Moutons mécaniques » Répondre au commentaire

LCEN - Les Bloggeurs eux aussi vont logger !!

La LCEN (Loi pour la confiance dans l'économie numérique) nous livre encore de nouvelles surprises, il fallait s'y attendre... Beaucoup (pas tant que cela en fait) s'étaient émus de cette loi et plus particulièrement de son volet "rétention des logs", sorte de big-brothering à la française. Comme DADVSI , notre gouvernement sous de nobles couverts poursuivait avec cette loi des objectifs trouble, à mi-chemin entre la protection des marques, la délinquance, et surement aussi du terrorisme... En bref toute l'atmosphère nauséeuse du Patriot Act sauce Camembert. Mais cela c'était en 2004, or, va bientôt paraitre le décret d'application dont le JDN s'est procuré une copie. Et ce décret précise aujourd'hui en détail, justement ce que rétention des logs veux dire. Et là, plein de belles choses vous attendent...

Vous n'aviez pas vu ?

Nous le savions tous déjà, La LCEN définissait, dans la section II.6, qui étaient les "prestataires techniques". Il s'agit des FAI, mais aussi, moins de gens le savent, de vous, de moi, de toute personne mettant en ligne un contenu y compris à titre gratuit (article II.6.2). Ah ? Vous ne saviez pas ? Et bien si, la LCEN est une loi pour tous et même si les FAI ont été les seuls à crier les bloggeurs et autres webmestres en herbe sont tout aussi concernés. Pour les septiques, je cite,

La loi votée dit donc que sont aussi soumis à rétention des logs Les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne (...).

Les 15 choses que je sais de vous

Maintenant que le doute n'est plus permis, voyons ce que le décret nous oblige à stocker pour le bien de la nation.... Petite liste à la Prévert qui en commençant par ce qui est somme toute classique.

l’identifiant de la connexion à l’origine de la communication,
l’identifiant attribué par le système d’information au contenu, objet de l’opération,
l’identifiant attribué par le système d’information à la connexion,
le type de protocole ou de réseau utilisé,
la nature de l’opération,
les date et heure de l’opération,
les pseudonymes utilisés ;

Ouch !! ça fait beaucoup en fait... Mais la chose qui me surprend le plus, ce sont les pseudos. Etant donné qu'ils sont par essence des plus volatiles, à quoi peuvent t-ils donc servir ? En attendant de comprendre, voyons la suite qui concerne seulement les sites permettant à l'utilisateur de saisir du contenu... des commentaires... tous les sites quoi !

contenu

des créations initiales de contenus,
des modifications des contenus eux-mêmes,
des modifications de données liées aux contenus,
des suppressions de contenus.

Re-Ouch !! Il va donc falloir à partir de ce décret, historiser l'ensemble des contributions dans leur état actuel mais aussi toutes les modifications qui ont été précédemment apportées. Et aussi celles qui ont été supprimées... Cela va faire du volume tout cela, d'autant plus que techniquement, je connais aucune plate-forme (Drupal, Wordpress, etc...) qui permettent ce genre de choses... Il va y avoir du pain sur la planche pour rendre les systèmes conformes au "bien de la nation"...

Mais ne partez pas, ce n'est pas fini ! Voici maintenant ce qu'il faut stocker pour tout utilisateur lorsqu'il réalise une opération payante sur votre site :

type de paiement utilisé,
montant,
numéro de référence du moyen de paiement,
date et heure de la transaction.

D'un certain point de vue, la majorité de ces informations ultra-sensibles sont déjà stockées au niveau du fournisseur de service bancaire. Mais combien de webmestres vont se dire Bouh, c'est la loi, au cas où, je veux pas d'ennuis, je stocke moi aussi...... J'espère que l'on en arrivera pas là, mais cette concentration d'informations personnelles n'est pas faite pour me rassurer...

Et le meilleur pour la fin, toute création d'un compte implique le stockage et l'historisation des informations suivantes :

nom et prénom ou raison sociale,
adresses postales associées,
pseudonymes utilisés,
adresses de courrier électronique associées,
numéros de téléphone,
mot de passe et informations associées ;

Quatre ans d'histoire...

Tout d'abord, je ne sais pas pour vous, mais moi je ne demande pas le dixième de ce qui est énuméré là. Suis-je obligé de le faire maintenant ? Ensuite apparaissent les "mots de passe" et c'est très intéressant pour juger de l'intention de ce texte et de ce décret. A quoi peuvent servir ces informations ? Je suis maitre chez moi et si la police veut des données et me présente un papier signé d'un juge, je n'ai pas besoin du mot de passe utilisateur accéder aux données. La seule utilisation possible de ce genre de données est de ré-utiliser ces informations pour se faire passer par un utilisateur. En tout cas, moi je n'en vois pas d'autres...

