Index ¦ Archives ¦ Atom

Accès aux données à caractère personnel chez le FAI Sosh / Orange

L’article 15 du très célèbre Règlement Général sur la Protection des Données intitulé « Droit d’accès de la personne concernée » permet à la personne concernée par un traitement de données à caractère personnel d’obtenir plusieurs informations concernant ce traitement, et, en particulier, peut demander une copie des données à caractère personnel faisant l’objet d’un traitement.

Le Code des postes et des communications électroniques (mais pas uniquement) définit, en France, un ensemble de données que les opérateurs de communications électroniques doivent conserver, pour les besoins des procédures pénales, la prévention des menaces contre la sécurité publique, la sauvegarde de la sécurité nationale, contre les menaces graves, actuelles ou prévisibles, etc.

Dans cet article, je fais un résumé de ma demande d’accès aux données à caractère personnel me concernant chez le fournisseur d’accès à Internet Orange / Sosh (j’utiliserai Orange pour désigner les deux entités dans la suite de cet article), concernant mon abonnement à Internet Fixe et Mobile, en particulier aux données dont le CPCE demande la conservation.

  1. Quelles sont les données concernées ?
  2. Échanges avec Orange et la CNIL

Quelles sont les données concernées ?

Avant de commencer, je souhaite rappeler que je ne suis pas juriste, et donc l’ensemble de ce qui suit est bien évidemment à prendre avec des pincettes (comme, au fond, tout ce qu’on peut lire partout). Des inexactitudes se sont probablement glissées dans cet article.

Les articles L. 34-1 et R10-13 du CPCE définissent respectivement le cadre général et les données spécifiques que les OCE doivent conserver. Cette conservation peut avoir lieu de manière habituelle, ou sous ordre du premier ministre qui peut « enjoindre par décret aux opérateurs de communications électroniques de conserver, pour une durée d’un an, certaines catégories de données de trafic […] et de données de localisation ».

Cet ordre du premier ministre prend la forme du décret n° 2021-1363, qui « enjoint » aux « aux opérateurs de communications électroniques » mais aussi aux « personnes mentionnées aux 1 et 2 du I de l’article 6 de la loi du 21 juin 2004 » (c’est-à-dire la LCEN) de conserver les données de trafic et de localisation énumérées au V de l’article R. 10-13 du CPCE et à l’article 6 du décret n° 2021-1362.

On remarque que des OCE comme Orange sont doublement couverts, à travers la dénomination d’OCE mais aussi à travers le I.1 de l’article 6 de la LCEN, qui concerne « Les personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne ». Notons que le I.2 de l’article 6 de la LCEN s’applique lui aux «  personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services ». En bref: les hébergeurs de sites webs, les réseaux sociaux, les messageries instantanées, fournisseurs d’e-mails, etc.

Quelle lecture pour le R. 10-12 ?

L’article R. 10-12 du CPCE explique:

« Les données de trafic et de localisation, mentionnées aux IV et V de l’article R. 10-13 et à l’article R. 10-14, s’entendent des informations rendues disponibles par les procédés de communication électronique, susceptibles d’être enregistrées par l’opérateur à l’occasion des communications électroniques dont il assure la transmission. »

Ma lecture de cet article est la suivante: les données de trafic et de localisation sont toute donnée (ou méta-donnée) qu’il est techniquement possible d’enregistrer en tant qu’opérateur (c’est-à-dire, disponibles, observables), qu’elles soient enregistrées ou non.

