Décret sur le contenu en ligne

[Topsitemaker]

Bonjour,

C'est tout chaud,
Un décret relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne

http://www.legifrance.gouv.fr/affic...FTEXT000023646013&dateTexte=&categorieLien=id

Les données mentionnées au II de l'article 6 de la loi du 21 juin 2004 susvisée, que les personnes sont tenues de conserver en vertu de cette disposition, sont les suivantes :
1° Pour les personnes mentionnées au 1 du I du même article et pour chaque connexion de leurs abonnés :
a) L'identifiant de la connexion ;
b) L'identifiant attribué par ces personnes à l'abonné ;
c) L'identifiant du terminal utilisé pour la connexion lorsqu'elles y ont accès ;
d) Les dates et heure de début et de fin de la connexion ;
e) Les caractéristiques de la ligne de l'abonné ;
2° Pour les personnes mentionnées au 2 du I du même article et pour chaque opération de création :
a) L'identifiant de la connexion à l'origine de la communication ;
b) L'identifiant attribué par le système d'information au contenu, objet de l'opération ;
c) Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus ;
d) La nature de l'opération ;
e) Les date et heure de l'opération ;
f) L'identifiant utilisé par l'auteur de l'opération lorsque celui-ci l'a fourni ;
3° Pour les personnes mentionnées aux 1 et 2 du I du même article, les informations fournies lors de la souscription d'un contrat par un utilisateur ou lors de la création d'un compte :
a) Au moment de la création du compte, l'identifiant de cette connexion ;
b) Les nom et prénom ou la raison sociale ;
c) Les adresses postales associées ;
d) Les pseudonymes utilisés ;
e) Les adresses de courrier électronique ou de compte associées ;
f) Les numéros de téléphone ;
g) Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour ;
4° Pour les personnes mentionnées aux 1 et 2 du I du même article, lorsque la souscription du contrat ou du compte est payante, les informations suivantes relatives au paiement, pour chaque opération de paiement :
a) Le type de paiement utilisé ;
b) La référence du paiement ;
c) Le montant ;
d) La date et l'heure de la transaction.
Les données mentionnées aux 3° et 4° ne doivent être conservées que dans la mesure où les personnes les collectent habituellement.

En gros chaque site est dans l'obligation de conserver les informations diffusées par ses membres.

J'ai mis en gras ce qui pouvait poser souci (le point 3g), vérifier et modifier un mot de passe OK, mais si je comprends bien il faudrait laisser les mots de passes en clair au cas où on nous les demanderait 8O

 

[amph37]

tu fournis le mot de passe hashé ...

 

[Marie-Aude]

Il s'agit des hébergeurs, non ?
Le 1 du I du 6 et le 2 du I du 6 (touché coulé)

I.-1. Les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne informent leurs abonnés de l'existence de moyens techniques permettant de restreindre l'accès à certains services ou de les sélectionner et leur proposent au moins un de ces moyens.

Les personnes visées à l'alinéa précédent les informent également de l'existence de moyens de sécurisation permettant de prévenir les manquements à l'obligation définie à l'article L. 336-3 du code de la propriété intellectuelle et leur proposent au moins un des moyens figurant sur la liste prévue au deuxième alinéa de l'article L. 331-26 du même code.

2. Les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis par des destinataires de ces services ne peuvent pas voir leur responsabilité civile engagée du fait des activités ou des informations stockées à la demande d'un destinataire de ces services si elles n'avaient pas effectivement connaissance de leur caractère illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces données ou en rendre l'accès impossible.

 

[Topsitemaker]

Aucune réaction ...

Je pense que toute l'audience de WRI est concerné par ce texte

http://www.commentcamarche.net/news/5854370-un-recours-devant-le-conse ... ecret-lcen

 

[tonguide]

Toute l'audience de WRI est déjà sur le site "comment s'expatrier pour les nuls"

 

[HawkEye]

tu fournis le mot de passe hashé ...

Après tout... s'ils veulent qu'on leur hache le travail... c'est ce qu'ils obtiendront :mrgreen:

 

[Dolph]

Je crois que pour ce qui touche au mot de passe, vous n'avez pas saisi.
Nullement il est demandé de le stocke en clair...

Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour

Ca veut dire quoi...
Qu'il faut être capable de donner le script de cryptage ou de hashage utilisé.
Qu'il faut être capable de donner les info de connexion lors de sa création (en général l'inscription), soit login, idsession, date, heure, la ligne (système et navigateur) et plus si il y a (genre phrase de récupération, etc...)

Ca veut dire aussi que tout cela doit être sauvegarde à l'écart lorsque qu'une demande de modif de mot de passe et faite, et de conserver également les nouvelles données.

