Hébergement mail & responsabilité juridique

Hello chatons et compagnie!

J’ai une infra mail perso de plus en plus mature et je pense à terme l’ouvrir à des potes, des assos amies, et peut-être kiveut: ça pourrait être un membre CHATONS unipersonnel.

Mais! Je me demande quelles sont les responsabilités qui pèsent sur un hébergeur mail. Notamment, sont-elles les mêmes qu’un hébergeur web, voire celles d’un opérateur? Genre, il faut être en mesure de répondre rapidement à la justice si elle nous demande qui est derrière un mail qui a été envoyé? Et est-ce qu’on a même le droit d’avoir cette activité en tant que particulier? La plupart des chatons sont des 1901, et les membres de la FFDN ont pour la plupart une licence ARCEP, donc je ne sais pas trop ce qui est possible pour une personne physique.

En tout cas, d’ici quelques mois je vais probablement partager ma recette sous la forme d’un ansible qui déploie du mongodb, un serveur ldap, une CA pour la communication interne, et et éventuellement du wireguard pour en rajouter une couche entre des serveurs qui seraient distants (ce qui permettrait éventuellement à des individus ou des CHATONS d’augmenter la disponibilité et la résilience, tant que tout le monde fait confiance aux admins).

1 Like

A priori tu peux héberger du mail en tant que particulier en France. Évidemment, tu ne peux pas facturer sans statuts, donc le service doit être gratuit (ou à la limite en partage de frais).

Il y a une grande différence entre le mail et le web: le mail reste essentiellement des communications privée, donc le principe de confidentialité des communications privées issus du code des postes et des communications électroniques s’applique. Néanmoins, il peut y avoir des nuances discutables selon qu’il s’agit de boite mail/notif/mail technique ou de système d’info-lettres susceptibles de dépasser largement le cadre d’une communication privée où on pourrait dans ce cas considérer qu’il y a obligation de conserver des données de connexions concernant l’envoie/éditions du contenu du mail de masse…

En revanche, il faut surtout se souvenir qu’il est interdit d’observer des communications privées sauf en cas de nécessité pour une maintenance (ou une perquisition/demande d’interception).

Sur la question du retrait de contenu terro en 24h, ça concerne les contenus publiés, donc le mail n’est pas concerné.

Pour les obligations concernant la collecte et/ou conservation de données de connexion, j’avoue que je suis plus tout à fait au point sur le mail…

NB: La déclaration ARCEP n’est plus nécessaire pour émettre du wifi 2.4GHz ou 5GHz sur la voie publique, mais ça n’a pas grand chose à voir.

2 Likes

Coucou! Merci pour ces premiers éléments :slight_smile:

En effet, c’est surtout sur l’obligation de conserver des logs que je me pose des questions.

Lorsqu’un•e internaute « fait un truc pas bien » et que la justice veut savoir kicékilafé, elle a une IP, et elle demande à l’opérateur le nom de la personne derrière l’IP.

Mais si c’est qq qui envoie un mail avec des trucs pas cool dedans, a priori on n’a pas son IP. Par contre, on a un domaine et un nom d’utilisateur. Ça me paraîtrait assez logique que la justice demande au fournisseur mail de poucave. Je ne connais pas le cadre légal mais ça m’étonnerait pas que ce soit le même que celui d’un FAI - d’où mon interrogation sur les licences, ou du moins les structures ayant le droit de fournir ce genre de services x)

Si personne n’a la réponse j’essaierai de faire des recherches un peu plus approfondies, j’ai assez peu d’espoir de comprendre quelque chose à un texte de loi. (Je vais peut-être crossposter chez FFDN où il y a un peu plus de juristes à l’association carrée).

Il y a une histoire d’incohérence entre la loi Française et la loi Européenne sur ce point il me semble (de mémoire) j’ai pas retrouvé la source mais il me semble que sur le forum il y avait même eu un sondage à ce propos (savoir ce que chacun fait…) Je ne sais plus laquelle des loi stipule 1 an de log mais j’ai ça en tête. (pas très sourcé mon message pardon)

Ha, j’étais pas si loin, voici quelques liens pour te faire avancer :

L’incohérence concerne plutôt la publication de ressources (pas les intranet sans partage de lien public, pas les boites mails, etc.).

Mais si c’est qq qui envoie un mail avec des trucs pas cool dedans, a priori on n’a pas son IP. Par contre, on a un domaine et un nom d’utilisateur.

Juste pour préciser, parfois l’IP ou les IP sont présentes dans les entêtes des emails.