Le cas complexe des données de trafic et de localisation

"Map data from OpenStreetMap"

Les données techniques qu’il faut conserver sur injonction du premier ministre posent un problème. En effet, l’article R10-13, au V., contient:

« V.-Les données de trafic et de localisation mentionnées au III de l’article L. 34-1, que les opérateurs de communications électroniques sont tenus de conserver sur injonction du Premier ministre, sont :

1° Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ;

2° Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;

3° Les données techniques permettant d’identifier le ou les destinataires de la communication, mentionnées aux 1° à 4° du IV du présent article ;

4° Pour les opérations effectuées à l’aide de téléphones mobiles, les données permettant d’identifier la localisation de la communication. »

Cependant, ces données de trafic et de localisation sont aussi mentionnées dans l’article 6 du Décret n° 2021-1362, qui contient:

« Les catégories de données de trafic et de localisation mentionnées au III de l’article L. 34-1 du Code des postes et des communications électroniques, que les personnes mentionnées à l’article 1er sont tenues de conserver pour une durée d’un an en cas d’injonction du Premier ministre, sont les suivantes :

1° Pour les personnes mentionnées au 1 du I de l’article 6 de la loi du 21 juin 2004 susvisée et pour chaque connexion de leurs abonnés :

a) Les dates et heure de début et de fin de la connexion ;

b) Les caractéristiques de la ligne de l’abonné ;

2° Pour les personnes mentionnées au 2 du I de l’article 6 de la loi du 21 juin 2004 susvisée et pour chaque opération de création d’un contenu :

a) L’identifiant attribué par le système d’information au contenu, objet de l’opération ;

b) La nature de l’opération ;

c) Les date et heure de l’opération ;

d) L’identifiant utilisé par l’auteur de l’opération lorsque celui-ci l’a fourni.

Le délai mentionné au premier alinéa du présent article court à compter du jour de la connexion ou de la création d’un contenu, pour chaque opération contribuant à cette création. »

Les données de trafic et de localisation qu’il faut conserver sont donc différentes selon que l’on soit un OCE (article R10-13) ou que l’on soit concerné par le 1 et 2 du I de l’article 6 de la LCEN, c’est-à-dire que l’on soit des « personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne » ou des « personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature ».

Cependant, le L. 34-1 affirme que les OCE recouvrent les personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne:

« Les opérateurs de communications électroniques, et notamment les personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne »

Aussi, par son article 8, le décret n° 2021-1362 contient aussi:

« Les données mentionnées aux articles 2 à 6 ne doivent être conservées que dans la mesure où elles sont collectées par les personnes mentionnées aux 1 et 2 du I de l’article 6 de la loi du 21 juin 2004 susvisée lorsqu’elles assurent la mise en œuvre des services de communication au public en ligne. ».

La conservation des informations mentionnées à l’article 6 du décret n° 2021-1362 ne serait donc obligatoire qu’au cas où ces mesures sont effectivement collectées, là où l’article R10-13 ne mentionne pas ce caractère conditionnel de la collecte (avec la lecture de l’article R. 10-12 précédemment mentionnée).

Une confusion loin d’être nouvelle

"Image under the CC-BY 3.0 license by Ragesoss (via Wikimedia)"

Cette confusion autour de ce qu’il est nécessaire d’enregistrer pour un FAI (par exemple) rejoint l’observation faite par la CNIL dans sa délibération 2005-254 du 10 novembre 2005, à propos du futur R. 10-13:

« Cette rédaction ne permet pas aux opérateurs de mesurer précisément l’obligation qui leur est faite de conserver certaines données en dérogation au principe général d’effacement et d’anonymisation posé par la loi. Cette incertitude juridique est d’autant plus préjudiciable que le non-respect de cette obligation est sanctionnée pénalement (article L. 39-3 du CPCE). De plus, ce choix ne permet pas à la Commission de s’assurer que ces données sont conformes aux exigences du V de l’article L. 34-1 - à savoir l’interdiction que ces données portent sur le contenu des correspondances échangées ou des informations consultées sous quelque forme que ce soit - ni d’effectuer le contrôle de proportionnalité posé par l’article 6 de la loi du 6 janvier 1978 modifiée. »

De même, en 2007, dans sa délibération 2007-391 du 20 décembre 2007, la CNIL soulignait la difficulté de déterminer sous quel statut un FAI était soumis à l’obligation de rétention des données:

« De même, la Commission relève que les FAI sont soumis à une double obligation de rétention des données d’une part, au titre du II de l’article 6 de la LCEN, d’autre part, au titre de l’article L. 34-1 du Code des postes et des communications électroniques en tant qu’opérateurs de communications électroniques.