Donc, c'est lourd, chiant, mais ce n'est pas garder le passe en clair quelque part. ;-)

 

[Dolph]

Je crois que pour ce qui touche au mot de passe, vous n'avez pas saisi.
Nullement il est demandé de le stocke en clair...

Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour

Ca veut dire quoi...
Qu'il faut être capable de donner le script de cryptage ou de hashage utilisé.
Qu'il faut être capable de donner les info de connexion lors de sa création (en général l'inscription), soit login, idsession, date, heure, la ligne (système et navigateur) et plus si il y a (genre phrase de récupération, etc...)

Ca veut dire aussi que tout cela doit être sauvegarde à l'écart lorsque qu'une demande de modif de mot de passe et faite, et de conserver également les nouvelles données.

Donc, c'est lourd, chiant, mais ce n'est pas garder le passe en clair quelque part. ;-)

Il s'agit des hébergeurs, non ?

... et vu qu'au final, du moment qu'un internaute peut mettre des info sur un site, il devient de facto hébergeur...

 

[Marie-Aude]

... et vu qu'au final, du moment qu'un internaute peut mettre des info sur un site, il devient de facto hébergeur...

Non, éditeur ... éventuellement "assimilé" à un hébergeur, ce qui est différent. Là on parle u 1. des FAI, au 2. des stockeurs de données.

Imaginons que j'ai un site communautaire, et que je modère a priori les contributions, je ne suis donc pas assimilé à un hébergeur, suis-je concerné ?
Deuxièmement, imaginons que ce site permette aux membres de créer leurs profils en utilisant OpenID, quelle est exactement mon obligation ?
En cas d'utilisation d'un mutualisé, sur qui porte l'obligation ?

(Après, en pratique, menfou un peu, je ne suis pas en France, et je n'ai pas de sites communautaires ^^)

 

[Dolph]

Tu met un site en ligne via ... ovh, par exemple.
Tu es éditeur, ovh hébergeur.
Tu place un forum sur ton site.
L'internaute devient éditeur, toi, tu es éditeur et hébergeur de son contenu et ovh hébergeur de ton contenu.

Pourquoi Fuzz est-il devenu comme par magie hébergeur au yeux de la loi ?
Parce qu'il permet à un tiers de publier une information sur son site.


Maintenant, c'est ce que j'en pense vis à vis que ce qui a été dis légalement ou logiquement... Suis pas juriste, encore moins juge.

 

[Marie-Aude]

@Dolph, si tu as bien lu, j'ai bien précisé dans mon dernier message que les contenus étaient modérés "a priori", donc à ce moment là, aux yeux de la loi, exerçant une discrimination sur le contenu de mon site, je ne suis que éditeur.

 

[Dolph]

Autant pour moi.

 

[Topsitemaker]

Non, éditeur ... éventuellement "assimilé" à un hébergeur, ce qui est différent. Là on parle u 1. des FAI, au 2. des stockeurs de données.

Le point 2 n'est-il pas justement la définition d'un éditeur ?

 

[Marie-Aude]

Si je n'ai pas mes propres serveurs, je ne stocke pas les données. Le point 2 parle des hébergeurs.

 

[Chloe75]

WRI devrait ouvrir un forum spécial pour les français expatriés à l'étranger Ça permettrait d'aider et de conseiller ceux qui ont fuit ou envisage de le faire car ce pays vire de jour en jour vers une dictature à la chinoise

 

[Marie-Aude]

Bah tu sais, je me documente pour mes malheureux compatriotes

Par ailleurs, même si "ça ne me concerne pas", je suis française, je vote, et tout ça ^^ (et en plus, bien qu'avec retard, la législation marocaine suit la législation française...enfin eux ils n'ont même pas besoin qu'on les autorise à récupérer les données)

 

[Topsitemaker]

Si je n'ai pas mes propres serveurs, je ne stocke pas les données. Le point 2 parle des hébergeurs.

ok, mais dans ce cas, comment l'hébergeur peut garantir qu'il conserve les données d'un site ? et comment peut-il communiquer les mots de passe utilisateurs d'un site qu'il héberge et qu'il n'est pas censé avoir les droits pour y accéder ?
Ou encore comment l'hébergeur de données peut-il faire accéder à des données utilisateurs d'un site stocké dans une partition cryptée (car propriétaire du site est parano) ?

 

[Marie-Aude]

L'hébergeur "doit" garantir qu'il conserve les données parce qu'il y est légalement obligé... le fait que la loi soit bancale et ne puisse pas s'appliquer dans de nombreux cas (par exemple, un hébergeur à l'étranger n'y est pas soumis) n'étend pas son domaine d'application à ceux qui peuvent remplacer un hébergeur défaillant ou non concerné.

