Stephanie Sioen Posted March 8, 2011 Posted March 8, 2011 Je voulais vous signaler la publication (enfin!!) du décret d'application de l'article 6-II de la loi LEN du 21 juin 2004 concernant la nature des données d'identification que doivent conserver les FAI et les hébergeurs. Ce décret a été publié le 25 février 2011 (n°2011-219). Dans l'article : Conservation des données d'identification je vous précise les principales obligations en la matière concernant uniquement les hébergeurs. Bonne lecture.
Arlette Posted March 9, 2011 Posted March 9, 2011 Bonsoir Stéphanie, Merci encore pour ton retour et analyse du décret . La première question qui me vient à l'esprit : "Comment être certain que l'on soit hébergeur ? "... Ben oui, dans la mesure ou jusqu'à ce jour en cas de litige on demandait au tribunal de trancher sur "To be or not to be hébergeur" cela implique que la définition peut être discutable. Alors, le FAI soit c'est clair et net, mais l'hébergeur c'est plus sujet à discussion non ? Ma deuxième réflexion est : "Le code génétique est-il considéré comme une donnée d'identification ?" ... Ma question n'est pas si farfelue, vu que j'ai le souvenir d'un site qui se proposait de séquencer l'ADN pour en faire un tableau. Alors très sympathique au demeurant, mais des sites de ce type on donc l'obligation de garder le résultat en vue d'identification des individus en cas de besoin ? N'hésitez pas à donner vos avis
tataye54 Posted March 10, 2011 Posted March 10, 2011 si je comprends bien, c'en est fini des petits artisans du web. en effet, comment faire pour avoir des clients à qui tu vas expliquer que tu vas garder ses mots de passes durant un an ? ainsi que le contenu de son site ? et puis , par exemple, mon hebergeur mail va donner mon mot de passe dès la moindre enquète ? et les données bancaires ? comment garantir qu'elles ne seront pas données ? il fut un temps ou il fallait une décision de justice pour cela, désormais, la police, le fisc ou d'autres pourront le faire sans passer par un juge si j'ai bien suivi
Stephanie Sioen Posted March 11, 2011 Author Posted March 11, 2011 pour répondre aux différentes questions: L'hébergeur ne peut pas donner les données comme bon lui semble, la loi LEN du 21 juin 2004 prévoit que l'hébergeur est soumis au secret professionnel. seule l'autorité judiciaire ne peut pas se voir opposer le secret professionnel. rien n'a changé, il faudra toujours passer par la case tribunal pour obtenir ces données. Par ailleurs, si les acteurs d'Internet respectent la loi et notamment les professionnels,il n'est pas nécessaire de s'adresser à l'hébergeur. En effet, un éditeur doit mettre en ligne son identité (dénomination sociale, capital, siège social, n° RCS, n° TVA, courrier électronique et téléphone. il doit aussi indiquer le nom du directeur de Publication cad le dirigeant ainsi que les coordonnées de l'hébergeur). Donc en principe, en cas de litige, on s'adresse à l'éditeur si cela ne marche pas, on s'adresse à l'hébergeur en lui demandant de retirer le contenu "manifestement illicite" et ensuite on saisit le tribunal pour faire sanctionner l'éditeur et l'hébergeur s'il n'a rien et que le contenu est bien manifestement illicite. Ces données d'identification sont nécessaires pour toute victime d'un contenu illicite (diffamation, injure, atteinte à la vie privée, au droit à l'image, atteinte au droit de la propriété intellectuelle, etc...). Internet n'est pas une zone de non droit. Arlette pour répondre à ta question sur le fait de savoir qui est hébergeur, c'est bien là le problème. c'est au fur et à mesure des décisions de justice que l'on peut savoir qui est susceptible de bénéficier du statut d'hébergeur. Par exemple, il est pratiquement acquis qu'un site de partage de contenus est un hébergeur. De même pour le titulaire du site qui permet à toute personne de créer son blog. pour un forum de discussion,, c'est un peu plus compliqué. du point de vue de la loi LEN, le titulaire d'un forum de discussion est un hébergeur s'il n'y a pas de modération ou bien s'il y a une modération a posteriori. a contrario, il sera considéré comme un éditeur s'il y a une modération a priori puisqu'il y aura eu fixation préalable. Cependant, même si du point de vue de la loi LEN il est considéré comme un hébergeur, sa responsabilité pourrait être engagée en sa qualité de producteur du forum de discussion (il a pris l'initiative, le risque des investissements). je pense que si tu le souhaite Arlette, je pourrais un récapitulatif des dernières décisions concernant l'application du statut de l'hébergeur.
