Bonjour,
Est-ce bien le cas ?
Oui, le décret d’application de la LCEN (l’article mis en lien) n’a jamais été abrogé.
La LCEN consiste en grande partie en l’application de deux directives européennes, la directive 2000/31/CE dont les articles 12 à 15 posent les bases de la responsabilité de l’hébergeur (= article 6 de la LCEN) alors que la directive 2002/58/CE autorise, dans son article 15, la mise en place de mesures de durées de conservation des données par l’État (ce qui est fait ici).
Le RGPD, ou règlement 2016/679 cite plusieurs fois ces différentes directives pour dire qu’elle ne les abrogent pas.
Dans la pratique, quelles données doit-on garder ?
Tu permets à des tiers de mettre des contenus (messages de forums, tutoriels) en ligne via ton site Web, tu es donc la personne désignée au 2 du I de l'article 6 de la LCEN (les personnes mentionnées au 1 sont les FAI ou plus largement les opérateurs).
Les données suivantes doivent être conservés lorsqu’un contenu (message, tutoriel…) est créé par un tiers utilisant ton service (article 1 du décret) :
2° Pour les personnes mentionnées au 2 du I du même article et pour chaque opération de création :
a) L’identifiant de la connexion à l’origine de la communication ;
b) L’identifiant attribué par le système d’information au contenu, objet de l’opération ;
c) Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus ;
d) La nature de l’opération ;
e) Les date et heure de l’opération ;
f) L’identifiant utilisé par l’auteur de l’opération lorsque celui-ci l’a fourni ;
Donc en principe l’adresse IP+port (= identifiant de connexion, le port est souvent demandé par les autorités si le fournisseur utilise du CG-NAT), l’ID du message du tutoriel, le type d’action (création de message, de tutoriel), la date et l’heure, l’ID ou le pseudonyme du compte.
Et lorsque le compte est créé :
3° Pour les personnes mentionnées aux 1 et 2 du I du même article, les informations fournies lors de la souscription d’un contrat par un utilisateur ou lors de la création d’un compte :
a) Au moment de la création du compte, l’identifiant de cette connexion ;
b) Les nom et prénom ou la raison sociale ;
c) Les adresses postales associées ;
d) Les pseudonymes utilisés ;
e) Les adresses de courrier électronique ou de compte associées ;
f) Les numéros de téléphone ;
g) Les données permettant de vérifier le mot de passe ou de le modifier, dans leur dernière version mise à jour ;
Donc en principe le pseudo, l’adresse IP+port, le hash du mot de passe et l’e-mail. Le reste n’entre pas dans la cadre du site.
Sous quelle forme doivent-elles être conservée ?
Pas de format particulier prescrit, mais tu dois pouvoir communiquer les données aux forces de l’ordre si elles en font la requête :
« Les conditions de la conservation doivent permettre une extraction dans les meilleurs délais pour répondre à une demande des autorités judiciaires. » (article 4 du décret)
Où puis-je avoir des informations à ce propos plus concrètes que les textes légaux, c’est-à-dire compréhensible par un non-juriste ?
Tu peux naviguer entre le site de la CNIL et/ou les sites d’avocats qui proposent des articles de synthèses à propos de ces thèmes et concepts (notion d’hébergeur, etc.) mais en faisant plusieurs passes sur les quelques textes existants (essentiellement l’article 6 LCEN et son décret d’application + la RGPD qui abroge la plupart des autres textes pour ce qui est la responsabilité de l’hébergeur), on en a vite fait le tour.
C’est plus si tu veux naviguer vers d’autres sujets qui peuvent concerner le développeur d’un site comme la propriété intellectuelle, le droit des bases de données… qu’il va falloir lire d’autres textes.
Bonne journée,
