6012 links

  • GuiGui's Show

  • Home
  • Login
  • RSS Feed
  • Tag cloud
  • Picture wall
  • Daily
Links per page: 20 50 100
page 1 / 1

  • Rapports sur la conservation et l'accès aux données de connexion

    J'ai déjà beaucoup écrit sur les données de connexion. J'ai actualisé cet article.

    Pas de nouveauté, pas de changement en pratique, toujours au stade du blablabla.

    Tous ces rapports portent sur l'utilisation des données de connexion dans les enquêtes pénales.


    Rapport d'information du Sénat « Surveiller pour punir ? Pour une réforme de l'accès aux données de connexion dans l'enquête pénale »

    • Novembre 2023

    • En 2022, environ 3 millions de données de connexion ont fait l'objet d'une réquisition (page 11) ;

      • Environ moitié données d'identification, comme l'identité civile de toutes les personnes présentes dans une zone ou l'identité civile derrière un numéro d'appel (page 17). L'autre moitié, c'est les fadettes et la localisation (page 39). Internet semble insignifiant, ce qui explique en partie l'orientation du rapport sur la téléphonie, les 4 grands opérateurs, les OTT (opérateurs sans numérotation = VoIP sans accord commercial avec FAI : Discord, Signal, WhatsApp, etc.), etc. ;

      • Hausse tendancielle de 10 % par an jusqu'en 2022 (page 11). Graphique page 38. + 0,36 % entre 2021 et 2022 (refonte du cadre législatif FR), page 99. Attention : le rapport tente de faire croire que c'est l'arrêt de la Cour de cassation de 2022 qui aurait mis un frein alors que cela n'est pas flagrant sur le graphique proposé ;

      • Attention aux chiffres : une demande de bornage pour le même point d'une même enquête = 4 gros opérateurs pour trois antennes (couvrant à 360 degrés une zone) = 12 réquisitions (page 39).

    • Le rapport reconnaît un « accès massif aux données de connexion ». Causes :

      • « La facilité d’un tel accès » en ce, qu'avant 2022 (loi sur le harcèlement scolaire, voir ici), cet accès était régi par le droit commun des réquisitions, sans garde-fou, qui permettait de recueillir toute information intéressant l'enquête (page 39) ;

      • Les enquêteurs ont pris l'habitude de demander, en premier lieu, par réflexe, les facture détaillées, qui contiennent des éléments au-delà de l'infraction, sans rapport avec celle-ci (page 109). Seul l'argent (compensation des opérateurs, cf. infra) a limité le jeu (page 40) ;

      • Pages 34-37 : premier tri avant de solliciter des mesures plus intrusives comme la géolocalisation en temps réel ou les écoutes (plus pour des questions de thune que d'amour des libertés, à mon avis). Les avocats à tout stade de la procédure. Le droit au silence. Les citoyens ne veulent plus témoigner. Les criminels, sauf les primo, maîtriseraient les techniques de la police scientifique et ne laisseraient plus de traces d'ADN & co (mais des données de connexion si ? J'y crois moyen). Essor des messageries chiffrées (pourquoi, alors, la moitié des réquisitions portent sur des fadettes ?). Gain de temps et d'effectifs RH. Les magistrats voudraient des données de connexion dans les dossiers, même pour du vol à la tire, sinon ils considérent qu'il y a doute qui doit profiter à l'accusé (étonnant, non ?). Les citoyens voudraient l'efficacité de la répression des infractions. Les données de connexion seraient essentielles aux enquêtes liées à la délinquance du quotidien (page 55).

    • L'impact des arrêts de la Cour de justice de l'union européenne (CJUE) a été limité :

      • À mon avis, à la lecture du rapport, ils ont calmé le jeu sur l'accès (par une entité indépendante, etc.). Reste la conservation ;

      • Réactions très diverses des États-Membres. Page 58 : en sus de la France, 12 États-Membres auraient toujours une conservation généralisée. D'autres États-membres ont toujours un accès trop ouvert. D'autres n'ont pas adapté leur législation. Aucune action en manquement de la Commission européenne. Seule l'Allemagne le vivrait bien (elle n'a jamais voulu la rétention des données de connexion). Étude comparative à partir de la page 137 ;

