Quelles données doivent être légalement journalisée par un site web ?

a marqué ce sujet comme résolu.
Auteur du sujet

Bonsoir,

Dans le cadre des serveurs de Zeste de Savoir, je me pose la question des données que nous sommes légalement obligés de journaliser. D’après mes recherches, le décret n° 2011–219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne nous oblige à conserver pendant 1 an certaines données.

  • Est-ce bien le cas ?
  • Dans la pratique, quelles données doit-on garder ?
  • Sous quelle forme doivent-elles être conservée ?
  • Y a-t-il d’autres textes légaux à prendre en compte ?
  • Où puis-je avoir des informations à ce propos plus concrètes que les textes légaux, c’est-à-dire compréhensible par un non-juriste ?

Corruptible avec des crêpes au sirop d’érable

+0 -0
Auteur du sujet

On ne sauvegarde pas déjà l’ip à la création d’un contenu ?

A-312

On sauvegarde effectivement une IP pour chaque message posté, mais elles sont gardées en base de données et ce depuis la création du site web, j’aimerais faire ça proprement et pour ça j’ai besoin de savoir ce qui est légalement attendu.

Corruptible avec des crêpes au sirop d’érable

+0 -0

Bonjour,

Est-ce bien le cas ?

Oui, le décret d’application de la LCEN (l’article mis en lien) n’a jamais été abrogé.

La LCEN consiste en grande partie en l’application de deux directives européennes, la directive 2000/31/CE dont les articles 12 à 15 posent les bases de la responsabilité de l’hébergeur (= article 6 de la LCEN) alors que la directive 2002/58/CE autorise, dans son article 15, la mise en place de mesures de durées de conservation des données par l’État (ce qui est fait ici).

Le RGPD, ou règlement 2016/679 cite plusieurs fois ces différentes directives pour dire qu’elle ne les abrogent pas.

Dans la pratique, quelles données doit-on garder ?

Tu permets à des tiers de mettre des contenus (messages de forums, tutoriels) en ligne via ton site Web, tu es donc la personne désignée au 2 du I de l'article 6 de la LCEN (les personnes mentionnées au 1 sont les FAI ou plus largement les opérateurs).

Les données suivantes doivent être conservés lorsqu’un contenu (message, tutoriel…) est créé par un tiers utilisant ton service (article 1 du décret) :

2° Pour les personnes mentionnées au 2 du I du même article et pour chaque opération de création :
a) L’identifiant de la connexion à l’origine de la communication ;
b) L’identifiant attribué par le système d’information au contenu, objet de l’opération ;
c) Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus ;
d) La nature de l’opération ;
e) Les date et heure de l’opération ;
f) L’identifiant utilisé par l’auteur de l’opération lorsque celui-ci l’a fourni ;

Donc en principe l’adresse IP+port (= identifiant de connexion, le port est souvent demandé par les autorités si le fournisseur utilise du CG-NAT), l’ID du message du tutoriel, le type d’action (création de message, de tutoriel), la date et l’heure, l’ID ou le pseudonyme du compte.

Et lorsque le compte est créé :

3° Pour les personnes mentionnées aux 1 et 2 du I du même article, les informations fournies lors de la souscription d’un contrat par un utilisateur ou lors de la création d’un compte :
a) Au moment de la création du compte, l’identifiant de cette connexion ;
b) Les nom et prénom ou la raison sociale ;
c) Les adresses postales associées ;
d) Les pseudonymes utilisés ;
e) Les adresses de courrier électronique ou de compte associées ;
f) Les numéros de téléphone ;
g) Les données permettant de vérifier le mot de passe ou de le modifier, dans leur dernière version mise à jour ;

Donc en principe le pseudo, l’adresse IP+port, le hash du mot de passe et l’e-mail. Le reste n’entre pas dans la cadre du site.

Sous quelle forme doivent-elles être conservée ?

Pas de format particulier prescrit, mais tu dois pouvoir communiquer les données aux forces de l’ordre si elles en font la requête :

« Les conditions de la conservation doivent permettre une extraction dans les meilleurs délais pour répondre à une demande des autorités judiciaires. » (article 4 du décret)

Où puis-je avoir des informations à ce propos plus concrètes que les textes légaux, c’est-à-dire compréhensible par un non-juriste ?

Tu peux naviguer entre le site de la CNIL et/ou les sites d’avocats qui proposent des articles de synthèses à propos de ces thèmes et concepts (notion d’hébergeur, etc.) mais en faisant plusieurs passes sur les quelques textes existants (essentiellement l’article 6 LCEN et son décret d’application + la RGPD qui abroge la plupart des autres textes pour ce qui est la responsabilité de l’hébergeur), on en a vite fait le tour.

C’est plus si tu veux naviguer vers d’autres sujets qui peuvent concerner le développeur d’un site comme la propriété intellectuelle, le droit des bases de données… qu’il va falloir lire d’autres textes.

Bonne journée,

Édité par r0anne

+0 -0

(Juste pour compléter mon propos, il y a un autre règlement, le règlement ePrivacy, qui est en préparation depuis quelques années, et qui devrait abroger la directive 2002/58/CE, mais je pense pas qu’ils enlèvent des moyens aux forces de l’ordre, qui, à les entendre, ont plutôt tendance à en manquer – et je pense que je les comprend. Même si ZdS n’est certainement pas le site le plus concerné par les contenus illicites…)

Édité par r0anne

+0 -0

Si c’est pertinent, l’association La Quadrature du Net refuse, à travers ses différents services, de conserver les données de connexion, car la loi française est contraire au droit européen en la matière. Voir :

À noter que si La Quadrature peut s’amuser à attaquer l’État, la CJUE à éventuellement sanctionner l’État, La Quadrature à choisir l’interprétation la plus avantageuse vis-à-vis de ses convictions d’une loi, de débourser des frais d’avocats… il reste que ce décret est toujours en place, a été validé en 2013 par le Conseil d’État (https://www.legalis.net/jurisprudences/conseil-detat-10eme-sous-section-decision-du-20-novembre-2013/) et que l’État est souverain sur son territoire, commettre un acte de désobéissance est donc possible mais est un choix à prendre.

Sur le reste de la loi en question, je connais des gens qui gèrent un forum à 140 000 messages/jour, la LCEN ils connaissent (particulièrement pour sa partie qui définit la responsabilité de l’hébergeur vis-à-vis du contenu, qui a connu plusieurs jurisprudences, avec Dailymotion par exemple) et l’intercommunication avec les autorités aussi (et c’est globalement ce décret et les articles voisins dans la loi qui en fixent le cadre).

Édité par r0anne

+0 -0
Connectez-vous pour pouvoir poster un message.
Connexion

Pas encore membre ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte