Décret concernant le stockage des informations de connexion

Bonjour,

J’ai vu sur Mastodon ce matin un décret passer, portant à un an la durée légale minimale de stockage des informations de connexion :

https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000046437495

Je ne suis pas sûr, mais il semblerait que cette injonction concerne les CHATONS. Serait-il possible pour un·e juriste de nous l’interpréter ?

Quid de la législation européenne à ce sujet ?

Et si nous sommes vraiment concerné·e·s… On fait comment si un service génère 12 Go de logs par semaine et qu’on a une capacité de stockage à la hauteur de nos moyens associatifs, donc assez limitée ? :grimacing:

~ neil

Je ne suis pas juriste mais j’ai quelques réponses (que j’espère pas trop inexactes):

Déjà, pour ton soucis technique, tu n’es censé loguer que les ajouts, modifications, suppressions de contenus, pas les consultations, ce qui peux te permettre d’alléger tes logs. Il me semble aussi qu’il faut déterminer si ton service est bien concerné, car il faut que ça ait un lien avec la publication de contenu en ligne au public (pas juste entre quelques personnes) (si je ne dis pas de bêtise).

Ensuite tu constateras que la durée était déjà de 1 an avec les décrets de 2021. Par contre, ici il est affirmé que c’est dans le cadre de la sauvegarde de la sécurité nationale probablement pour des raisons stratégiques vis à vis des décisions européennes sur le sujet qui remettent en cause ce délais et cette conservation généralisée.

Fait également attention aux mots conserver et collecter, dans certains cas, pour certaines données tu as une obligation de collecte claire dans d’autres cas tu n’es pas obliger de collecter, mais seulement de conserver ce que tu as déjà… Enfin, a priori, pas sûr qu’il y ai beaucoup de jurisprudence sur le sujet.

Enfin, cette histoire est un jeu de chat et de souris entre l’UE, la France, et la société civile (quadrature du net, FFDN, etc.). La France refait des textes tous les ans pour contourner les condamnations de l’UE sur le sujet. Ceci aboutit pour nous opérateurs ou hébergeurs à une situation incompréhensible et variable selon les mois de l’année…

Pour résumer, pour les services de la contre-voie:

  • Nitter et DoH ne sont pas concernés (pas de log à faire)
  • Schéma non plus car c’est uniquement en local (pas de publication)
  • Liens, Forms , Mail, Git et Nextcloud semblent être les services à risque et concernés
  • Pour le mail et nextcloud, de ce que j’avais compris, ça dépend si le mail est envoyé à beaucoup de monde ou le dossier est partagé à beaucoup de monde. Si pour les mails c’est peut être possible de faire la différence d’un point de vue technique, pour NC ce ne sera pas vraiment faisable car le partage par lien est activable après l’ajout/modification/suppression. Je suppose donc que pour NC il faut logguer toutes modifications.
  • Çà dépend aussi de vos modules NC… lol

Après comme d’habitude c’est à vous d’arbitrer si :

  • en cas de pépin, vous êtes prêt à faire une procédure jusqu’à la CJUE pour faire valoir votre droit de loguer plus court (je sais plus si c’est 3 mois ou 2 semaines)
  • les risques encourut valent la peine de passer du temps sur ce sujet: comprendre quoi/comment loguer, suivre les évolutions de cette législation, passer du temps technique pour la mise en œuvre
  • ou si vous loguer tout pendant 1an, même ce que vous n’êtes pas censé loguer et tant pis pour le RGPD… mais au moins vous vous sentez à l’abri car les risques légaux encourut sont moins gros.

@jeltz si jamais tu veux corriger n’hésites pas :slight_smile:

2 Likes

A noter qu’il y avait une conférence complémentaire à ce que je viens de dire, donnée au rencontre du RIPE ou du FRnog je sais plus. J’arrive plus à mettre la main dessus…

FRnOg, https://media.frnog.org/FRnOG_36/FRnOG_36-2.pdf

{{ J’ai l’impression que tu fatigues car c’est toi qui nous a partagé l’info :upside_down_face: }}

1 Like

… et également à une certaine lassitude, voire à un épuisement de toutes les bonnes volontés.

Je me dis aussi que nous ne sommes pas les seuls à ne plus savoir quoi penser. J’ai le sentiment que les assureurs deviennent de plus en plus réticents à couvrir le risque «hébergeur de données» au vu de l’incertitude juridique consciencieusement entretenu par l’état Français. Je ne sais pas si des Chatons ont eu une expérience récente de ce sujet pour assurer leur activité d’hébergeur ?

Mon expérience avec ReflexLibre en la matière me montre que ça c’est complexifié entre l’année 2016 et cette année. Il y a des exclusions sur les hébergeurs de cloud dans les « assurance RC Pro informatique » qu’il n’y avait pas avant. Ton hypothèse que ce soit lié à l’évolution du cadre légale est possible, faut voir aussi qu’il y a eu l’incendie OVH…