      • La conservation rapide (injonction faite à un intermédiaire technique de garder ce qu'il détient à l'instant T) implique l'absence d'historique / de rétrospective, ce qui serait insuffisant pour lutter contre la criminalité grave (cf. Slovaquie). Page 61 ;

      • la conservation ciblée est compliquée à mettre en œuvre, juridiquement et techniquement : quels critères non-discriminatoires utiliser ? Les zones particulièrement exposées à la menace (aéroports, gare, infrastructures, institutions, etc.) ou celles présentant le taux de criminalité le plus important sont-elles pertinentes ? Comment le calcule-t-on (nombre d'infractions uniquement => pouf, toutes les grandes villes sont surveillées) ? Fiabilité (comme en France, la criminalité déclarée par les flics contient de nombreuses erreurs, cf. page 141) ? En Belgique et au Danemark, 67 % de la population est concernée par de la conservation dite ciblée… Quid du déplacement de la criminalité (les quartiers criminels des trois dernières années ne seront pas forcément ceux de demain) ? Et si je prépare mon crime hors des zones ciblées ? Au Danemark, la conservation vise des catégories de personnes : automatique, pour 3 à 10 ans, pour les condamnées (quid de la rédemption ?) et pour ceux qui ont fait l'objet d'une interception téléphonique (en quoi ça prouve quoi que ce soit ?) ;

      • Dissensions au sein de la Commission européenne (les directions générales s'écharpent, mais, au global, sont plutôt pro-flicage) et entre la Commission, le Conseil européen (pro-flicage) et le Parlement européen (anti-flicage) sur l'équilibre à tenir entre poursuite des infractions et protection de la vie privée. Page 69 ;

      • Les rapporteurs évoquent un possible glissement vers d'autres techniques en France : LAPI, vidéo-surveillance, interceptions des communications, enquêtes administratives (plus intrusives mais ciblées donc moins nombreuses, à mon avis), porosité entre les services de renseignement et la justice (ce dont l'Allemagne est soupçonnée, cf. page 123) ou autres preuves numériques (réquisition d'un smartphone, IMSI catcher, perquisition numérique, etc.) ;

        • À mon avis, pour LAPI et la vidéo-surveillance, il faudra décider si tout cela est ciblé au motif que "peu" d'endroits sont couverts, ou si ça ne l'est pas car, si c'est positionné aux endroits clés, alors c'est « susceptible de tirer des conclusions précises sur la vie privée d'une personne » (mantra de la CJUE pour invalider la rétention généralisée). À mes yeux, une plaque d'immatriculation a le même statut qu'une adresse IP (identification) ;
      • Page 114 : certains demandent toujours des autorisations prospectives : accès aux fadettes d'un suspect puis identification des contacts voire accès aux fadettes et aux autres données de connexion d'un contact, tout ça à partir d'une seule autorisation initiale. Les rapporteurs doutent de la conformité à la jurisprudence de la CJUE qui veut un contrôle préalable de chaque accès. Bref, la leçon n'a pas encore été apprise.
    • À partir de la page 137, étude comparative de la conservation des données de connexion dans l'UE. Quelques éléments hallucinants : l'Irlande conservait 2 ans. Aucune mise en conformité après l'arrêt Digital Right Ireland, seulement après Garda Síochána ; Italie : conservation toujours généralisée, pour 6 ans (!) ; Lettonie : 18 mois ; Pologne a ignoré les arrêts CJUE alors que certains pensent que la motivation de la CJUE vient des démocraties illibérales ; Pays-Bas et Slovaquie : seules les données utiles aux besoins techniques ou commerciaux des opérateurs sont disponibles ;

    • Page 85 : la conservation rapide vient de la Convention de Budapest de 2001 sur la cybercriminalité. Celle-ci ne précise pas si cela porte sur l'historique (données conservées). La CJUE n'a rien dit que la conservation rapide, sauf qu'il ne peut y avoir accès pour autre finalité que celle qui a justifié la collecte (criminalité grave != sécurité nationale). Mais une injonction de conservation rapide n'ajouterait-elle pas, après-coup, une finalité, se demandent les rapporteurs. Pour moi, c'est non, mais, au final, on retrouve cette idée de réutilisation pour une finalité compatible dans l'article 5(1)b du RGPD, et, au final, que la conservation ait lieu pour l'obligation légale X ou Y ne change environ rien… ;

