Liberté En Péril ?

[L. Lawliet]

Salut tout le monde, je vient de trouver un sujet interessant sur un forum

Un projet de décret pour surveiller le Web participatif et contributif

Bientôt Tous au service de la police ?

(hackademie.com)

La loi pour la confiance dans l'économie numérique n'a pas fini de faire parler d'elle. Un projet de décret, dont le JDN a eu la copie, précise les conditions de conservation des logs de connexion et de diffusion que devront bientôt stocker FAI et hébergeurs.

FAI, hébergeurs et éditeurs de site ou auteurs d'un blog ouvert aux contributions des internautes devront bientôt stocker une multitude d'informations concernant les internautes. Adresses IP, informations bancaires et civiles, mais aussi pseudos utilisés sur les forums, mots de passe et questions secrètes devront être collectées et laissées à disposition des juges et de l'Etat. Surtout, les hébergeurs, éditeurs de site et blogueurs pourraient être obligés de conserver la trace de chaque version de contenus créés et modifiés par les internautes. Une mesure dont la faisabilité technique reste sujette à caution, et dont le coût fait grincer les dents des entreprises concernées.

Prévu pour permettre aux autorités judiciaires et administratives d'identifier les auteurs d'actes délictueux, le texte rédigé par le gouvernement est déjà passé une première fois devant le Conseil d'Etat. Son adoption définitive devrait avoir lieu dans les six mois après que la Cnil et l'Arcep aient rendu un avis consultatif, à moins que le prochain gouvernement ne décide de le faire voter par le Conseil d'Etat durant les vacances d'été. Vers un surveillance du Web participatif et contributif ?

Qui est concerné ?

L'Article 6, de la loi du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN) prévoit que FAI et hébergeurs "détiennent et conservent les données de nature à permettre l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services dont elles sont prestataires".

C'est pour mettre en application ce passage de la LCEN que ce projet de décret précise les données à conserver par les FAI et les hébergeurs. Le texte entend par la notion d'hébergeur les prestataires techniques qui fournissent un espace d'hébergement, mais aussi les éditeurs de sites (entreprises ou particuliers) qui permettent aux internautes de publier des contributions. Il peut donc s'agir d'un journal en ligne, d'un blog, d'un site personnel, ou d'un site marchand C-to-C comme eBay ou Priceminister. Bref, tous les sites faisant appel à leurs utilisateurs pour poster un contenu.

Selon ce projet de décret, toutes les personnes morales ou physiques concernées devront stocker une liste de données permettant l'identification de leurs contributeurs. Objectif : permettre à l'autorité judiciaire ou administrative de remonter jusqu'à l'auteur d'un propos délictueux, ou suspecté, par exemple, de représenter un risque pour la sécurité de l'Etat.

Les détails des données récoltées et stockées

En cas d'abonnement à Internet ou à un service d'édition électronique, les données collectées et stockées seront : nom et prénom ou raison sociale, adresses postales associées, pseudonymes utilisés, adresses de courrier électronique associées, numéros de téléphone, mot de passe et informations associées. En cas de service payant (abonnement Internet, à un service ou un magazine) s'ajoutent : type de paiement utilisé, montant, numéro de référence du moyen de paiement, date et heure de la transaction. Précision utile : si ces données ne sont pas collectées en temps normal, elles n'auront pas obligation à l'être pour être stockées.

Mesures spécifiques aux FAI A chaque connexion à Internet, les FAI devront conserver : l'identifiant de la connexion, l'identifiant attribué par le système d'information à l'abonné, les dates et heure de début et de fin de la connexion, les caractéristiques de la ligne de l'abonné.

Mesures spécifiques aux hébergeurs L'identifiant de la connexion à l'origine de la mise en ligne, l'identifiant attribué par le système d'information au contenu mis en ligne, l'identifiant attribué par le système d'information à la connexion, le type de protocole ou de réseau utilisé, la nature de l'opération de mise en ligne, les dates et heure de l'opération de mise en ligne, les pseudonymes utilisés.

