[Stephanie Sioen]

Je voulais vous signaler la publication (enfin!!) du décret d'application de l'article 6-II de la loi LEN du 21 juin 2004 concernant la nature des données d'identification que doivent conserver les FAI et les hébergeurs.

Ce décret a été publié le 25 février 2011 (n°2011-219).

Dans l'article : Conservation des données d'identification je vous précise les principales obligations en la matière concernant uniquement les hébergeurs.

Bonne lecture.

[Arlette]

Bonsoir Stéphanie,

Merci encore pour ton retour et analyse du décret .

La première question qui me vient à l'esprit : "Comment être certain que l'on soit hébergeur ? "...

Ben oui, dans la mesure ou jusqu'à ce jour en cas de litige on demandait au tribunal de trancher sur "To be or not to be hébergeur" cela implique que la définition peut être discutable. Alors, le FAI soit c'est clair et net, mais l'hébergeur c'est plus sujet à discussion non ?

Ma deuxième réflexion est : "Le code génétique est-il considéré comme une donnée d'identification ?" ... Ma question n'est pas si farfelue, vu que j'ai le souvenir d'un site qui se proposait de séquencer l'ADN pour en faire un tableau. Alors très sympathique au demeurant, mais des sites de ce type on donc l'obligation de garder le résultat en vue d'identification des individus en cas de besoin ?

N'hésitez pas à donner vos avis

[tataye54]

si je comprends bien, c'en est fini des petits artisans du web.
en effet, comment faire pour avoir des clients à qui tu vas expliquer que tu vas garder ses mots de passes durant un an ? ainsi que le contenu de son site ?
et puis , par exemple, mon hebergeur mail va donner mon mot de passe dès la moindre enquète ? et les données bancaires ? comment garantir qu'elles ne seront pas données ?
il fut un temps ou il fallait une décision de justice pour cela, désormais, la police, le fisc ou d'autres pourront le faire sans passer par un juge si j'ai bien suivi

[Stephanie Sioen]

pour répondre aux différentes questions:

L'hébergeur ne peut pas donner les données comme bon lui semble, la loi LEN du 21 juin 2004 prévoit que l'hébergeur est soumis au secret professionnel. seule l'autorité judiciaire ne peut pas se voir opposer le secret professionnel. rien n'a changé, il faudra toujours passer par la case tribunal pour obtenir ces données.

Par ailleurs, si les acteurs d'Internet respectent la loi et notamment les professionnels,il n'est pas nécessaire de s'adresser à l'hébergeur. En effet, un éditeur doit mettre en ligne son identité (dénomination sociale, capital, siège social, n° RCS, n° TVA, courrier électronique et téléphone. il doit aussi indiquer le nom du directeur de Publication cad le dirigeant ainsi que les coordonnées de l'hébergeur). Donc en principe, en cas de litige, on s'adresse à l'éditeur si cela ne marche pas, on s'adresse à l'hébergeur en lui demandant de retirer le contenu "manifestement illicite" et ensuite on saisit le tribunal pour faire sanctionner l'éditeur et l'hébergeur s'il n'a rien et que le contenu est bien manifestement illicite.

Ces données d'identification sont nécessaires pour toute victime d'un contenu illicite (diffamation, injure, atteinte à la vie privée, au droit à l'image, atteinte au droit de la propriété intellectuelle, etc...). Internet n'est pas une zone de non droit.

Arlette pour répondre à ta question sur le fait de savoir qui est hébergeur, c'est bien là le problème.
c'est au fur et à mesure des décisions de justice que l'on peut savoir qui est susceptible de bénéficier du statut d'hébergeur.

Par exemple, il est pratiquement acquis qu'un site de partage de contenus est un hébergeur. De même pour le titulaire du site qui permet à toute personne de créer son blog.
pour un forum de discussion,, c'est un peu plus compliqué. du point de vue de la loi LEN, le titulaire d'un forum de discussion est un hébergeur s'il n'y a pas de modération ou bien s'il y a une modération a posteriori.
a contrario, il sera considéré comme un éditeur s'il y a une modération a priori puisqu'il y aura eu fixation préalable.

Cependant, même si du point de vue de la loi LEN il est considéré comme un hébergeur, sa responsabilité pourrait être engagée en sa qualité de producteur du forum de discussion (il a pris l'initiative, le risque des investissements).

je pense que si tu le souhaite Arlette, je pourrais un récapitulatif des dernières décisions concernant l'application du statut de l'hébergeur.

[Arlette]

Merci pour les réponses

Stephanie Sioen, le 11 mars 2011 - 10:16, dit :

je pense que si tu le souhaite Arlette, je pourrais un récapitulatif des dernières décisions concernant l'application du statut de l'hébergeur.

