En lien avec mon positionnement sur la vie privée, je prend aussi position sur la nature et le statut de l'adresse IP.
Rappel sur l'IP
Une adresse IP est une série de chiffres et de lettres qui permet de contacter un dispositif informatique au travers d'un réseau, via une méthode de communication spécifique (protocole IP). Ainsi, tous les ordinateurs connectés à internet ne sont pas obligatoirement désignés par une adresse IP; ils le sont en revanche dans l'immense majorité des cas, mais pas de façon unique : un ordinateur a souvent plusieurs adresses IP qui permettent de le joindre et ces adresses peuvent changer [1].
Ce que (ne) dit (pas) la loi
Juridiquement, le statut de l'adresse IP est incertain : tantôt un juge la traite d'un manière, tantôt un autre la classe différemment. D'où un flou qui n'arrange personne en cas de dépôt de plainte [2].
Ainsi, pour la justice l'adresse IP est actuellement :
- soit une donnée purement technique qui ne porte pas de valeur particulière et sert uniquement à l'interconnexion des équipements;
- soit une information nominative qui permet d'identifier une personne derrière un ordinateur;
- soit quelque chose entre les deux, une sorte de données technique qui peut devenir une fiche d'identité au travers d'un traitement adapté et en liaison avec d'autres données.
En résumé : il y a donc une grande incertitude sur le statut de l'adresse IP en France, ce qui ouvre la porte à toutes sortes de problèmes, mais aussi à des possibilités d'utilisation.
La question de savoir si l'adresse IP permet d'identifier (ou non !) la ou les personnes qui ont utilisé un ordinateur ordinateur est critique, car elle permet le traitement judiciaire : seule l'autorité légitime pour poursuivre l'enquête (police ou gendarmerie) pour obtenir du fournisseur d’accès l'identité de l'utilisateur
En effet, l'adresse IP est une série de chiffres et de lettres qui ne constitue en rien une donnée indirectement nominative relative à la personne dans la mesure où elle ne se rapporte qu'à une machine, et non à l'individu qui utilise l'ordinateur pour se livrer à une activité.
On a donc bien une différence entre l'identification d'une machine, et l'identification d'un humain. La mise en relation n'est pas automatique et doit être prouvée.
Lorsqu'on lis le Décret n°2011-219 du 25 février 2011 « relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne », ce n'est pas plus clair pour autant : si les particuliers, associations et autres n'ont pas le statut juridique de « fournisseur d'accès à internet » (qui est soumis à une autorisation de l'ARCEP), ils n'ont pas non plus nécessairement le statut juridique d' « hébergeur » (les critères sont bordéliques). La loi n'apporte donc pas réponse aux questions posées.
Je comprend la loi comme disant entre les lignes que l'IP n'est pas juridiquement classée comme une donnée d'identification nominative, et n'est donc pas pas soumise à un encadrement spécifique pour les particuliers et associations.
Les logs, en pratique
Dans le cadre des services informatiques sur internet, il est habituel que ceux-ci conservent des enregistrements sur leurs activités et les dispositifs avec lesquels ils interagissent : ce sont les « logs ».
Techniquement, un log est juste une trace numérique que l'on défini comme on veut. Il n'y a donc pas un seul format de log, mais une multitude ayant des natures et contenus différents. Un même service peut conserver des enregistrements des interactions homme-machine et machine-machine sous plusieurs formes plus ou moins explicites. Pour parler de log, il faut donc bien le préciser.
Le mot log ne doit pas être tabou de la discussion sur la vie privée en le classant immédiatement comme pratique intrusive; il est indispensable au bon fonctionnement du net, car le log constitue la mémoire de travail des services. Sans log, toute l'informatique navigue à vue.
Dans le cadre d'un log d'apache au format combiné, je comprend que le log est anonyme, vis à vis de la loi, car l'adresse IP n'est pas une donnée qui permet à elle seule d'identifier un individu.
Ce qui me laisse perplexe, c'est la double valeur que des gens prêtent à une adresse IP. Je constate les deux discours suivants :
- Dans les transferts par BitTorrent, on ne peut pas identifier l'utilisateur car une IP n'est pas une personne, c'est une simple information technique pour faire circuler les données; elle peut être falsifiée, détournée, contrefaite…
- Dans les logs de services web (ou autres tels que le courriel), on peut identifier l'utilisateur par son adresse IP, car c'est une information nominative.
