Ah le problème du déchiffrement des connexions sécurisées (HTTPS, TLS/SSL) …
Ccnet est un expert, donc vous pouvez lui faire confiance ... comme je lui fais confiance.
La loi du 23 janvier 2006 dite "loi anti-terroriste". 3 liens utiles :
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000454124 (le texte de la loi)
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000637071&categorieLien=id (le décret d'application)
http://www.frameip.com/log-fai-isp-operateur/ (un bon résumé su un site de référence)
Les entreprises sont assimilés aux FAI et doivent enregistrer et conserver des traces des communications (de type HTTP).
Article 1384 alinéa 5 du Code civil : l’employeur est responsable de l’agissement de ses salariés, notamment sur les réseaux informatiques ! (Cité par l'ANSSI)
En 2018, les choses ont bien évoluées :
largement plus de 50% des sites web sont en HTTPS : exemple (janv 2017) https://www.wired.com/2017/01/half-web-now-encrypted-makes-everyone-safer/
les messageries cryptées se sont fortement développées : exemple Telegram, ...
Se pose la question du déchiffrement des sessions HTTPS.
Les bonnes recommandations (pour la France) :
CNIL : (mars 2015) https://www.cnil.fr/fr/analyse-de-flux-https-bonnes-pratiques-et-questions
ANSSI : (juin 2012) https://www.ssi.gouv.fr/agence/publication/ssltls-etat-des-lieux-et-recommandations/
ANSSI : (octobre 2014) https://www.ssi.gouv.fr/guide/recommandations-de-securite-concernant-lanalyse-des-flux-https/
Dans ce dernier document, l'aspect juridique est (esquissé) à partir de la page 26 ...
La diffusion automatique du certificat de remplacement est juste impossible, si on comprend un peu ce qu'on fait.
J'ai les mêmes étonnements que ccnet sur votre maîtrise du sujet ...