Vers un stockage massif de chaque contribution d'internaute ?

A la lecture de ce texte, on s'aperçoit qu'un hébergeur aura obligation de connaître la nature de chaque modification faite sur un site. Qu'il s'agisse de la création d'un contenu, de sa modification, ou de sa suppression.

Mais, s'inquiète un avocat qui a travaillé à l'analyse de ce projet de décret, "comment satisfaire l'obligation de connaître la nature de l'opération à part en conservant les données elles mêmes ?". Selon lui, la principale conséquence de ce texte revient à obliger les hébergeurs à conserver trace de toutes les créations de contenu et de chacune de ses modifications sous peine de ne pas respecter la loi.

A chaque changement de virgule, de police de caractère, ou d'ajout de texte, l'hébergeur aurait obligation de conserver une copie de chaque version réalisée par un contributeur. Un gageure technique, dont la faisabilité n'est pas évidente, et dont le coût serait forcément élevé.

Le Groupement des éditeurs de services en ligne (Geste) s'en inquiète. Le 8 mars dernier, lors d'une réunion avec les représentants du ministère de l'intérieur qui a pris en charge la rédaction de ce décret, l'association a fait valoir que les coûts de stockage, s'il tant est qu'il est possible techniquement, entraîneraient entre plusieurs centaines de milliers et un million d'euros de perte nette à chaque éditeur.

Dans le cas contraire, ne pas fournir l'intégralité de ces données en cas de réquisition judiciaire sera passible de 375.000 euros d'amende pour l'entreprise, et d'un an d'emprisonnement et 75.000 d'amende pour leurs dirigeants.

Un projet de décret qui soulève des questions

S'il paraît logique de prévoir de faire correspondre une adresse IP avec un numéro d'abonné pour retrouver la trace d'un pédophile ou d'un délinquant du Web, il est plus étonnant de demander aux hébergeurs et éditeurs de conserver les pseudos de comptes utilisateurs, leur mot de passe et la question secrète qui sert à se faire renvoyer le mot de passe de son compte lorsqu'on l'a oublié.

Un pseudo, surtout celui utilisé pour commettre des délits, comporte en effet rarement le véritable nom de son auteur. "Cette mesure permet à la police de se substituer à l'utilisateur pour utiliser un service, pas à l'identifier, s'étonne un avocat spécialisé. Hors, seul le périmètre des informations permettant d'identifier les internautes était censé être traité dans cette directive si l'on s'en tient à la LCEN".

Autre problème soulevé par ce projet de décret. Comme sur requête d'un juge judiciaire, qui par réquisition peut demander ces informations à un FAI ou à un hébergeur (les membres de l'AFA en traitent plus de 10.000 par an), l'autorité administrative, comme la Direction de surveillance du territoire (DST) ou les Services généraux RG) peuvent aussi, sur réquisition, avoir accès à ces données. Dans ce cas, ces services de l'Etat pourront stocker ces informations pendant trois ans. La police administrative pouvant transmettre à la police judiciaire des données délictueuses, un internaute pourra être poursuivi, en théorie, 4 ans après avoir publié un contenu sur Internet, sans même connaître les raisons pour lesquelles ces informations ont été recueillies. "Cela pose un problème de séparation des pouvoirs, estime un avocat. L'Etat pourra faire le travail d'un juge sans avoir à respecter la procédure pénale".

