Législation des hébergeurs
En voilà un domaine compliqué.
Depuis Shadow-Corp, j'avais un peu laissé tomber les mailings et les informations liés à la LCEN, et à tout ce qui concerne la réglementation que tout bon hébergeur se doit de suivre...
Ha, oui, bonsoir à vous 
Pour commencer, voici des liens qui vous en diront plus sur la "fameuse" LCEN, et son décret sur les données à conserver.
Alors, voilà, je ne ferais pas long, pourtant dieu sait qu'il y a de quoi...
Mais, en gros la LCEN, Loi pour la Confiance dans l'Economie Numérique, régie le droit de l'internet.
Mais c'est surtout elle qui gère à plusieurs niveau l'activités des hébergeurs (ce que sera Shadow-Diffusion...).
Dans un premier, on notera une responsabilité "allégé, avec ce passage (C.F. wikipedia) :
les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis par des destinataires de ces services ne peuvent pas voir leur responsabilité civile engagée du fait des activités ou des informations stockées à la demande d'un destinataire de ces services si elles n'avaient pas effectivement connaissance de leur caractère illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces données ou en rendre l'accès impossible.
De ce que je comprend, et pour faire court, on n'est pas "responsable" de ce que publie nos usagers, ou les usagers de nos usagers, mais dès lors que l'on est mis au courant, on dois réagir vite.
Ce qui implique que l'on mets en oeuvre les adresses mails d'usage du type abuse@, report@, webmaster@...
Cependant, depuis 2011, il y'a aussi un décret qui définis tous ce que l'hébergeur dois garder...
Et là, pour ma part, on rentre dans un dilemme complexe. Outre des termes que j'ai du mal à cibler, c'est également la difficulté de réaliser cette demande qui va rentrer en compte (et que je n'avais pas compter dans mon "business plan" de départ
Donc pendant un an, nous devons conserver :
- L'identifiant de la connexion à l'origine de la communication
- L'identifiant attribué par le système d'information au contenu, objet de l'opération
- Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus
- la nature de l'opération
- l'identifiant utilisé par l'auteur de l'opération lorsque celui-ci l'a fourni
Et pendant un an même après la suppression du compte, mais sans toutefois avoir l'obligation de de vérifier leurs exactitude, on dois également garder :
- L'identifiant de connexion, au moment de la création du compte
- Les noms et prénom, ou raison sociale
- l'adresse postale
- le/les pseudonyme(s)
- L'adresse e-mail associée
- le/les numéro(s) de téléphone
- le mot de passe, et les données permettant de le vérifier ou de le modifier...
Je ne sais pas trop quoi dire, ni quoi faire...
Plonge rentre du "Big brother is watching you" et "wow, va falloir mettre tout cela en plaçe"...
J'ai du mal à comprendre comment ils peuvent rendre obligatoire le fait de loguer et garder pendant un an des identifiants de connexion, ip et autre, mais par contre, ne pas rendre obligatoire, voir dérisoire les informations du type nom, prénom et autre...
Je parle même pas du mot de passe. Puisque garder de quoi reconstituer le mot de passe, c'est pour moi, garder de quoi faire plaisir aux hackers...
Pour finir, la capacité de stockage doit être revu, puisque même si, dans la finalité, il ne s'agit que de logs, si vous ajoutez le fait de devoir les conserver un an, et que vous le multipliez par le nombre d'usagers à vos services...
Je suis donc perplexe...
Que faut-il ? Migrer aux US ?
Aucun trackbacks pour l'instant