Enfin, la Commission observe que tant les textes législatifs que les débats parlementaires ou la jurisprudence ne permettent pas d’établir une définition claire des catégories de personnes soumises à l’obligation de rétention des données prévue par la LCEN et le Code des postes et des communications électroniques. Il résulte de cette situation une insécurité juridique préjudiciable à la protection de la vie privée et des données à caractère personnel des internautes. »

Récapitulatif

On peut donc identifier différentes grandes familles de données concernées par les divers articles, lois, décrets susmentionnés, qu’un OCE comme Orange devrait collecter, si l’on se place du point de vue de l’article R10-13:

  1. Les données liées à l’identité de la personne physique agissant en son nom ou pour le compte d’une personne morale:

    • nom
    • prénom
    • raison sociale
    • date et lieu de naissance
    • adresse postale
    • adresse de courrier électronique
    • numéro de téléphone
  2. Les données liées à la numérisation de l’identité de cette personne:

    • identifiant
    • pseudonyme
    • données de vérifications de mots de passes (e.g. phrases secrètes)
  3. Les données permettant de retracer l’argent:

    • type de paiement (virement, chèque, CB, liquide, …)
    • référence du paiement (numéro de virement, de chèque, ID de transaction…)
    • montant du paiement
    • en cas de transaction physique, date, heure et lieu
  4. Les données techniques liées à l’activité sur le medium de communication:

    • adresse IP / port attribuée à la source de la connexion
    • numéro d’identifiant de l’utilisateur
    • numéro d’identification du terminal
    • numéro de téléphone à l’origine de la communication
  5. Les données techniques qu’il faut conserver sur injonction du premier ministre (et injonction il y a):

    • caractéristiques techniques, date, horaire et durée de chaque communication
    • données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs (e.g. plus d’enveloppe data, une option internationale, la télé)
    • données techniques permettant d’identifier le ou les destinataires de la communication (c’est-à-dire les données mentionnées au 4.)
    • pour les opérations effectuées à l’aide de téléphones mobiles, les données permettant d’identifier la localisation de la communication

Si l’on se place cependant du point de vue du décret n° 2021-1362, d’une part ces données ne doivent être conservées « que dans la mesure où elles sont collectées » (sous-entendu: cela n’est pas nécessairement le cas), et le point numéro 5. de cette liste ne contient plus que les données techniques suivantes:

  • dates et heure de début et de fin de la connexion
  • caractéristiques de la ligne de l’abonné

Échanges avec Orange et la CNIL

Maintenant que le cadre légal est plus clair (ou pas), concentrons-nous sur ma demande à Orange. Celle-ci a été effectuée en plusieurs étapes.

Genèse : Une demande à la CNIL

L’origine de cet article est liée à la demande de Benjamin Somers à la CNIL détaillée dans le numéro 2 du mensuel de l’association FedeRez, intitulée « Des nouvelles de la CNIL ou comment ennuyer votre FAI ». À la question « Les logs de connexion font-ils partie des données que je dois transmettre à un client qui exerce son droit d’accès aux données que je collecte ? » (c’est un résumé, il y a eu d’autres échanges), la CNIL répond (la mise en forme venant de la CNIL):

[…]

Au vu des éléments que vous nous avez communiqué, je vous confirme d’une part que, toute personne physique a le droit d’obtenir du responsable d’un fichier l’accès à l’ensemble des données la concernant ainsi que l’origine de celles-ci (article 15 du Règlement général sur la protection des données - RGPD).

[…]

Premier Round

La demande à Orange – 22 février 2022

La demande complète est disponible à cette adresse; l’essence de la demande tient en ces lignes:

[…]

Conformément à l’article 15 du RGPD, veuillez me fournir toutes les données personnelles me concernant, le but du traitement, ainsi que pourquoi et comment vous collectez ces données.