Le projet de décret en version complète :

Télécharger le projet en PDF

Projet de décret portant application de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique

Le Premier ministre,

Sur le rapport du ministre d'Etat, ministre de l'intérieur et de l'aménagement du territoire, de la ministre de la défense, du ministre de l'économie, des finances et de l'industrie, et du garde des sceaux, ministre de la justice,

Vu le code pénal ;

Vu le code de procédure pénale ;

Vu le code des postes et des communications électroniques ;

Vu la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, et notamment ses articles 6, 57 et 58 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;

Vu l'avis de la Commission nationale de l'informatique et des libertés du …….. ;

Vu l'avis de la Commission supérieure du service public des postes et télécommunications du ……. ;

Vu l'avis de la Commission consultative des réseaux et services de communications électroniques du ………… ;

Vu l'avis de l'Autorité de régulation des communications électroniques et des postes du ……. ;

Vu l'avis de la Commission nationale de contrôle des interceptions de sécurité du ……….. ;

Le Conseil d'Etat (section de l'intérieur) entendu,

DÉCRÈTE :

Chapitre 1er : Dispositions relatives a la conservation des donnees

et portant application du II de l'article 6 de la loi du 21 juin 2004

Article 1er

Pour l'application des dispositions du II de l'article 6 de la loi du 21 juin 2004 pour la confiance en l'économie numérique, les personnes mentionnées aux 1 et 2 du I de cet article sont tenues de détenir et de conserver l'ensemble des données suivantes, de nature à permettre l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services dont elles sont les prestataires techniques :

1°) pour les personnes mentionnées au 1 du I de l'article susvisé et pour chaque connexion de leurs abonnés, les données permettant d'identifier l'origine de la création des contenus :

- l'identifiant de la connexion,

- l'identifiant attribué par le système d'information à l'abonné,

- les date et heure de début et de fin de la connexion,

- les caractéristiques de la ligne de l'abonné ;

2°) pour les personnes mentionnées au 2 du I de l'article susvisé et pour chaque opération de création, les données permettant d'identifier l'origine de la création des contenus :

- l'identifiant de la connexion à l'origine de la communication,

- l'identifiant attribué par le système d'information au contenu, objet de l'opération,

- l'identifiant attribué par le système d'information à la connexion,

- le type de protocole ou de réseau utilisé,

- la nature de l'opération,

- les date et heure de l'opération,

- les pseudonymes utilisés ;

3°) pour les personnes mentionnées aux 1 et 2 du I de l'article susvisé, les informations fournies lors de la souscription d'un contrat par un utilisateur ou lors de la création d'un compte :

- nom et prénom ou raison sociale,

- adresses postales associées,

- pseudonymes utilisés,

- adresses de courrier électronique associées,

- numéros de téléphone,

- mot de passe et informations associées ;

4°) pour les personnes mentionnées aux 1 et 2 du I de l'article susvisé, lorsque la souscription du contrat ou du compte est payante, les informations relatives au paiement :

- type de paiement utilisé,

- montant,

- numéro de référence du moyen de paiement,

- date et heure de la transaction.

Les données mentionnées aux 3°) et 4°) ne doivent être conservées que dans la mesure où les personnes mentionnées aux 1 et 2 du I de l'article susvisé les collectent habituellement.

La contribution à une création de contenu comprend les opérations portant sur :

- des créations initiales de contenus,

- des modifications des contenus eux-mêmes,

- des modifications de données liées aux contenus,

- des suppressions de contenus. Article 2

La durée de conservation des données mentionnées à l'article 1er est d'un an à compter du jour de la création des contenus, pour chaque opération contribuant à la création d'un contenu telle que définie à cet article. Article 3

La conservation s'effectue dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment en ce qui concerne la sécurité des informations.

Les données doivent être conservées sur des supports et dans des formats d'enregistrement conformes aux normes techniques en vigueur. Cette conservation doit s'effectuer dans des conditions garantissant leur confidentialité et leur intégrité, et afin de permettre une extraction dans un bref délai pour répondre à une demande des autorités judiciaires. Article 4

Le code de procédure pénale (deuxième partie : Décrets en Conseil d'Etat) est ainsi modifié :

1°) Après le 23°de l'article R.92, il est ajouté un 24° ainsi rédigé :

« 24° les frais correspondant à la fourniture des données conservées en application de l'article 6 II de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique. »

2°) Il est créé à la section 11 du chapitre II du titre X du livre V, un nouvel article R.213-2 ainsi rédigé :

