LCEN, ce qu’il faut conserver

Juridique - Législation - Posté on 07 Mar 2011 at 8:03 par Solange Belkhayat-Fuchs

La semaine passée, pas une seule « mailing liste » de sécurité, pas le moindre « twit » francophone n’a manqué de propager la nouvelle : le passage du décret concernant la « conservation des identifiants » sur internet, relatif à la LCEN. L’avis de l’Arcep, publié au J.O. du premier mars, s’étonne de certaines obligations de conservation, telles que les caractéristiques de la ligne de l’abonné, la nature de l’opération, le mot de passe ou données permettant de le vérifier ou de le modifier ou encore certaines données relatives au paiement. L’Autorité fait également remarquer le flou certain entretenu autour de la notion de « création de contenu des services » qui exige du fournisseur de services responsable une estimation toute « personnelle » des données devant être conservées ou non. En outre, l’Autorité fait remarquer que le texte semble couper court à toute possibilité de compensation financière par l’Etat du travail supplémentaire étranger aux activités des personnes mentionnées.

Les professionnels, pour leur part, s’émeuvent de certains passages difficilement interprétables, notamment sur tout ce qui concerne la conservation des « mots de passe » (hachage ou mot de passe en clair) ou des informations en clair permettant l’accès aux données en cas d’enquête (article 1/3). Décryptant ce langage juridique, un intervenant de la Gendarmerie précisait, sur l’un desdits forums, que cette formulation ne changeait rien aux obligations actuelles. En d’autres termes, la conservation du hachage suffit, mais certaines applications mal écrites utilisant un mot de passe « en clair », la conservation dudit mot de passe en l’état est nécessaire… par défaut de construction pourrait-on dire. Et d’ajouter « Cela ne change donc rien pour aucun hébergeur sauf sur les durées de conservation et l’accès à ces données pour les enquêtes liées au terrorisme. » *

*ndlr : ces propos, bien que tenus sur une liste publique, sont publiés sous le couvert de l’anonymat, la rédaction n’ayant pu joindre l’intéressé dans les délais imposés par la publication.

Laisser une réponse