D'où ma remarque : il faut être cohérent et se poser les questions suivantes :
- supposément, qu'est-ce qui oblige à anonymer les logs d'un serveur web ?
- supposément, qu'est-ce qui interdit de publier les logs, anonymés ou non, d'un serveur web ?
- un particulier ou une association mettant en ligne un site web non-participatif (c'est à dire que les visiteurs ne peuvent pas contribuer à son contenu) sont-ils des « hébergeurs » au sens de la loi ?
- quels sont les critères qui permettent de qualifier une donnée comme étant nominative ou qui permette de réaliser l'identification d'une personne ?
Réflexion dans le cadre du Parti Ꝓirate
Le Parti Ꝓirate (PꝒ) a pris position sur le fait que l'adresse IP n'est pas une donnée nominative qui permet d'identifier la personne qui télécharge via BitTorrent. Il me semble donc logique de conclure que l'adresse IP n'est pas, pour le Parti Ꝓirate, une donnée nominative qui permet d'identifier une personne se connectant à un service web.
Le fait est que, pour qu'il y ait publication, il faut auparavant qu'il y ait collecte.
Prenons le cas du PꝒ qui, très probablement (on va dire que oui si ce n'est pas le cas) conserve un log des transactions sur son serveur web.
Est-ce que je peux demander au PꝒ de consulter et supprimer de ce log toutes les informations personnelles qui me concerne ? Bien sur, c'est ce que la loi liberté et informatique de 1978 me garanti. En revanche, le PꝒ va très certainement me répondre « on veut bien, mais on ne peut pas : on n'a pas de données personnelles sur toi ».
Qu'à cela ne tienne, je demande alors au PꝒ de me dire tout ce qui concerne l'adresse IP de mon ordinateur (par exemple, 82.239.197.205). Et là, le PꝒ me répond « heu, qu'est-ce qui me prouve que c'est bien toi derrière cet ordinateur, et pas quelqu'un d'autre ? Et même si c'est le cas, vous n'êtes pas plusieurs dans ton foyer à utiliser cet ordinateur ? ». Godferdom ! Est-ce que le PꝒ refuserait de se plier à la loi ? Non, il ne fait que l'appliquer strictement, car la loi ne l'oblige pas de communiquer tout ou une parti des log de son serveur web.
Si la collecte d'adresse IP est obligatoire à différents niveaux pour plusieurs raisons, la publication de log anonyme de serveur web est donc bien un choix que l'on peut faire, ou pas.
Conclusion
À mon sens, cette mise à disposition d'informations est neutre sur l'usage : un individu peut s'en servir pour faire de la recherche scientifique (ce qui est légal), pour assurer de façon neutre le bon fonctionnement des systèmes informatique (c'est souhaitable), mais pas pour espionner une personne (c'est illégal). Le PꝒ n'endosse pas ici le rôle du législateur qui fait la loi, du juge qui l'arbitre, ou du policier qui la fait appliquer. Il se borne à faire ce qu'il veut, dans le cadre de cette loi.
De la même façon qu'on n'interdit pas la vente des couteaux en supermarché sous prétexte que quelqu'un pourrait faire quelque chose de mal avec, il ne faut pas, à mon sens, interdire a priori le partage des données sous prétexte que cela peut être dangereux.
L'argument le plus courant pour refuser le partage des logs d'un serveur web est le droit à l'anonymat. L'adresse IP pouvant être utilisée (au même titre qu'un numéro de téléphone, une plaque d'immatriculation, etc) pour réaliser l'identification une personne, il faut alors la protéger. Je ne suis pas entièrement de cet avis.
S'il était vrai il y a encore dix ans qu'une adresse IP permettait de faire le lien entre une personne et un ordinateur d'une façon très fiable, ce n'est plus le cas de nos jours. Les pratiques (roaming, réseaux ouverts…) et technologies (NAT, IPv6, VPN) ont évoluées suffisamment pour aboutir à un découplage toujours croissant entre l'adresse IP (qui pointe vers un dispositif technique) et une personne se trouvant en bout de la chaîne de communication.