« Art. R.213-2. – Les tarifs relatifs aux frais mentionnés au 24° de l'article R. 92 correspondant à la fourniture des données conservées en application de l'article 6 II de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, sont fixés par un arrêté du ministre de l'économie, des finances et de l'industrie et du garde des sceaux, ministre de la justice. Cet arrêté distingue les tarifs applicables selon les données requises, en tenant compte, le cas échéant, des surcoûts identifiables et spécifiques justifiés, supportés par les personnes visées aux 1 et 2 du I de l'article 6 de la loi du 21 juin 2004 pour la confiance dans l'économie numérique requises par les autorités judiciaires pour la fourniture de ces données. »

Chapitre 2 : Dispositions relatives aux demandes administratives et portant application du II bis de l'article 6 de la loi du 21 juin 2004 Article 5

Les agents mentionnés au premier alinéa du II bis de l'article 6 de la loi du 21 juin 2004 sont désignés par les chefs des services de police et de gendarmerie nationales chargés des missions de prévention des actes de terrorisme, dont la liste est fixée par l'arrêté prévu à l'article 33 de la loi n° 2006-64 du 23 janvier 2006. Ils sont habilités par le directeur général ou central dont ils relèvent. Article 6

Pour l'application du IIbis de l'article 6 de la loi n° 2004-575 du 21 juin 2004 susvisée, les demandes de communication de données d'identification, conservées et traitées en application du même article, comportent les informations suivantes :

- le nom, le prénom et la qualité du demandeur, ainsi que son service d'affectation et l'adresse de celui-ci ;

- la nature des données dont la communication est demandée et, le cas échéant, la période concernée ;

- la motivation de la demande. Article 7

Les demandes mentionnées à l'article 6 du présent décret sont transmises à la personnalité qualifiée mentionnée à l'article L. 34-1-1 du code des postes et des communications électroniques par un agent désigné dans les conditions prévues à l'article 5 du présent décret.

Ces demandes et les décisions de la personnalité qualifiée sont enregistrées et conservées pendant une durée maximale d'un an dans un traitement automatisé mis en œuvre par le ministère de l'intérieur et de l'aménagement du territoire. Article 8

Les demandes approuvées par la personnalité qualifiée sont adressées, sans leur motivation, par un agent désigné dans les conditions prévues à l'article 5 aux personnes mentionnées aux 1 et 2 du I de l'article 6 de la loi du 21 juin 2004, qui transmettent sans délai les données demandées à l'auteur de la demande.

Les transmissions prévues à l'alinéa précédent sont effectuées selon des modalités assurant leur sécurité, leur intégrité et leur suivi, définies par une convention conclue avec le prestataire concerné ou, à défaut, par un arrêté conjoint du ministre de l'intérieur et de l'aménagement du territoire et du ministre chargé des communications électroniques.

Les données fournies par les personnes mentionnées aux 1 et 2 du I de l'article 6 de la loi du 21 juin 2004 sont enregistrées et conservées pendant une durée maximale de trois ans dans des traitements automatisés mis en œuvre par le ministère de l'intérieur et de l'aménagement du territoire et le ministère de la défense. Article 9

Une copie de chaque demande est transmise, dans un délai maximal de sept jours à compter de l'approbation de la personnalité qualifiée, à la Commission nationale de contrôle des interceptions de sécurité. Un arrêté du ministre de l'intérieur et de l'aménagement du territoire, pris après avis de celle-ci, définit les modalités de cette transmission.

La commission précitée peut, en outre, à tout moment, avoir accès aux données enregistrées dans les traitements automatisés mentionnés aux articles 7 et 8 du présent décret. Elle peut également demander des éclaircissements sur la motivation des demandes approuvées par la personnalité qualifiée. Article 10

Les surcoûts identifiables et spécifiques supportés par les personnes mentionnées aux 1 et 2 du I de l'article 6 de la loi du 21 juin 2004 susvisée pour la fourniture des données prévue par l'article IIbis du même article font l'objet d'un remboursement par l'Etat par référence aux tarifs et selon des modalités fixées par un arrêté conjoint du ministre de l'intérieur et de l'aménagement du territoire et des ministres chargés du budget et des communications électroniques.

