Quelle légalité pour les outils d’analyse de flux HTTPS ?

L’analyse des flux internet via un serveur proxy permet de vérifier la sécurité de la navigation internet afin d’éviter par exemple une infection virale.

L’analyse porte généralement sur les flux HTTP qui est le protocole standard sur Internet.

Le protocole HTTPS est une variante sécurisée du protocole HTTP. La navigation internet devient chiffrée pour éviter tout piratage. Ce protocole est souvent utilisé sur les sites des banques en ligne, pour le paiement sur les sites de e-commerce et même maintenant sur certains réseaux sociaux comme Facebook.

Les éditeurs en question proposent donc d’analyser les flux https, c’est à dire déchiffrer le flux sécurisé pour en contrôler l’intégrité et ensuite rechiffrer le flux et permettre la navigation.

Une différence importante entre l’analyse d’un flux HTTP et l’analyse d’un flux HTTPS réside dans le fait que le flux HTTPS comprend des données dites «sensibles» ex : données de carte bancaire, données personnelles…

I/ Analyse du flux internet au regard de la LCEN.

Du point de vue juridique, il s’agit d’un moyen de cryptologie tel que définit par la LCEN à l’article 29 : «On entend par moyen de cryptologie tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide des convention secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète. Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockgae ou de la transmission des données, en permettant d’assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité.»

En vertu de l’article 30 aliéna 1er de la LCEN, l’utilisation de moyens de cryptologie est libre. Donc l’entreprise qui utilise un outil d’analyse de flux https peut le faire librement.

En revanche, le régime est différent s’agissant de la fourniture de moyens de cryptologie.
Si l’objet de l’analyse est d’assurer exclusivement des fonctions d’authentification ou de contrôle d’intégrité, la fourniture de moyens de cryptologie est libre alors que si elle dépasse ces fonctions, elle devra faire l’objet d’une déclaration préalable auprès de la DCSSI.
La déclaration doit être faite par celui qui fournit les moyens de cryptologie, c’est à dire l’éditeur de solutions de proxy internet.

S’agissant de la fourniture de prestations de cryptologie, il faudra en toute hypothèse effectuer une déclaration préalable auprès de la DCSSI qui devra être effectuée par celui qui fournit le service.

Il convient donc de bien préciser l’objet de l’analyse qui ne sera dans la plupart des cas qu’un contrôle d’intégrité des données.

La forme et le contenu de la déclaration est précisé par un arrêté du 25 mai 2007 :
http://www.legifrance.gouv.fr/jopdf/common/jo_pdf.jsp?numJO=0&dateJO=20070603&numTexte=1&pageDebut=10013&pageFin=10017

II/ Analyse du flux internet au regard de la loi informatique et libertés.

Il est possible de considérer que cette analyse correspond à un traitement de données personnelles. En effet, le protocole HTTPS a pour effet en général de protéger des données confidentielles même si tous les flux ne comportent pas forcément des données personnelles.

Pour rappel, constitue des données à caractère personnel : «toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.» selon l’article 2 alinéa 2 de la loi informatique et libertés.

L’article 2 aliéna 3 définit le traitement de donnés à caractère personnel comme étant : « toute opération portant sur des données personnelles, que que soit le procédé utilisé, et notamment (…) l’extraction, la consultation, (…), le verrouillage. »

Au regard de ces deux définitions, la loi informatique s’applique. Toutes les conditions relatives au traitement des données personnelles doivent être respectées. Le traitement doit avoir recueilli le consentement de la personne concernée, doit être établit dans un intérêt légitime ne portant pas atteinte aux droits et libertés fondamentaux des personnes. (Article 7 de la loi informatique et libertés).

Le traitement doit alors faire l’objet d’une déclaration préalable selon l’article 22 de la loi informatique et libertés. La déclaration est effectuée par le responsable du traitement qui est dans le cas d’espèce celui qui effectue l’analyse des flux https.

Il convient en revanche de vérifier qu’il n’y ait pas de stockage de données personnelles en tant que tel.