Il me semble dangereux de statuer sur la valeur nominative de l'adresse IP : cela entraîne des fausses identifications et donc des accusations portées à tord, et bride l'innovation en contraignant fortement la collecte et le travail sur des données. L'objectif final étant ici de forcer l'anonymat sur internet, je ne pense pas que ça soit la bonne méthode.
De plus, l'anonymat doit être un choix, garanti par la loi, et non une obligation. Prendre position en faveur d'un anonymat forcé, c'est pour moi vouloir maintenir une conception citadine de la vie privée datant des années 80. Les populations ont changées, les outils et les pratiques aussi, il ne faut donc pas imposer une stagnation législative qui empêche l'accompagnement de la vie.
À lire aussi
Notes
[1] cas de l'IPv6 qui permet d'affecter plusieurs adresses à la même interface
[2] CF les commentaires de Nicolas Herzog et la fiche Jurispédia sur l'adresse IP
8 réactions
1 De u897-32 - 10/05/2011, 14:37
Dommage que vous perdiez complètement pied avec la réalité. À l'image des gens que vous prétendez attaquer, vous défendez l'indéfendable. La justice est figé et le cadre juridique est froid et ne peux se permettre l'approximation, c'est pour cette raison que l'IP est déprecié pour identifier _formellement_ un utilisateur du réseau des réseaux.
Mais vous savez comme moi que l'IP et les logs donnent beaucoup d'informations sur l'utilisateur, FAI, Navigateur, géo-localisation, système d'exploitation, heure de visite, temps passé sur le site etc. Et si ce n'est pas vrai dans l'absolu (proxy, TOR, VPN etc.) c'est bien suffisant pour grosso modo 98% des IPs journalisées.
Sans compter que si tout les serveurs fournissent leurs logs, c'est la foire aux données croisées et on peut parier voir apparaître en peu de temps des application de traçage des utilisateurs sur le net en temps réel etc. Vous confondez complètement les notions de vie privée, d'open data, ou de transparence du gouvernement qui à lui tout seul est déjà sujet à débat.
Bref un article qui manque cruellement de réflexion, je n'oserais pas ajouter "à l'image du partie pirate français" qui serait sans doute hors sujet.
2 De NoxIn - 12/05/2011, 12:48
Ne serait-il pas intéressant, au lieu de considérer uniquement l'IP, de considérer le couple (IP, date) qui est déjà beaucoup plus identifiant que l'IP seule.
En effet si l'IP est dynamique, ou correspond a l'adresse d'un proxy, elle n'est pas une donnée identifiante, mais l'association des deux peut permettre une identification.
(je met volontairement de coté le cas ou l'IP est falsifiée)
3 De u897-32 - 12/05/2011, 17:59
@NoxIn : c'est déjà le cas. lorsque TMG flash une IP, il fait remonter l'information à la Haute Autorité ainsi que la date et l'heure qui va ensuite demander au FAI le nom de la personne possesseur de cette IP à cet instant. Mais ça ne suffit pas pour légitimement identifier une personne puisque ça n'identifie que la ligne, donc si on pousse se raisonnement on arrive à des conclusions absurdes telles que celles prises par la hadopi à savoir "et bien le possesseur de la ligne n'a qu'à être responsable de sa ligne". ça veut dire maitriser parfaitement la sécurité de l'ensemble de son parc informatique, ordinateur, wifi etc. Et comme tu l'as dit, ce, en ignorant les fausses IP dans les réseaux paires-à-paires.
4 De Damien Clauzel - 13/05/2011, 03:34
@u897-32 :en fait, le problème n'est pas tant dans l'IP (qui contient très peu de bits significatifs) que dans les motifs d'usages.
Chaque utilisation d'un système informatique (appli, site web, etc), se fait avec une pratique propre à chaque individu. Par exemple, il est assez simple de construire profil de navigation d'une personne sur un site web « A ». Ensuite, pour savoir si cette même personne a aussi consulté un site web « B », il suffit d'y rechercher son profil de navigation. On le trouve ? Bingo, alors on a identifié la personne avec une très grande certitude. Et ce quelques soient les adresses IP, les logiciels employés, etc.