Chapitre 3 : Dispositions relatives a l'outre-mer Article 11

Indépendamment de leur application de plein droit à Mayotte, les dispositions du présent décret sont applicables en Nouvelle-Calédonie, en Polynésie française et dans les îles Wallis-et-Futuna. Les dispositions prévues aux articles 5 à 9 sont, en outre, applicables dans les terres australes et antarctiques françaises. Article 12

Le ministre d'Etat, ministre de l'intérieur et de l'aménagement du territoire, la ministre de la défense, le ministre de l'économie, des finances et de l'industrie, le garde des sceaux, ministre de la justice, le ministre de l'outre-mer et le ministre délégué à l'industrie sont chargés, chacun pour ce qui le concerne, de l'exécution du présent décret, qui sera publié au Journal officiel de la République française.

Modifié le 20 avril 2007 par L. Lawliet

[trash30]

J'ai bien tout lu, interessant certes, garde en tête qu'on est en periode éléctorale, c'est toujours propice a des SCOOP wouaw qui finalement ne sont que du vent.

De plus quoi de nouveau, tu crois que ton FAI ou hebergeur ne stock pas deja tes mots de passes ou questions secrete ? Quant au pseudo c'est infaisable, de ce coté là, il faut croiser les données adresse IP et base des forums, c'est déja possible, et heureusement ca s'appelle la sécurité nationale, pense que sur le net il n'y a pas que des forums du type de celui-ci, mais des choses beaucoup plus extremes, et parfois faire comprendre que le web n'est pas un espace sans loi c'est bien, par exemple pouvoir retrouver un pédophile a partir de ses posts sur les forums moi je trouve ça plutot bien.

Mais pour que ce soit réalisable, il faut une ip fixe, pas encore le cas pour tout le monde mais ca tend a se généraliser, avec les triple play.

Et serieusement le sous titre de ton topic est injustifiée. Liberté Egalité Fraternité, en quoi ils sont touchés là ?

[L. Lawliet]

wahouu je ressent une once d'agressivité dans tes propos... tu sais ce que c'est les journaux , les gros titres... du Tape à l'oeuil pour attirer les lecteurs...

[abbathdebinic]

c'est le principe de vivre en société, chacun renonce à un peu de ses droits pour vivre en harmonie.

si on en est au décret d'application, c'est bien que la loi a été votée par nos parlementaires ( en juin 2004 apparement) c'est le processus normal de naissance d'une loi qui suit son cours, je ne vois rien d'inquiétant dans ce decret et cette loi qui comme d'habitude dans le monde des nouvelles technologies arrivent à la bourre.

Merci pour l'info en tout cas Lawliet

EDIT : je suis d'accord l'intitulé du post est un peu exageré

Modifié le 20 avril 2007 par abbathdebinic

[Roomain]

J'ai bien tout lu, interessant certes, garde en tête qu'on est en periode éléctorale, c'est toujours propice a des SCOOP wouaw qui finalement ne sont que du vent.

De plus quoi de nouveau, tu crois que ton FAI ou hebergeur ne stock pas deja tes mots de passes ou questions secrete ? Quant au pseudo c'est infaisable, de ce coté là, il faut croiser les données adresse IP et base des forums, c'est déja possible, et heureusement ca s'appelle la sécurité nationale, pense que sur le net il n'y a pas que des forums du type de celui-ci, mais des choses beaucoup plus extremes, et parfois faire comprendre que le web n'est pas un espace sans loi c'est bien, par exemple pouvoir retrouver un pédophile a partir de ses posts sur les forums moi je trouve ça plutot bien.

Mais pour que ce soit réalisable, il faut une ip fixe, pas encore le cas pour tout le monde mais ca tend a se généraliser, avec les triple play.