    • Pages 72 à 74 : règlement européen e-evidence (preuves électroniques dans les procédures pénales), adopté en 2023, entrée en vigueur en 2026 :

      • Rénove le cadre issu de la Convention de Budapest de 2001 sur la cybercriminalité ;

      • Forcer les grands acteurs du numérique à coopérer avec les autorités judiciaires de manière fluide, y compris pour des enquêtes nationales ;

      • Comme DMA / DSA : représentant légal dans l'UE dès que service proposé dans l'UE ;

      • Injonction à produire les preuves sous dix jours (8 h en cas d'urgence) ;

      • Injonction de conserver les preuves (conservation rapide, quick freeze) pour 60 jours, renouvelable pour 90 jours de plus ;

      • Les magistrats pourront émettre les deux types d'injonction pour toute infraction pénale en ce qui concerne les données d'identification. Seuls un juge du siège, un juge d'instruction ou une juridiction pourront requérir les données de trafic ou de localisation (que la nomenclature UE inclut dans les données de trafic), et le contenu, si l'infraction présumée est passible d'au moins 3 ans de taule ou pour certaines infractions entièrement ou partiellement commises en ligne (pédoporn, attaque d'un système d'information, terrorisme, etc.). En cas d'urgence, les enquêteurs pourront enjoindre, contrôle a posteriori sous 48 h ;

      • 2 % du chiffre d'affaires si manquement ;

      • Quelques gardes fous : si l'État d'émission d'une injonction n'est pas celui où a eu lieu l'infraction ni celui où réside l'auteur présumé, alors ledit État doit notifier sa demande aux autorités du pays d'établissement de l'intermédiaire technique, qui peut bloquer (mais bien sûûûûr). La notification pourra ( ;) ) être automatique pour les États émetteurs qui violent systématiquement l'état de droit ; protections spécifiques pour les avocats, journalistes, secret médical, etc. ;

      • Bien entendu, s'il n'y a pas de conservation généralisée, les injonctions ne retourneront que les données conservées par les intermédiaires techniques pour leurs besoins techniques ou commerciaux ;

      • Au final, ça respecte la jurisprudence de la CJUE en matière de données de connexion, d'où il est probable que ça serve de modèle / de fondation ;

      • Les rapporteurs voient, dans le quantum de peine et dans les infractions spécifiques, l'émergence d'une approche européenne de ce qu'est la criminalité grave (même si elle est déjà définie dans les procédures de coopérations, pour ces seules procédures). Elle ouvrerait la voie à une définition européenne des règles de procédures pénales (ce qui serait contraire à la répartition des compétences prévue par les traités).
    • Les officiers de police judiciaire (OPJ) formulent leur demande aux magistrats par téléphone. Les OPJ demandaient aux opérateurs par fax, courrier, email. Faible traçabilité. Depuis 2016, Plateforme nationale des interceptions judiciaires (PNIJ) gérée par l'Agence nationale des techniques d’enquêtes numériques judiciaires (ANTENJ) ;

    • Il faudrait harmoniser le périmètre des autorisations d'accès aux données de connexion car certains parquets les octroient par dossier pour 6 mois, d'autres pour chaque nouvelle ligne identifiée. Une autorisation par ligne semble au-delà des exigences de la CJUE, mais une par dossier ne semble pas acquise (page 113). De même, différences entre parquet et juge d'instruction du même ressort. Différences en fonction des individus mis en cause, du lieu, de l'environnement perso, etc. (page 18) ;

    • De même, il faudrait préciser ce qu'il convient de conserver et combien de temps car l'appréciation varie chez les 4 grands opérateurs. Exemple : la localisation en l'absence de communication serait conservée 1 ans pour 2 d'entre eux, 90 jours pour un 3e, pas conservé pour le dernier ;