Je maintiens que pour l'instant cela ne s'applique pas aux éditeurs hébergés (on pourrait juste discuter sur les gens qui ont un dédié, puisque en pratique ils ont la main sur leur serveur... mais discuter, hein ^^), même si le législateur idiot avait surement une autre idée en tête. Ce n'est pas à nous de surinterpréter.

 

[Topsitemaker]

ok,

je viens de trouver le blog d'officier de la gendarmerie qui décortique ce décret

http://blog.crimenumerique.fr/2011/03/04/decret-dapplication-de-la-lce ... ebergeurs/

Le mot de passe (si le système utilisé stocke le mot de passe en clair) ainsi que les données permettant de le vérifier (hashs ou autres techniques permettant de stocker de façon sécurisée un mot de passe) ou de le modifier, dans leur dernière version mise à jour ;

Il te contredit sur ce passage

Dans le cas où une personne, une entreprise, une association loue un serveur et l’administre elle-même auprès d’un « grand » hébergeur, il lui revient de le configurer (ou de le faire configurer par un prestataire) de façon à conserver les bonnes informations lorsqu’elle y installera un forum ou la possibilité de poster des commentaires. Le « grand » hébergeur évoqué ici a en revanche l’obligation de disposer des coordonnées de la personne à laquelle il loue le serveur, et éventuellement les informations de paiement.
D’ores et déjà, dans ces situations et dans la plupart des cas, les enquêteurs parviennent déjà très facilement à identifier le bon interlocuteur.

Il termine dans un de ces commentaires

Enfin, l’utilisation en ligne de ce mot de passe (s’il est stocké en clair donc), est juridiquement impossible aujourd’hui, donc pour moi la question ne se pose pas.

 

[Marie-Aude]

Non il ne me contredit pas. Il dit "et l'administre elle même", et j'ai bien dit dans mon message que en cas de dédié ça se discutait.

En ce qui concerne la "discussion" tu as dans ce blog l'avis d'un gendarme. Donc de la partie "accusatrice". Dans ce genre de cas, la "discussion" se passe devant la justice, laquelle a tendance à être un peu plus protectrice des libertés publiques que la gendarmerie

 

[Topsitemaker]

Merci Marie-Aude de ces éclaricissements

 

[finstreet]

Oui y'a des dédiés infogérés et donc non administrés

 

[HawkEye]

Oui y'a des dédiés infogérés et donc non administrés

Fouine-street... toujours là pour mettre le doigt là où il faut

 

[finstreet]

Oui y'a des dédiés infogérés et donc non administrés

Fouine-street... toujours là pour mettre le doigt là où il faut

Vu mon niveau en serveur, vaut mieux qu'ils soient infogérés

 

[HawkEye]

Je me sens moins seul, du coup :mrgreen:

 

[Marie-Aude]

Je suis avec vous
Donc dans "notre" cas, si l'infogérance est comprise dans le prix du pack, on est toujours simplement éditeur, en revanche si on choisit notre propre prestataire, on devient hébergeur ?

 

[finstreet]

Je suis avec vous
Donc dans "notre" cas, si l'infogérance est comprise dans le prix du pack, on est toujours simplement éditeur, en revanche si on choisit notre propre prestataire, on devient hébergeur ?

en tout cas, j'aurais pas de mal à prouver au juge que je sais pas administré lol

 

[copyroom]

Bonjour,

Ce décret pose un gros problème de sécurité des mots de passe conservés :
celui de la portabilité des mots de passe
Si un site conservant les MDP en clair est hacké, les internautes pourront en être les victimes indirectes

-Qui d'entre-vous crée 1 mot de passe par site ?
- quasiment personne, nous nous contentons d'un MDP générique et avec un MDP générique, cela devient facile de "piller" l'identité d'une personne voir d'usurper son identité, lire ses mails, se connecter sur ses réseaux sociaux...

Qu'en pensez-vous ?

 

[finstreet]

J'en pense que si un juge me le demande, je m'exécute Tu crois que le juge a rien d'autres à faire que de faire une demande pour un site pour regarder les mails d'un autre site ?

 

[fredfan]

Un mot de passe générique c'est abusé. Je ne dis pas, un mot de passe pour quelques sites sans importance, mais le même mdp pour tes mails, ton compte FB, tes ftp ? Le premier script d'annuaire ou de forum bidon et tu es bon pour changer de planète pour te refaire une vie.

 

[Marie-Aude]

Happy OpenID users