation à propos de ces IP dynamiques ne fait que rallonger ce débat.
D'autre part, dire que le VPN rallonge juste un peu le temps de recherche pour retrouver l'adresse IP réelle n'est pas une affirmation qui prend place, avec tous les tests réalisés par des gens du métier, le chiffrage du VPN de bout en bout est une technique infaillible pour garder son anonymat.
Le réseau Usenet apparu il y a plusieurs années déjà a subi lui même des
attaques et des campagnes pour l'éliminer complètement de la toile, mission réussie quelque temps seulement puisqu'il reprend service de plus beau et concurrence même les VPN et logiciels de protection de données.
0  0 
Avatar de Marwindows
Membre confirmé https://www.developpez.com
Le 24/10/2016 à 9:12
En demandant tout simplement au gestionnaire du VPN, et sur présentation d'un mandat de te fournir les logs de transit.
Ou carrément de mettre en place le stockage des ip dans des logs s'il ça n'est pas fait.
En générale les ip sont loguées mon ami ... sinon comment l'administrateur de la machine qui fait office de VPN pourrait se prémunir d'attaques ^^
0  1 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web