Voilà donc ce que l'avenir radieux de l'informatique des libertés nous apporte. Internet est issue d'un réseau militaire (arpanet). Et grâce aux bons offices du gouvernement, il y a de fortes chances, qu'il retrouve ses origines. Pour informations, il ne s'agit pas pour vous de conserver ces informations 1 mois, mais 1 an ! Ce qui, au-delà du stockage, pose un problème intéressant. Car l'état, une fois ayant reçu les données demandées, peut les conserver 3 ans ! Hors d'atteinte de tout juge, l'état peut donc grâce à la LCEN conserver à sa discrétion l'historique WEB d'un utilisateur pendant 4 ans... Voilà qui n'est pas fait pour être rassurant dans un monde où nos habitudes quotidiennes se transferent de plus en plus sur la toile.

Confidentialité et Intégrité

Dernier détail "amusant" sur ce que la loi vous impose, je cite :

Les données doivent être conservées sur des supports et dans des formats d’enregistrement conformes aux normes techniques en vigueur. Cette conservation doit s’effectuer dans des conditions garantissant leur confidentialité et leur intégrité, et afin de permettre une extraction dans un bref délai pour répondre à une demande des autorités judiciaires

Si je me place du point de vue stricte du métier de l'informatique ce sont des contraintes très lourdes, beaucoup plus lourdes que le contenu des logs à produire. En effet, quel utilisateur "lambda", possédant un compte chez free et son blog sur ce compte, a en effet la capacité technique de répondre à ces critères ? Même en imaginant que les plate-formes de blog s'adaptent, et elle le feront, quel bloggeur sera en capacité d'assurer la confidentialité et l'intégrité ? C'est à dire être certain et garantir que personne d'autre que le bloggeur peut avoir accés à ces données (dans le cas d'un compte free, free a toute vision sur ces données !!) et aussi garantir qu'en tout circonstance les données ne peuvent être ni altérés, ni perdues...

Pour moi, cet article à lui seul, s'il est interprété comme je viens de le faire, signe simplement la fin des sites personnels... Cela n'est pas sans me rappeler ce que Renaud Donnedieu de Vabres cherche à mettre en oeuvre sur la labélisation des blogs...

Répondre

Commentaires récents

boarf: Bon... ce sujet date un peu, mais puisque je peux apporter une
Ulhume: Alors c'est peut-être là que notre divergence réside. L'Uranium
loren (com): Salut Ulhume ; puisque tu m'y invites, voici ma réserve
Ulhume: @Miss K ça valait le coup de préciser :-)
Miss K: oups ! je m'adresse à "Mc Atreides the king" bien sûr