    • Normalement, le droit à la preuve catégorise les moyens de preuve en fonction de leur degré d'atteinte à la vie privée. Or, en matière de preuve numérique (au-delà des données de connexion donc, réquisition smartphone, perquisition numérique, etc.), il n'y a pas eu de réflexion globale, la législation a été complétée au fil de l'eau, au gré des techniques, ce qui induit une disparité des régimes. Un même quantum de peine autorise des techniques plus ou moins intrusives. Une URL est à la fois une métadonnée et un contenu (en ce qu'elle le révèle). Pourtant, les L851-3 (boîtes noires) et L851-2 (accès temps réel) du Code de la sécurité intérieure les chopent (le Conseil constitutionnel a dit non pour les boîtes noires dans sa décision 2025-885 DC sur la loi narcotrafic. Je pense que le rapport confond accès en temps réel aux données de connexion et interception. De même, la liste des applis d'un smartphone en dit long sans être du contenu (pages 31-33). Bref, le clivage contenant (métadonnées) / contenu n'est pas pertinent, il faudrait revoir la classification des différentes données de connexion (identité civile, trafic/localisation, identification c'est-à-dire donnée pivot, comme une adresse IP) ;

    • Plateforme nationale des interceptions judiciaires, PNIJ (pages 44-47) :

      • Dernier audit par la CNIL : 2022-2023. Dernier audit par l'ANSSI : 2016 (!) ;

      • En parallèle du Commissariat aux communications électroniques de défense qui intervient pour la supervision technique (définition des spécifications techniques des équipements déployés par les opérateurs pour mettre en œuvre leurs obligations légales, la mise en place des liaisons entre les opérateurs et les plateformes, la vérification de leur bon fonctionnement et du respect des normes de sécurité informatique, etc.). Le Commissariat est complémentaire à l'Agence nationale des techniques d’enquêtes numériques judiciaires (ANTENJ) qui assure la maintenance correctrice de la PNIJ, le développement de nouvelles fonctionnalités, et l'assistance aux utilisateurs ;

      • 20 à 30 opérateurs sont branchés sur la PNIJ (sur environ 1800), mais la collecte portant sur les clients des NVMO (opérateurs sans réseau physique) se ferait via les opérateurs disposant d'un réseau physique (hum… pourquoi avoir raccordé 20 à 30 opérateurs si ça sert à rien ?) ;

      • Traçabilité 3 ans des actions sur la PNIJ ;

      • La PNIJ ne contrôle pas l'authenticité de la demande : c'est l'OPJ qui saisi sa demande, pas le magistrat qui l'autorise ; la PNIJ ne vérifie pas si l'OPJ est dans le même ressort que le magistrat qui l'aurait autorisé ;

      • La PNIJ ne couvrirait pas les FAI (je pense que le rapport parle ici uniquement des interceptions, car, il consigne par ailleurs que les données de connexion passent par la PNIJ, et la grille de compensation financière prévoit des actions sur des adresses IP via la PNIJ, mais peut-être uniquement pour les 4 opérateurs…), les Over The Top (surtout ceux extra-UE comme Google ou Meta), ni les opérateurs satellites, ni l'interception en Outre-Mer.

    • 20 à 25 % de « hors PNIJ », notamment par des logiciels d'interception tiers (pages 48-49). Le hors PNIJ, qui n'offre pas les mêmes garanties (traçabilité, sécurité, etc.) est anormalement élevé dans certains services (page 49). Attention au chiffre : la PNIJ ne couvre pas toutes les technos ni tous les opérateurs donc est-ce 20-25 % des requêtes que la PNIJ pourrait servir ou 20-25 % de toutes les réquisitions, ce qui a moins de sens ? ;

      • Confirmation que Google et Meta refusent de répondre en direct aux enquêteurs, hors PNIJ, ce à quoi ils ne sont pas tenus, et qu'ils contrôlent l'opportunité (la légitimité) de la demande (page 47) ;

    • « Para-PNIJ » : réutilisation des données obtenues via la PNIJ (ou hors PNIJ) dans des logiciels de rapprochement judiciaire (MERCURE, ANACRIM, DeveryAnalytics, etc.) qui n'offrent pas les mêmes garanties (traçabilité, etc.), au titre que la PNIJ manque de fonctionnalités, genre, exemple périmé, la visualisation graphique de la géolocalisation (page 48) ;

      • Logiciels de rapprochement judiciaires :

        • Autorisés par la LOPPSI 2 de 2011, cf. les articles 230-20 à 230-27 et R40-39 à R40-41 du Code de procédure pénale (page 50) et décret 2012-687. Le Conseil constitutionnel a posé une réserve d'interprétation dans sa décision 2011-625 DC : pas de traitement général, c'est par enquête. Fin 2024, la CNIL relevait que les logiciels d'analyse vidéo, dont reconnaissance faciale, ne font pas partie des logiciels de rapprochement judiciaire au sens du décret de 2012 ;

        • Autorisés par décret après avis de la CNIL.