En particulier, l’article L. 34-1 du Code des postes et communication électronique (CPCE) imposant une obligation de conservation pendant un an des données de connexion (ou « données de trafic ») lorsqu’un organisme met à disposition du public un accès à Internet, ce qui est votre cas, ces données devront être intégrées à votre réponse

[…]

La demande a été effectuée par courrier recommandé (on est jamais trop prudent).

Une première réponse d’Orange – 15 mars 2022

Bonjour,

Suite à votre demande, vous trouverez ci-joint l’ensemble des données à caractère personnel vous concernant. Ces données sont traitées par Orange conformément à la Politique de protection des données que vous pouvez retrouver sur orange.fr

En ce qui concerne les données de connexion, les données relatives à la navigation internet, notamment les sites et/ou IP visitées ne sont pas collectées et traitées par Orange après l’acheminement du trafic. Il ne nous est donc pas possible de répondre favorablement à votre demande sur ce point précis .

Afin de sécuriser vos données personnelles, un mot de passe a été envoyé sur votre mobile de contact. Saisissez-le pour lire les fichiers de votre dossier informatique.

Un lexique contenant les codes et abréviations utilisés dans les zones “commentaires” vous est fourni en complément pour vous aider à prendre connaissance de votre dossier informatique.

Merci de votre confiance.

Le service clients Orange

La réponse d’Orange était accompagnée d’une archive 7-zip chiffrée avec un mot de passe reçu par SMS, et de deux fichiers:

Concernant l’archive, deux fichiers de tableur en .xlsx contenant mes données personnelles:

Note: Ces fichiers ne sont pas strictement ceux envoyés par Orange, certaines données sensibles (IMEI, …) ont été enlevées par mes soins et remplacées par un placeholder.

Des méta-données non nettoyées

La première chose que l’on peut remarquer, avant même de se plonger dans les données, c’est que les fichiers n’ont pas été nettoyés de leurs méta-données. Le lexique a été généré le 2 juillet 2018 en utilisant Microsoft® Word pour Microsoft 365 par « G****** B****** OF/DRCGP », de même que la politique de protection des données, générée le 27 janvier 2022. Le fichier de tableur concernant l’abonnement mobile a probablement été manipulé, à un moment, par un certain « G********* F****** SCO IDF », et le fichier de tableur concernant mon abonnement fixe par un certain « D***** E*** SCO NDF ». Supprimer ces méta-données représente, à mon sens, une piste d’amélioration pour Orange.

Note: les méta-données ont été nettoyées avant la mise en ligne.

Des données lacunaires

Une partie des données de compte de mon abonnement mobile.
Une partie des données de compte de mon abonnement mobile. Je suis identifié comme « bon payeur » malgré quelques retards de paiement de ma part (expiration de CB, …).

Sans aller dans le détail des fichiers, ce qu’on remarque, c’est l’absence de certaines données mentionnées dans le récapitulatif ci-dessus. Les données liées à mon identité, mon moyen de paiement, mon contrat sont bien présentes, de même que l’adresse IPv4 publique de ma box concernant mon abonnement fixe ( 83.202.119.89 ) ou encore son adresse MAC (numéro d’identification du terminal).

Une partie des données techniques de mon abonnement mobile.
Une partie des données techniques de compte de mon abonnement mobile. Deux IMEI sont identifiés car j’ai probablement utilisé les deux slots de carte SIM de mon mobile.

Cependant, pas de traces de ports, pas de trace de mon adresse IPv6.

Concernant mon abonnement mobile, pas de traces de données de localisations, et pas de traces de données techniques de type IP ou ports (il y a cependant les IMEI de mes deux emplacements SIM de mon téléphone). Sosh utilisant du CGNAT, et mon adresse IPv4 étant « dynamique », ces informations sont très probablement stockées par Sosh dans un format ou un autre, car dans le cas contraire, impossible de remonter jusqu’à mon identité réelle depuis un triplet (IPv4, port source, horaire) (qui serait par exemple fourni par un hébergeur à qui un juge aurait demandé « Oui, là, le contenu pas gentil, qui l’a posté? »).