Et serieusement le sous titre de ton topic est injustifiée. Liberté Egalité Fraternité, en quoi ils sont touchés là ?

Théoriquement, les FAI stoquent les propriétaires des adresses Ip (mêmes dynamiques), donc un pédophile utilisant une IP dynamique peut très bien être repére. Sachant que les FAI sont obligés de garder les données 1 an.

Parce que les mecs qui se croient en sécurité parce qu'ils redémarrent leur freebox tous les matins, on en connaît mais ils prennent autant de risques que les autres.

[trash30]

wahouu je ressent une once d'agressivité dans tes propos... tu sais ce que c'est les journaux , les gros titres... du Tape à l'oeuil pour attirer les lecteurs...

Non non pas d'agréssivité du tout, ou alors la meme que mamie nova quand elle lit en couverture de Voici "Guy Bedos touché par une effroyable tragédie" pour découvrir en page centrale, qu'il a louper un rendez vous suite a des embouteillages.

[L. Lawliet]

wahouu je ressent une once d'agressivité dans tes propos... tu sais ce que c'est les journaux , les gros titres... du Tape à l'oeuil pour attirer les lecteurs...

Non non pas d'agréssivité du tout, ou alors la meme que mamie nova quand elle lit en couverture de Voici "Guy Bedos touché par une effroyable tragédie" pour découvrir en page centrale, qu'il a louper un rendez vous suite a des embouteillages.

Serait tu frustré d'avoir lu un si long topic qui ne correspondait pas totalement à ce que tu attendait d'un titre comme celui ci?

Si c'est le cas il t'en faut peu... Et s'il ne te plait pas , aprés tout tu es modo, libre à toi d'exercer tes droits et de le modifier.

Modifié le 20 avril 2007 par L. Lawliet

[Favouille]

wahouu je ressent une once d'agressivité dans tes propos... tu sais ce que c'est les journaux , les gros titres... du Tape à l'oeuil pour attirer les lecteurs...

Non non pas d'agréssivité du tout, ou alors la meme que mamie nova quand elle lit en couverture de Voici "Guy Bedos touché par une effroyable tragédie" pour découvrir en page centrale, qu'il a louper un rendez vous suite a des embouteillages.

Serait tu frustré d'avoir lu un si long topic qui ne correspondait pas totalement à ce que tu attendait d'un titre comme celui ci?

Si c'est le cas il t'en faut peu... Et s'il ne te plait pas , aprés tout tu es modo, libre à toi d'exercer tes droits et de le modifier.

Dis-moi, gros malade, tu connais le "délire de la persécution" ?

Ce que te dit Trash est totalement justifié. Ton sous-titre accorcheur n'a rien à voir avec le topic.

Et tu ne trouves rien de mieux à faire que des réponses en bois

Ton sujet est très intéressant, mais faut pas déconner, c'est pas la fin du monde non plus...

@ pluche

[Jlz]

Lo,

L. Lawliet, rien ne me choque dans ce que tu rapportes ....

... Favouille on se detend ...

++

[trash30]

wahouu je ressent une once d'agressivité dans tes propos... tu sais ce que c'est les journaux , les gros titres... du Tape à l'oeuil pour attirer les lecteurs...

Non non pas d'agréssivité du tout, ou alors la meme que mamie nova quand elle lit en couverture de Voici "Guy Bedos touché par une effroyable tragédie" pour découvrir en page centrale, qu'il a louper un rendez vous suite a des embouteillages.

Serait tu frustré d'avoir lu un si long topic qui ne correspondait pas totalement à ce que tu attendait d'un titre comme celui ci?

Si c'est le cas il t'en faut peu... Et s'il ne te plait pas , aprés tout tu es modo, libre à toi d'exercer tes droits et de le modifier.

Ben franchement oui, j'ai lu, c'est interessant, mais rien de choquant et rien en rapport avec le titre, d'où la comparaison avec Voici.

Après pourquoi tu veux que je modifie moi ton sujet puissqu'il est conforme, bien ecrit etc.... ?