Arlette Posted March 11, 2011 Posted March 11, 2011 Merci pour les réponses je pense que si tu le souhaite Arlette, je pourrais un récapitulatif des dernières décisions concernant l'application du statut de l'hébergeur. Oui, oui bien sûr que ça nous intéresse . Il n'était même pas nécessaire de poser la question
captain_torche Posted March 11, 2011 Posted March 11, 2011 En ce qui concerne la conservation des mots de passe par un hébergeur, est-ce une obligation légale désormais ? Techniquement, aucun hébergeur sérieux ne stockerait de mot de passe "en clair" dans une quelconque base de données. C'est le plus souvent un hash (une empreinte du mot de passe, non décryptable) qui est stocké, et qui ne permet aucunement de connaître le mot de passe originel.
Patrick Posted March 11, 2011 Posted March 11, 2011 Merci pour ces explications plus qu'intéressantes ! Concernant la conservation des données sensibles, j'ai pris l'habitude de les conserver au format papier dans une armoire forte, pour la version numérique, comme le précise captain_torche, juste une empreinte. Je ne sais pas si j'ai devancé la loi, mais il me semble (surement à tord) qu'un professionnel doit conserver tous les échanges avec ses clients pendant 10 ans. C'est donc ce que je fais (au secours ça déborde). A raison, à tord ? ++ Patrick
Stephanie Sioen Posted March 21, 2011 Author Posted March 21, 2011 @ Arlette: bien compris pour le récapitulatif des décisions sur les hébergeurs @ captain_torche: oui la conservation du mot de passe est une obligation légale. Ce qui est indiqué dans mon post ressort du décret. @ patrick: l'obligation pour les commerçants de conserver les documents contractuels est bien de 10 ans donc à raison.
captain_torche Posted March 21, 2011 Posted March 21, 2011 Et donc, que va t'il se passer quand un site sera dans l'impossibilité technique de fournir un mot de passe aux autorités ?
Lentreprenaute Posted March 21, 2011 Posted March 21, 2011 (edited) En ce qui concerne la conservation des mots de passe par un hébergeur, est-ce une obligation légale désormais ? Techniquement, aucun hébergeur sérieux ne stockerait de mot de passe "en clair" dans une quelconque base de données. C'est le plus souvent un hash (une empreinte du mot de passe, non décryptable) qui est stocké, et qui ne permet aucunement de connaître le mot de passe originel. Mon capitaine, Il n'est pas écrit qu'il faille garder le mot de passe en clair mais : (...) g) Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour ; (...) ps: je corrige une chose, j'espère que vous avez bien conservé la version antérieure de mon message (article 2 sic) Edited March 21, 2011 by Lentreprenaute
captain_torche Posted March 21, 2011 Posted March 21, 2011 Moi je lis "le mot de passe AINSI que les données permettant de le vérifier", et non pas "le mot de passe OU les données permettant de le vérifier". Le hash seul rentrerait dans cette seconde formulation, mais ne correspond pas à mon sens à la première.
Lentreprenaute Posted March 21, 2011 Posted March 21, 2011 (edited) Moi je lis "le mot de passe AINSI que les données permettant de le vérifier", et non pas "le mot de passe OU les données permettant de le vérifier". Le hash seul rentrerait dans cette seconde formulation, mais ne correspond pas à mon sens à la première. Un mot de passe crypté est vérifiable si l'on dispose des données (clé) servant à l'encrypter. Edited March 21, 2011 by Lentreprenaute
captain_torche Posted March 21, 2011 Posted March 21, 2011 Je le sais parfaitement, mais je parle de hash, qui est un algorithme par définition non décryptable. De (très) nombreux sites, forums et autres utilisent cette méthode, et seraient donc de facto hors-la-loi ?
Lentreprenaute Posted March 21, 2011 Posted March 21, 2011 (edited) Je le sais parfaitement, mais je parle de hash, qui est un algorithme par définition non décryptable. De (très) nombreux sites, forums et autres utilisent cette méthode, et seraient donc de facto hors-la-loi ? Autant pour moi Captain, Je pensais que le hash n'était pas irréversible pour reformater les données natives (d'un mauvais conseil qui m'avait soutenu que le md5 se déchiffrait car justement j'avais mis mon véto sur un projet ou tous les passwords étaient en clair) . Bref selon la loi, il faudra avoir la maitrise du cryptage donc si l'on veut s'y conformer exit le hash ! Et encore s'il n'y avait que cela, rare seront les sites strictement conformes à la législation. Edited March 21, 2011 by Lentreprenaute
captain_torche Posted March 21, 2011 Posted March 21, 2011 Techniquement, il est possible de trouver des collisions avec le MD5 (deux données qui génèrent le même hash), mais il n'y a aucune garantie de retrouver la chaîne d'origine.
captain_torche Posted April 5, 2011 Posted April 5, 2011 Apparemment, le décret déplaît à certains : Google, Facebook et Dailymotion déposent un recours auprès du Conseil d'État.
Recommended Posts
Please sign in to comment
You will be able to leave a comment after signing in
Sign In Now