Même si l’on considère la version la moins forte du cadre légal (celle du décret n° 2021-1362), il manque des données dont on peut confirmer qu’elles sont collectées par Orange car elles apparaissent par exemple dans ma facture ou dans mon espace abonné en ligne, e.g. :

  • le numéro de mes correspondants
  • la durée de mes appels
  • la destination de mes appels (france métropolitaine, …)
  • le pays dans lequel je passe ces appels

Second Round

Demande à Orange et plainte à la CNIL – 15 et 17 mars 2022

Compte tenu de la première réponse lacunaire d’Orange, je décide du dépôt d’une plainte à la CNIL le 15 mars et sollicite Orange une seconde fois, en mentionnant cette plainte à la CNIL, le 17 mars, toujours par courrier recommandé.

Réponse de la CNIL – 14 avril 2022

[…]

Vous avez saisi la CNIL d’une réclamation à l’encontre d’Orange relative aux difficultés que vous rencontrez dans l’exercice de votre demande de droit d’accès.

Nous vous informons que nous sommes intervenus auprès de la société Orange pour l’interroger sur les faits que vous avez portés à notre connaissance.

[…]

Réponse d’Orange – 19 avril 2022

[…]

Nous revenons vers vous suite à votre courrier de réclamation reçu le 22 mars dernier et votre saisine de la CNIL sur le même sujet.

Nous vous informons que la récupération des informations techniques est en cours par nos équipes techniques afin de vous les transmettre au plus vite.

[…]

De ce courrier, je déduis que l’opération de récupération de données n’a probablement pas été automatisée, au choix, par manque d’intérêt économique, ou tout simplement car je suis le premier à effectuer une telle demande (ce qui expliquerait pourquoi ces données ne sont pas sorties par défaut dans les données présentées par Orange).

Une première question est soulevée: les opérateurs français ont-ils identifié quelles données à caractère ils traitent effectivement ?

Réponse d’Orange – 6 mai 2022

[…]

Nous faisons suite à votre courrier du 17 mars dernier, arrivé dans nos services le 22 mars, et vous prions de bien vouloir trouver ci-joint les fichiers correspondant aux informations demandées (Voix, SMS, MMS) pour l’année écoulée. Concernant les traces liées à l’internet, Orange dispose uniquement de l’historique sur 6 mois.

Pour une parfaite lecture, chaque fichier comprend un onglet destiné à présenter un lexique des termes utilisés.

Afin de sécuriser vos données personnelles, un mot de passe a été envoyé sur votre mobile de contact. Saisissez-le pour lire les fichiers de votre dossier informatique.

[…]

Cette fois-ci, plus de données ! Toujours sous la forme d’une archive chiffrée, je récupère cette fois-ci quatres fichiers:

À nouveau, les méta-données révèlent des informations sur les modifications, avec cette fois-ci l’apparition d’une nouvelle identité, un certain G******* G****** DTSI/DSI.

J’obtiens désormais la chronologie de mes appels sortants (avec numéro de téléphone du destinataire), SMS, et données consommées de manière plutôt précise (durée, volume de données échangé en up et down), ainsi que la localisation de chaque opération lorsqu’elle est disponible, par exemple lorsque je ne suis pas en itinérance. Les appels entrants n’apparaissent pas.

Des données géographiques de mauvaise qualité

Les données de localisation présentes dans les fichiers d’Orange sont de mauvaise qualité. J’aurais adoré avoir des coordonnées GPS liées à chaque événement (par exemple, les coordonnées des antennes utilisées), mais seules des dénominations géographiques sont présentées: noms de villes, codes postaux. Le nom des villes n’est pas uniformisé: ces noms apparaissent parfois en capitales, parfois non, et de nombreuses typos empêchent le traitement automatique de ces données sans nettoyage. On trouve par exemple:

