Traçabilité et journalisation des accès internet

On Thu, 11 Dec 2003 23:01:51 +0100, HLM <hlm@club-internet.fr> wrote:

Voici mes questions :
Quelles sont les obligations d'un administrateur réseau quant aux
journaux
des connexion internet (logs) pour un espace en accès libre (établissment
scolaire). Si ces logs sont vraiment obligatoires, quels renseignements
doivent-ils précisément contenir pour être recevable et durant combien de
temps ?

Code des P&T

Article L32

[...]
15º Opérateur :
On entend par opérateur toute personne physique ou morale exploitant un
réseau de télécommunications ouvert au public ou fournissant au public un
service de télécommunications.

Article L32-3-1

I. - Les opérateurs de télécommunications, et notamment ceux mentionnés
à l'article 43-7 de la loi nº 86-1067 du 30 septembre 1986 précitée, sont
tenus d'effacer ou de rendre anonyme toute donnée relative à une
communication dès que celle-ci est achevée, sous réserve des dispositions
des II, III et IV.
II. - Pour les besoins de la recherche, de la constatation et de la
poursuite des infractions pénales, et dans le seul but de permettre, en
tant que de besoin, la mise à disposition de l'autorité judiciaire
d'informations, il peut être différé pour une durée maximale d'un an aux
opérations tendant à effacer ou à rendre anonymes certaines catégories de
données techniques. Un décret en Conseil d'Etat, pris après avis de la
Commission nationale de l'informatique et des libertés, détermine, dans
les limites fixées par le IV, ces catégories de données et la durée de
leur conservation, selon l'activité des opérateurs et la nature des
communications ainsi que les modalités de compensation, le cas échéant,
des surcoûts identifiables et spécifiques des prestations assurées à ce
titre, à la demande de l'Etat, par les opérateurs.
III. - Pour les besoins de la facturation et du paiement des
prestations de télécommunications, les opérateurs peuvent, jusqu'à la fin
de la période au cours de laquelle la facture peut être légalement
contestée ou des poursuites engagées pour en obtenir le paiement,
utiliser, conserver et, le cas échéant, transmettre à des tiers concernés
directement par la facturation ou le recouvrement les catégories de
données techniques qui sont déterminées, dans les limites fixées par le
IV, selon l'activité des opérateurs et la nature de la communication, par
décret en Conseil d'Etat pris après avis de la Commission nationale de
l'informatique et des libertés.
Les opérateurs peuvent en outre réaliser un traitement de ces données
en vue de commercialiser leurs propres services de télécommunications, si
les usagers y consentent expressément et pour une durée déterminée. Cette
durée ne peut, en aucun cas, être supérieure à la période correspondant
aux relations contractuelles entre l'usager et l'opérateur. Ils peuvent
également conserver certaines données en vue d'assurer la sécurité de
leurs réseaux.
IV. - Les données conservées et traitées dans les conditions définies
aux II et III portent exclusivement sur l'identification des personnes
utilisatrices des services fournis par les opérateurs et sur les
caractéristiques techniques des communications assurées par ces derniers.
Elles ne peuvent en aucun cas porter sur le contenu des correspondances
échangées ou des informations consultées, sous quelque forme que ce soit,
dans le cadre de ces communications.
La conservation et le traitement de ces données s'effectuent dans le
respect des dispositions de la loi nº 78-17 du 6 janvier 1978 relative à
l'informatique, aux fichiers et aux libertés.
Les opérateurs prennent toutes mesures pour empêcher une utilisation de
ces données à des fins autres que celles prévues au présent article.

Quelle est la responsabilité d'un administrateur réseau dans ce domaine ?