Oui, oui bien sûr que ça nous intéresse . Il n'était même pas nécessaire de poser la question

[captain_torche]

En ce qui concerne la conservation des mots de passe par un hébergeur, est-ce une obligation légale désormais ?
Techniquement, aucun hébergeur sérieux ne stockerait de mot de passe "en clair" dans une quelconque base de données. C'est le plus souvent un hash (une empreinte du mot de passe, non décryptable) qui est stocké, et qui ne permet aucunement de connaître le mot de passe originel.

[Patrick]

Merci pour ces explications plus qu'intéressantes !

Concernant la conservation des données sensibles, j'ai pris l'habitude de les conserver au format papier dans une armoire forte, pour la version numérique, comme le précise captain_torche, juste une empreinte.
Je ne sais pas si j'ai devancé la loi, mais il me semble (surement à tord) qu'un professionnel doit conserver tous les échanges avec ses clients pendant 10 ans. C'est donc ce que je fais (au secours ça déborde). A raison, à tord ?

++

Patrick

[Stephanie Sioen]

@ Arlette: bien compris pour le récapitulatif des décisions sur les hébergeurs
@ captain_torche: oui la conservation du mot de passe est une obligation légale. Ce qui est indiqué dans mon post ressort du décret.
@ patrick: l'obligation pour les commerçants de conserver les documents contractuels est bien de 10 ans donc à raison.

[captain_torche]

Et donc, que va t'il se passer quand un site sera dans l'impossibilité technique de fournir un mot de passe aux autorités ?

[Lentreprenaute]

captain_torche, le 11 mars 2011 - 11:03, dit :

En ce qui concerne la conservation des mots de passe par un hébergeur, est-ce une obligation légale désormais ?
Techniquement, aucun hébergeur sérieux ne stockerait de mot de passe "en clair" dans une quelconque base de données. C'est le plus souvent un hash (une empreinte du mot de passe, non décryptable) qui est stocké, et qui ne permet aucunement de connaître le mot de passe originel.

Mon capitaine,

Il n'est pas écrit qu'il faille garder le mot de passe en clair mais :

(...)
g) Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour ;
(...)

ps: je corrige une chose, j'espère que vous avez bien conservé la version antérieure de mon message (article 2 sic)

Ce message a été modifié par Lentreprenaute - 21 mars 2011 - 17:12.

[captain_torche]

Moi je lis "le mot de passe AINSI que les données permettant de le vérifier", et non pas "le mot de passe OU les données permettant de le vérifier". Le hash seul rentrerait dans cette seconde formulation, mais ne correspond pas à mon sens à la première.

[Lentreprenaute]

captain_torche, le 21 mars 2011 - 17:14, dit :

Moi je lis "le mot de passe AINSI que les données permettant de le vérifier", et non pas "le mot de passe OU les données permettant de le vérifier". Le hash seul rentrerait dans cette seconde formulation, mais ne correspond pas à mon sens à la première.

Un mot de passe crypté est vérifiable si l'on dispose des données (clé) servant à l'encrypter.

Ce message a été modifié par Lentreprenaute - 21 mars 2011 - 17:22.

[captain_torche]

Je le sais parfaitement, mais je parle de hash, qui est un algorithme par définition non décryptable.
De (très) nombreux sites, forums et autres utilisent cette méthode, et seraient donc de facto hors-la-loi ?

[Lentreprenaute]

captain_torche, le 21 mars 2011 - 17:25, dit :

Je le sais parfaitement, mais je parle de hash, qui est un algorithme par définition non décryptable.
De (très) nombreux sites, forums et autres utilisent cette méthode, et seraient donc de facto hors-la-loi ?

Autant pour moi Captain,

Je pensais que le hash n'était pas irréversible pour reformater les données natives (d'un mauvais conseil qui m'avait soutenu que le md5 se déchiffrait car justement j'avais mis mon véto sur un projet ou tous les passwords étaient en clair) .

Bref selon la loi, il faudra avoir la maitrise du cryptage donc si l'on veut s'y conformer exit le hash ! Et encore s'il n'y avait que cela, rare seront les sites strictement conformes à la législation.

Ce message a été modifié par Lentreprenaute - 21 mars 2011 - 17:50.

[captain_torche]

Techniquement, il est possible de trouver des collisions avec le MD5 (deux données qui génèrent le même hash), mais il n'y a aucune garantie de retrouver la chaîne d'origine.

[captain_torche]

Apparemment, le décret déplaît à certains : Google, Facebook et Dailymotion déposent un recours auprès du Conseil d'État.