        • Chapsvision rachète tout le monde (MERCURE, Elektron, Deveryware, etc.) ;
      • Les rapporteurs s'inquiètent (pages 51-52) : l'usage de ces logiciels requiert une masse conséquente de données, l'usage constitue un rapprochement automatisé, de la découverte fortuite (donc comment adapter le contrôle, basé sur la gravité de l'atteinte aux droits, quand on ignore à l'avance ce qu'on va découvrir ?), et une absence de traçabilité.
    • Avant août 2006, la compensation d'un accès aux données de connexion était librement facturée par les opérateurs (page 42). Depuis, forfait pour investir en matériel + facturation à l'acte, cf. A43-9 du Code de procédure pénal (note 2 en bas de page 41). 69 M€ en 2005, 38 M€ en 2006, 122,5 M€ en 2015 (page 42) ;

    • Page 111 : l'ANSSI n'a pas de compétence pour superviser les équipements utilisés par les opérateurs pour collecter et conserver les données de connexion. La vulnérabilité aux attaques extérieures des systèmes d'information des 4 opérateurs est auditée par l'ANSSI au titre qu'ils sont OIV (c'est pour ça les fuites de données chez 3 d'en eux en 2024-2025 ? :)))) Sources : 1, 2, 3). Le R226-1 du Code pénal donne compétence à l'ANSSI sur l'emploi de dispositifs permettant les interceptions et la géolocalisation en temps réel. Les rapporteurs proposent l'homologation du matériel utilisé par les opérateurs pour collecter et conserver les données de connexion (lol) ;

    • Recherche géographique inversée (qui était dans telle zone géographique à telle heure au lieu de vérifier si tel suspect était dans telle zone). Page 34 : « la liste des utilisateurs présents dans une même zone à un instant déterminé via le recueil des flux ayant transité par une ou plusieurs bornes » ; « Elles permettent également, par recoupement des numéros de téléphone ayant « borné » dans certains lieux au moment de la commission de plusieurs infractions ». Page 38 : « […] soit pour identifier l’ensemble des utilisateurs présents sur une zone par « bornage » […] ». Page 39. Page 122 : « Il va essayer de voir qui pouvait se trouver dans le secteur à l’heure concernée. ». On retrouve cela dans la grille tarifaire de compensation des opérateurs (MT 40 / MT 41). Ainsi, il n'y aurait pas que les mézants ricains qui pratique cela ? :)))) ;

    • L'accès en temps réels aux données de connexion serait plus intrusif que l'accès différé (à ce qui est conservé), car ça recouvrerait aussi les données traitées par les opérateurs pour leurs besoins techniques, comme la localisation GPS (comment un opérateur a-t-il ça ?), les données d'acheminement qui permettent de détecter anonymisation ou VPN, les certificats électroniques ou encore les identifiants et les mots de passe (page 28). Gné ? Ça ressemble à de l'interception des communications, quel rapport avec les données de connexion ? ;

    • La directive e-privacy, qui précise l'application du RGPD dans le domaine des communications électroniques et les dérogations, n'est pas entièrement compatible avec le RGPD, sans plus de précision. Page 70 ;

    • Page 48 : « analyse des flux interne chiffrés » : kézako ? ;

    • On reconnaît un rapport sénatorial à ce qu'à plusieurs reprises, les rapporteurs râlent que la CJUE contraint l'État alors que les grands acteurs du numérique font ce qu'ils veulent, y compris du profilage qui « est susceptible de permettre de tirer des conclusions très précises concernant la vie privée d'une personne » (qui est ce que la CJUE radote dans ses arrêts sur la rétention des données de connexion). Pages 24, 58, 69, 126. Pourtant, il y a le RGPD. Qui les laisse faire ? Pourquoi la CNIL et ses homologues européennes ne font jamais rien ?! Il faut combattre le privé comme le public.