Article L39-3

I. - Est puni d'un an d'emprisonnement et de 75000 euros d'amende le
fait pour un opérateur de télécommunications ou ses agents :
1º De ne pas procéder aux opérations tendant à effacer ou à rendre
anonymes les données relatives aux communications dans les cas où ces
opérations sont prescrites par la loi ;
2º De ne pas procéder à la conservation des données techniques dans les
conditions où cette conservation est exigée par la loi.
Les personnes physiques coupables de ces infractions encourent
également l'interdiction, pour une durée de cinq ans au plus, d'exercer
l'activité professionnelle à l'occasion de laquelle l'infraction a été
commise.
II. - Les personnes morales peuvent être déclarées responsables
pénalement, dans les conditions prévues par l'article 121-2 du code pénal,
des infractions définies au I.
Les peines encourues par les personnes morales sont :
1º L'amende, suivant les modalités prévues par l'article 131-38 du code
pénal ;
2º La peine mentionnée au 2º de l'article 131-9 du code pénal, pour une
durée de cinq ans au plus ;
3º La peine mentionnée au 9º de l'article 131-39 du code pénal.
L'interdiction mentionnée au 2º de l'article 131-9 du code pénal porte
sur l'activité professionnelle dans l'exercice ou à l'occasion de
l'exercice de laquelle l'infraction a été commise.

Ceci étant dit, je ne crois pas qu'il n'y ait jamais eu de cas où les les
dispositions ci-dessus ont été appliquées à un "opérateur" comme un
cybercafé. Mais la loi est là...

Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/

Bonjour,

Jacques Caron <jc@imfeurope.com> a écrit le 12/12/03 à 00:18:35

> Quelles sont les obligations d'un administrateur réseau quant aux
> journaux des connexion internet (logs) pour un espace en accès
> libre (établissment scolaire). Si ces logs sont vraiment
> obligatoires, quels renseignements doivent-ils précisément
> contenir pour être recevable et durant combien de temps ?

II. - Pour les besoins de la recherche, de la constatation et de
la poursuite des infractions pénales, et dans le seul but de
permettre, en tant que de besoin, la mise à disposition de l'autorité
judiciaire d'informations, il peut être différé pour une durée
maximale d'un an aux opérations tendant à effacer ou à rendre anonymes
certaines catégories de données techniques. Un décret en Conseil
d'Etat, pris après avis de la Commission nationale de l'informatique
et des libertés, détermine, dans les limites fixées par le IV, ces
catégories de données et la durée de leur conservation, selon
l'activité des opérateurs et la nature des communications ainsi que
les modalités de compensation, le cas échéant, des surcoûts
identifiables et spécifiques des prestations assurées à ce titre, à la
demande de l'Etat, par les opérateurs.

Il me semble que justement ce décret n'a jamais été publié. Quelqu'un
pour confirmer (ou infirmer d'ailleurs) ?

--
Virginie Renoncé
Fichage policier : jusqu'à 42% d'erreurs. La CNIL se rebiffe :
http://www.transfert.net/a8712

"HLM" <hlm@club-internet.fr> a écrit dans le message de news:
3fd8e94d$0$6982$7a628cd7@news.club-internet.fr...

Bonjour,
Je suis administrateur de réseau en établissement scolaire et je cherche à
mettre mon réseau en conformité quant aux accès internet de tous les
utilisateurs.
Voici mes questions :
Quelles sont les obligations d'un administrateur réseau quant aux journaux
des connexion internet (logs) pour un espace en accès libre (établissment
scolaire). Si ces logs sont vraiment obligatoires, quels renseignements
doivent-ils précisément contenir pour être recevable et durant combien de
temps ?
Quelle est la responsabilité d'un administrateur réseau dans ce domaine ?
Merci
@+

Votre FAI s'occupe déjà des logs de cnx.
Pas besoin des vôtres.

"-<PooP>-" <goozuxTO_REMOVE@hotmail.com> a écrit dans le message de news:
brch09$rod$1@news-reader2.wanadoo.fr...

"HLM" <hlm@club-internet.fr> a écrit dans le message de news:
3fd8e94d$0$6982$7a628cd7@news.club-internet.fr...
> Bonjour,
> Je suis administrateur de réseau en établissement scolaire et je cherche

à

> mettre mon réseau en conformité quant aux accès internet de tous les
> utilisateurs.
> Voici mes questions :
> Quelles sont les obligations d'un administrateur réseau quant aux

journaux

> des connexion internet (logs) pour un espace en accès libre

(établissment

> scolaire). Si ces logs sont vraiment obligatoires, quels renseignements
> doivent-ils précisément contenir pour être recevable et durant combien

de

> temps ?
> Quelle est la responsabilité d'un administrateur réseau dans ce domaine

?