	Accueil » LCEN - Les Bloggeurs eux aussi vont logger !!
	LCEN - Les Bloggeurs eux aussi vont logger !! La LCEN (Loi pour la confiance dans l'économie numérique) nous livre encore de nouvelles surprises, il fallait s'y attendre... Beaucoup (pas tant que cela en fait) s'étaient émus de cette loi et plus particulièrement de son volet "rétention des logs", sorte de big-brothering à la française. Comme DADVSI , notre gouvernement sous de nobles couverts poursuivait avec cette loi des objectifs trouble, à mi-chemin entre la protection des marques, la délinquance, et surement aussi du terrorisme... En bref toute l'atmosphère nauséeuse du Patriot Act sauce Camembert. Mais cela c'était en 2004, or, va bientôt paraitre le décret d'application dont le JDN s'est procuré une copie. Et ce décret précise aujourd'hui en détail, justement ce que rétention des logs veux dire. Et là, plein de belles choses vous attendent... Vous n'aviez pas vu ? Nous le savions tous déjà, La LCEN définissait, dans la section II.6, qui étaient les "prestataires techniques". Il s'agit des FAI, mais aussi, moins de gens le savent, de vous, de moi, de toute personne mettant en ligne un contenu y compris à titre gratuit (article II.6.2). Ah ? Vous ne saviez pas ? Et bien si, la LCEN est une loi pour tous et même si les FAI ont été les seuls à crier les bloggeurs et autres webmestres en herbe sont tout aussi concernés. Pour les septiques, je cite, La loi votée dit donc que sont aussi soumis à rétention des logs Les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne (...). Les 15 choses que je sais de vous Maintenant que le doute n'est plus permis, voyons ce que le décret nous oblige à stocker pour le bien de la nation.... Petite liste à la Prévert qui en commençant par ce qui est somme toute classique. l’identifiant de la connexion à l’origine de la communication, l’identifiant attribué par le système d’information au contenu, objet de l’opération, l’identifiant attribué par le système d’information à la connexion, le type de protocole ou de réseau utilisé, la nature de l’opération, les date et heure de l’opération, les pseudonymes utilisés ; Ouch !! ça fait beaucoup en fait... Mais la chose qui me surprend le plus, ce sont les pseudos. Etant donné qu'ils sont par essence des plus volatiles, à quoi peuvent t-ils donc servir ? En attendant de comprendre, voyons la suite qui concerne seulement les sites permettant à l'utilisateur de saisir du contenu... des commentaires... tous les sites quoi ! Doit être stocké le contenu : des créations initiales de contenus, des modifications des contenus eux-mêmes, des modifications de données liées aux contenus, des suppressions de contenus. Re-Ouch !! Il va donc falloir à partir de ce décret, historiser l'ensemble des contributions dans leur état actuel mais aussi toutes les modifications qui ont été précédemment apportées. Et aussi celles qui ont été supprimées... Cela va faire du volume tout cela, d'autant plus que techniquement, je connais aucune plate-forme (Drupal, Wordpress, etc...) qui permettent ce genre de choses... Il va y avoir du pain sur la planche pour rendre les systèmes conformes au "bien de la nation"... Mais ne partez pas, ce n'est pas fini ! Voici maintenant ce qu'il faut stocker pour tout utilisateur lorsqu'il réalise une opération payante sur votre site : type de paiement utilisé, montant, numéro de référence du moyen de paiement, date et heure de la transaction. D'un certain point de vue, la majorité de ces informations ultra-sensibles sont déjà stockées au niveau du fournisseur de service bancaire. Mais combien de webmestres vont se dire Bouh, c'est la loi, au cas où, je veux pas d'ennuis, je stocke moi aussi...... J'espère que l'on en arrivera pas là, mais cette concentration d'informations personnelles n'est pas faite pour me rassurer... Et le meilleur pour la fin, toute création d'un compte implique le stockage et l'historisation des informations suivantes : nom et prénom ou raison sociale, adresses postales associées, pseudonymes utilisés, adresses de courrier électronique associées, numéros de téléphone, mot de passe et informations associées ; Quatre ans d'histoire... Tout d'abord, je ne sais pas pour vous, mais moi je ne demande pas le dixième de ce qui est énuméré là. Suis-je obligé de le faire maintenant ? Ensuite apparaissent les "mots de passe" et c'est très intéressant pour juger de l'intention de ce texte et de ce décret. A quoi peuvent servir ces informations ? Je suis maitre chez moi et si la police veut des données et me présente un papier signé d'un juge, je n'ai pas besoin du mot de passe utilisateur accéder aux données. La seule utilisation possible de ce genre de données est de ré-utiliser ces informations pour se faire passer par un utilisateur. En tout cas, moi je n'en vois pas d'autres... Voilà donc ce que l'avenir radieux de l'informatique des libertés nous apporte. Internet est issue d'un réseau militaire (arpanet). Et grâce aux bons offices du gouvernement, il y a de fortes chances, qu'il retrouve ses origines. Pour informations, il ne s'agit pas pour vous de conserver ces informations 1 mois, mais 1 an ! Ce qui, au-delà du stockage, pose un problème intéressant. Car l'état, une fois ayant reçu les données demandées, peut les conserver 3 ans ! Hors d'atteinte de tout juge, l'état peut donc grâce à la LCEN conserver à sa discrétion l'historique WEB d'un utilisateur pendant 4 ans... Voilà qui n'est pas fait pour être rassurant dans un monde où nos habitudes quotidiennes se transferent de plus en plus sur la toile. Confidentialité et Intégrité Dernier détail "amusant" sur ce que la loi vous impose, je cite : Les données doivent être conservées sur des supports et dans des formats d’enregistrement conformes aux normes techniques en vigueur. Cette conservation doit s’effectuer dans des conditions garantissant leur confidentialité et leur intégrité, et afin de permettre une extraction dans un bref délai pour répondre à une demande des autorités judiciaires Si je me place du point de vue stricte du métier de l'informatique ce sont des contraintes très lourdes, beaucoup plus lourdes que le contenu des logs à produire. En effet, quel utilisateur "lambda", possédant un compte chez free et son blog sur ce compte, a en effet la capacité technique de répondre à ces critères ? Même en imaginant que les plate-formes de blog s'adaptent, et elle le feront, quel bloggeur sera en capacité d'assurer la confidentialité et l'intégrité ? C'est à dire être certain et garantir que personne d'autre que le bloggeur peut avoir accés à ces données (dans le cas d'un compte free, free a toute vision sur ces données !!) et aussi garantir qu'en tout circonstance les données ne peuvent être ni altérés, ni perdues... Pour moi, cet article à lui seul, s'il est interprété comme je viens de le faire, signe simplement la fin des sites personnels... Cela n'est pas sans me rappeler ce que Renaud Donnedieu de Vabres cherche à mettre en oeuvre sur la labélisation des blogs... Répondre Votre nom : * E-mail : * Le contenu de ce champ est gardé secret et ne sera pas montré publiquement. Page d'accueil : Comment : * Allowed HTML tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> Les lignes et les paragraphes vont à la ligne automatiquement. Les adresses de pages web et de messagerie électronique sont transformées en liens automatiquement. Textual smileys will be replaced with graphical ones. Plus d'informations sur les options de formatage Notify me of follow-up comments posted here.