Cette signature d'usage, qu'on peut décrire via une trace d'interaction, est beaucoup plus sensible qu'une simple adresse IP car elle peut servir à faire de la prédiction (on simule ce que va faire la personne dans une situation donnée), de l'analyse pour traitement commercial (comportement d'achats), exploration de réseaux sociaux (on calcule les probabilités de liens entre des personnes), etc. Et tout ceci se fait en ignorant l'adresse IP, car elle n'apporte pas d'information fiable.
Je suis en train de préparer un complément à ce billet, pour présenter mon analyse sur l'absence de couplage fort entre une personne et une adresse IP, avec des exemples illustrés.
Il est aussi important de noter que ce que je fais sur les logs, je le fais dans le cadre de mes travaux scientifiques, et de celui du Laboratoire Ouvert Lyonnais (un hacklab sur Lyon). Le Parti Pirate n'a rien à voir là dedans.
5 De Damien Clauzel - 13/05/2011, 03:45
@u897-32 :exactement. On a vu ce que donnait la rafale de faux-positifs que doit affronter la HADOPI. Aux États-Unis d'Amérique, la justice est également en train de faire marche arrière sur l'utilisation de l'adresse IP comme élément incriminant : dans le cadre de la lutte contre la pédophilie, il y a eu trop de problèmes de raid de la police sur des citoyens innocents, donc les juges commencent à dire « stop ».
La ligne d'argumentation que je suis en train de développer est la suivante : puisque l'adresse IP ne permet pas d'identifier sans ambiguïté une personne, autant la traiter légalement pour ce qu'elle est : à savoir une donnée purement technique, qui désigne au mieux une interface réseau sur un dispositif informatique.
6 De u897-32 - 13/05/2011, 08:32
@Damien Clauzel : Votre raisonnement est trop manichéen, entre "l'adresse IP ne permet pas d'identifier sans ambiguïté une personne" et "une donnée purement technique, qui désigne au mieux une interface réseau" il y a un fossé que vous franchissez allégrement sans prendre plus de précaution. Non ce n'est pas juste une donnée technique qui désigne au mieux une interface réseau, d'abord parce que au mieux ça désigne directement quelqu'un (whois IP) et au pire ça ne désigne que le canal d'accès. Et la plupart du temps c'est entre les deux.
Ensuite vous dites qu'il y a d'autre moyen que l'adresse IP pour identifier quelqu'un comme définir des profils utilisaters. C'est vrai mais de deux choses l'une :
- c'est plus compliqué qu'une IP qui fournit de toute façon déjà une information suffisante pour la plupart des cas et pas forcément simple à mettre en œuvre.
- je ne comprend pas cet argument puisque le débat portait sur l'ouverture de ces log de données privées au public et pas si l'IP était la seule façon d'identifier quelqu'un (bien sur que ça ne l'est pas).
"pour présenter mon analyse sur l'absence de couplage fort entre une personne et une adresse IP" J'ai hâte de voir ça mais hormis quelques cas isolés comme les modem qui ont encore une IP dynamique ou les utilisateurs derrière des proxy, je pense que c'est un faux débat perdu d'avance. l'adresse IP (plus les log apache) _sont_ des données personnelles même si elles n'identifient pas formellement un utilisateur. Au même titre que ma rue, la marque et la couleur de ma voiture ne peuvent m'identifier formellement, ce sont malgré tout des informations suffisamment précisent pour autre que la loi.
7 De Parti Pirate - 03/06/2011, 19:47
Droit de réponse du Parti pirate : le point de vue exposé ci-dessus est l’opinion personnelle de Damien Clauzel, et n’est pas celui du Parti pirate qui s’oppose à toute divulgation de donnes à caractère personnel sans consentement des intéressés, ce à quoi correspond une telle publication de logs (voir <http://partipirate.org/blog/com.php... pour plus de détails).
8 De Damien Clauzel - 03/06/2011, 20:48
@Parti Pirate : Et c'est bien, avec d'autres, notre opinion que nous défendons. :)
La question de la nature et du statut de l'adresse IP n'est pas claire, dans la loi comme au Parti Pirate : aucun débat de fond n'a jamais eu lieu qui aurait pu aboutir à la prise de position collective. Je suis très bien placé pour le savoir.