    Groupe européen de haut-niveau pour l'accès aux données pour une application efficace de la loi

    • Aussi nommé groupe de réflexion « Going Dark » (:O) ou groupe d'experts ADELE (access to data for effective law enforcement) ;

    • Sous l'autorité de la direction générale des affaires intérieures (aka DG Home) de la Commission européenne et de la Présidence du Conseil européen, qui sont tous deux pro-flicage, d'après le rapport de la section précédente, page 69 ;

    • Recommandations en juin 2024, rapport final en novembre 2024 ;

    • Ça va bien plus loin que les données de connexion : interception, déchiffrement, coopération, investigation numérique, preuve numérique. Je n'ai lu que les introductions, synthèses / résumés, et sections concernant la rétention des données de connexion ;

    • Les données conservées par les intermédiaires techniques pour leurs besoins techniques ou commerciaux doivent être accessibles aux autorités, y compris si le fournisseur chiffre les métadonnées ou les données d'identité civile ;

    • Forcer l'enregistrement des utilisateurs d'un service (création d'un compte), sans quoi, les fournisseurs de service qui n'ont pas de besoin commercial n'auront rien à communiquer en cas d'injonction (quid de l'adresse IP ?) ;

    • Obligation minimale de conserver les données de connexion permettant d'identifier un utilisateur, comme l'adresse IP source et le numéro de port ;

    • Le reste est basique : harmonisation du cadre juridique sur la rétention des données de connexion et sur l'accès à celles-ci (en se basant sur le règlement e-evidence, cf. supra), cadre indépendant des technos, standardisation des échanges entre acteurs, coopération, le chiffrement pose des difficultés, etc.


    Déclaration du Comité européen de la protection des données (CEPD) sur les recommandations du groupe de haut-niveau

    • Novembre 2024 ;

    • Le groupe d'experts propose un régime de conservation harmonisé pour tous les fournisseurs de services qui peuvent octroyer un accès à des preuves numériques, peu importe leur type. Le CEPD y voit une extension au-delà des services de communication électroniques accessibles au public qui sont les seuls concernés à ce jour par la rétention des données de connexion, ce qui conduirait à une surveillance généralisée. Et, en effet, à la page 36 de son rapport, le groupe évoque les LLM, les constructeurs automobiles, les opérateurs de communication sans numérotation (dit Over The Top, comme les apps de messagerie, qui ne sont pas couverts par la législation genre FR) , etc. ;

    • Sur la conservation minimale des éléments permettant d'identifier une personne, le CEPD rappelle qu'il s'agit de conserver l'identité civile et les adresses IP de manière indiscriminée. Dans son arrêt C-470/21 (LQDN / HADOPI), la CJUE a jugé qu'une telle conservation généralisée et indifférenciée est possible pour tout type d'infraction tant qu'elle ne permet pas de tirer des conclusions précises sur la vie privée d'une personne. Ainsi, le CEPD rappelle que toute combinaison des adresses IP avec d'autres données est impossible et que le raisonnement de la CJUE sur la conservation des IP ne s'applique pas forcément à d'autres types de données de trafic ou de localisation dès lors qu'elles permettent de tirer des conclusions précises sur la vie privée d'une personne.


    Rapport d'Eurojust sur l'effet de la jurisprudence de la CJUE sur les régimes nationaux de rétention des données de connexion et la coopération judiciaire

    • Novembre 2024 ;

    • Je ne l'ai pas lu, je l'ai survolé. On retrouve ce qui a déjà été dit : diversité des durées, des données conservées, des garanties, des procédures, de ce que sont les infractions graves, etc. La plupart des États-Membres continuent de travailler sur le sujet. L'absence de données de connexion perturberait les enquêtes et la coopération judiciaire européenne (comme d'hab', ce point n'est pas vraiment étayé).


    Étude sur la conservation des metadonnées des communications électroniques à des fins répressives

    • 2020 ;

    • Par un cabinet de conseil belge, pour la direction générale des affaires intérieures de la Commission européenne (pro-flicage, cf. supra) ;

    • Je ne l'ai pas lu, je l'ai survolé ;

    • Page 49 : appréciable diagramme de Venn sur les différents ensemble de données de connexion (identité civile, trafic, identification) ;

    • Page 162 et suivantes : excellente annexe III sur les types de données de connexion conservées par chaque État-Membre de l'UE.
    15/08/2025 15:11:06 - permalink -
    - http://shaarli.guiguishow.info/?m0qUGA
Links per page: 20 50 100
page 1 / 1
Mentions légales identiques à celles de mon blog | CC BY-SA 3.0

Shaarli - The personal, minimalist, super-fast, database free, bookmarking service by the Shaarli community