La LCEN (Loi pour la Confiance dans l'Economie Numérique) a été promulguée en 2004 mais il reste encore quelques décrets à publier pour rendre applicables certaines dispositions prévues depuis sept ans. Un nouveau décret vient ainsi d'être publié le 1er mars 2011 au Journal Officiel concernant les « données de communication ». Il s'agit en fait des informations d'identification des personnes se connectant à un réseau ou à un service interactif en ligne.
Ces obligations concernent bien sûr les prestataires techniques comme les FAI mais aussi tous les DSI. En effet, beaucoup de sites web sont interactifs et permettent aux internautes de déposer du contenu (des commentaires, des questions dans des forums...), la plupart des entreprises offrent une connexion Internet filaire voire Wi-Fi, etc.
De nouvelles contraintes pour les prestataires de service
Lorsqu'est mise à disposition une connexion Internet, il faudra désormais conserver l'identifiant de la connexion, l'identifiant attribué à l'accédant, l'identifiant du terminal utilisé pour la connexion si possible, les dates et heure de début et de fin de la connexion, et enfin les caractéristiques de la ligne de l'accédant.
Lorsqu'un accédant à un service en ligne créé, modifie ou supprime un contenu en ligne, il faudra conserver l'identifiant de la connexion à l'origine de la communication, l'identifiant attribué par le système d'information au contenu objet de l'opération, les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus, la nature de l'opération, les date et heure de l'opération, l'identifiant utilisé par l'auteur de l'opération lorsque celui-ci l'a fourni.
Inutile de se réfugier derrière un compte fourre-tout quasi-anonyme genre Alfred Toto : il faudra en effet être en mesure de fournir un nom, un prénom et une adresse postale en regard de chaque compte d'utilisateur. Le décret insiste, dans son article 4, spécifiquement que l'obligation de sécurité de ces données de connexion. Mais cette sécurité ne doit pas empêcher une mise à disposition sans délais des informations détenues au bénéfice des autorités judiciaires. Le décret précise enfin les modalités des requêtes pour obtenir communication des informations stockées.
Ces obligations concernent bien sûr les prestataires techniques comme les FAI mais aussi tous les DSI. En effet, beaucoup de sites web sont interactifs et permettent aux internautes de déposer du contenu (des commentaires, des questions dans des forums...), la plupart des entreprises offrent une connexion Internet filaire voire Wi-Fi, etc.
De nouvelles contraintes pour les prestataires de service
Lorsqu'est mise à disposition une connexion Internet, il faudra désormais conserver l'identifiant de la connexion, l'identifiant attribué à l'accédant, l'identifiant du terminal utilisé pour la connexion si possible, les dates et heure de début et de fin de la connexion, et enfin les caractéristiques de la ligne de l'accédant.
Lorsqu'un accédant à un service en ligne créé, modifie ou supprime un contenu en ligne, il faudra conserver l'identifiant de la connexion à l'origine de la communication, l'identifiant attribué par le système d'information au contenu objet de l'opération, les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus, la nature de l'opération, les date et heure de l'opération, l'identifiant utilisé par l'auteur de l'opération lorsque celui-ci l'a fourni.
Inutile de se réfugier derrière un compte fourre-tout quasi-anonyme genre Alfred Toto : il faudra en effet être en mesure de fournir un nom, un prénom et une adresse postale en regard de chaque compte d'utilisateur. Le décret insiste, dans son article 4, spécifiquement que l'obligation de sécurité de ces données de connexion. Mais cette sécurité ne doit pas empêcher une mise à disposition sans délais des informations détenues au bénéfice des autorités judiciaires. Le décret précise enfin les modalités des requêtes pour obtenir communication des informations stockées.