  • Des caractères spéciaux: ╔griselles-le-Bocage
  • Des codes postaux erronés: le code postal de MORANGIS est annoncé comme étant 91423, le code postal de Belfort est parfois 90002
  • Ligny-le-Châtel qui devient LIGNY-LE-CHÔTEL
  • Marçay qui devient MARÞAY
  • Vémars qui devient VÚMARS
  • Pliboux qui devient PLIBLOUX
  • Pussigny qui devient Pussiny
  • Paray-Vieille-Poste qui devient PARAY-VIELLE-POSTE
  • […]

Sur la carte ci-dessous, je représente les localisations (SMS, MMS, Appels, Data) telles que renvoyées par le service Nominatim, avec les données nettoyées et réparées à la main. Les points sont agrégés par localité; la couleur représente la date moyenne des événements associés à cette localité; la taille représente le nombre d’événement par localité.

La visualisation est assez basique, n’hésitez pas à en créer de nouvelles en utilisant mes données !

Autre visualisation, la distribution des événements concernant ma ligne mobile:

Toujours aucune trace des données de trafic précises

J’obtiens cette fois-ci plus de données techniques concernant ma connexion à Internet fixe, notamment, mon range IPv6 (sous la forme 2a01cb0402399b) qui n’était auparavant pas disponible, des numéros de sessions et des horodatages de ce qui semble être le client DHCP de ma box Orange. Cependant, toujours aucune trace de ports ou de données de trafic plus précises.

Rappelons que le R10-13 explicite que les « données techniques permettant d’identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés » comprennent, entre autres l’« adresse IP attribuée à la source de la connexion et le port associé ». La couche IP et les protocoles TCP/UDP semblent plus particulièrement concernés (du fait de la notion de port), et on peut donc s’interroger.

Tout d’abord, sur la notion de connexion. En effet, en toute généralité, la source d’une « connexion » d’un abonné (comme un stream TCP) n’est pas forcément un équipement terminal dudit abonné: n’importe qui possédant mon adresse IP peut décider de m’envoyer des données, tout en me laissant le choix d’établir une connexion avec lui si l’occasion s’en présente.

Ensuite, sur l’absence d’informations liées aux ports dans la réponse consolidée d’Orange. En effet, l’utilisation de CGNAT déjà mentionnée plus haut rend ces informations essentielles pour permettre l’identification de la source de la connexion, et ces informations ne sont pas présentes dans ce qu’Orange m’a présenté.

Clôture par la CNIL - 16 mai 2022

Sans nouvelles de ma part (trop occupé par les autres choses de la vie, et notamment par l’écriture de ce billet de blog), la CNIL a clôturé ma demande le 16 mai:

Comme nous vous l’avions indiqué, nous sommes intervenus auprès d’Orange pour l’interroger sur votre demande.

La société Orange nous indique qu’il y aurait eu une incompréhension sur la portée de votre demande par le service en charge de son traitement.

Elle nous indique néanmoins que, depuis, le 6 mai dernier, le service client vous a adressé les données concernées.

En conséquence, nous estimons que l’action de la CNIL a permis d’apporter une réponse appropriée à la situation pour laquelle vous nous avez saisis et procédons donc à la clôture de votre plainte.

Le mot de la fin

Pour finir, quelques observations et plus d’interrogations. Orange a été relativement réactif, et s’est preté au jeu (enfin, a respecté la loi, tout du moins, j’en ai l’impression), même si j’ai dû pour cela impliquer la CNIL. Merci donc à Orange. Cependant, plusieurs questions restent sans réponses pour moi:

  • Le non-respect (ou plutôt, une lecture permissive) du R10-13 est elle admise par la jurisprudence ? Ma lecture de cet article et de la loi est elle la bonne ?
  • Des données plus précises concernant mon trafic (par exemple mes interlocuteurs au niveau IP) ne sont elles pas collectées, à un moment ou un autre ?
  • Certaines données ont elles été omises par Orange car trop difficiles à récolter ?
  • N’existe-t-il pas une localisation plus précise concernant mes opérations mobiles (en tout cas, plus précises qu’une ville et un code postal ?)

© Rémy Grünblatt. Built using Pelican. Theme by Giulio Fidente on github.