> Merci
> @+

Votre FAI s'occupe déjà des logs de cnx.
Pas besoin des vôtres.

Lorsque l'utilisateur d'une connexion ADSL est un lycée et que tous les
postes clients se trouvent placés derrière un parefeu et une passerelle que
voit le fournisseur ?

> Lorsque l'utilisateur d'une connexion ADSL est un lycée et que tous les
postes clients se trouvent placés derrière un parefeu et une passerelle

que

voit le fournisseur ?

Une seule adresse IP par ligne ADSL.

HLM wrote:

"-<PooP>-" <goozuxTO_REMOVE@hotmail.com> a écrit dans le message de news:
brch09$rod$1@news-reader2.wanadoo.fr...

"HLM" <hlm@club-internet.fr> a écrit dans le message de news:
3fd8e94d$0$6982$7a628cd7@news.club-internet.fr...

Bonjour,
Je suis administrateur de réseau en établissement scolaire et je cherche

à

mettre mon réseau en conformité quant aux accès internet de tous les
utilisateurs.
Voici mes questions :
Quelles sont les obligations d'un administrateur réseau quant aux

journaux

des connexion internet (logs) pour un espace en accès libre

(établissment

scolaire). Si ces logs sont vraiment obligatoires, quels renseignements
doivent-ils précisément contenir pour être recevable et durant combien

de

temps ?
Quelle est la responsabilité d'un administrateur réseau dans ce domaine

?

Merci
@+

Votre FAI s'occupe déjà des logs de cnx.
Pas besoin des vôtres.

Lorsque l'utilisateur d'une connexion ADSL est un lycée et que tous les
postes clients se trouvent placés derrière un parefeu et une passerelle que
voit le fournisseur ?

Le fournisseur ne voit qu'une seul machine, le firewall, qui est
d'ailleur la pour cacher les machines.
Les logs doivent donc être récupéré avant le firewall (ou par la
firewall si possible)

Nous sommes bien d'accord.
Le FAI ne peut pas remplir cette mission à ma place.
Les logs internes sont donc obligatoires.

"julien" <forum@no--Spam__the-last-dream.com> a écrit dans le message de
news: 3fdae235$0$17110$626a54ce@news.free.fr...

HLM wrote:
> "-<PooP>-" <goozuxTO_REMOVE@hotmail.com> a écrit dans le message de

news:

> brch09$rod$1@news-reader2.wanadoo.fr...
>
>>"HLM" <hlm@club-internet.fr> a écrit dans le message de news:
>>3fd8e94d$0$6982$7a628cd7@news.club-internet.fr...
>>
>>>Bonjour,
>>>Je suis administrateur de réseau en établissement scolaire et je

cherche

>
> à
>
>>>mettre mon réseau en conformité quant aux accès internet de tous les
>>>utilisateurs.
>>>Voici mes questions :
>>>Quelles sont les obligations d'un administrateur réseau quant aux
>
> journaux
>
>>>des connexion internet (logs) pour un espace en accès libre
>
> (établissment
>
>>>scolaire). Si ces logs sont vraiment obligatoires, quels renseignements
>>>doivent-ils précisément contenir pour être recevable et durant combien
>
> de
>
>>>temps ?
>>>Quelle est la responsabilité d'un administrateur réseau dans ce domaine
>
> ?
>
>>>Merci
>>>@+
>>
>>Votre FAI s'occupe déjà des logs de cnx.
>>Pas besoin des vôtres.
>
>
> Lorsque l'utilisateur d'une connexion ADSL est un lycée et que tous les
> postes clients se trouvent placés derrière un parefeu et une passerelle

que

> voit le fournisseur ?

Le fournisseur ne voit qu'une seul machine, le firewall, qui est
d'ailleur la pour cacher les machines.
Les logs doivent donc être récupéré avant le firewall (ou par la
firewall si possible)