Cette page regroupe les problématiques juridiques par pays, il faut bien être conscient qu'internet étant un réseau mondial, les attaques peuvent venir de toute part. Cependant, pour assurer sa sécurité juridique il suffit a priori de veiller à respecter la réglementation :
On peut choisir d'héberger ses données localement si cela est possible, pour être dans l'esprit « AMAP » utilisé pour la promotion des chatons, mais il arrivera probablement un moment où le choix d'un hébergement distant se posera, que ce soit pour des raisons techniques (ex : bande passante ou électricité disponible), de fiabilité (ex : externalisation des sauvegardes) ou économiques (services trop coûteux à héberger localement). Dans ce cas-là, plusieurs choix sont possibles quant au choix du pays d'hébergement du service.
Héberger tous les serveurs d'une structure dans le pays où est le siège social de la structure, permet de ne pas avoir à dépendre de plusieurs juridictions à la fois, et permet d'éviter des déclarations administratives supplémentaires (ex : autorisation pour stocker des données personnelles en dehors de l'Union Européenne).
Puisque les réglementations sont différentes entre les pays, avoir un pays d'hébergement différent du pays de la structure peut permettre de rendre certaines actions de surveillance plus complexes. Par exemple, Framasoft est - pour l'instant - hébergé en Allemagne (donc UE) et c'est un choix délibéré. Choisir un pays étranger doit être fait en se renseignant sur leur législation, l'Islande semble avoir adopté une position particulièrement favorable aux hébergeurs, d'autres pays majoritairement utilisés par les chatons font partie de la liste de ceux qui s'autorisent à échanger avec les USA le résultat de leur espionnage des communications, la réglementation concernant la conservation des logs peut être plus ou moins contraignante, donc coûteuse selon les pays…
Texte de référence : https://www.legifrance.gouv.fr/affichTexteArticle.do?cidTexte=JORFTEXT000000886460&idArticle=LEGIARTI000006528131 Si on stocke des données personnelles, on doit empêcher techniquement qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
Si l'on se réfère à la nouvelle réglementation (RGPD*, en application depuis le 25 mai 2018) la déclaration CNIL n'est plus nécessaire (hormis pour le secteur de la santé, du public et pour l'outre-mer).
Je cite :
Pour plus de détail il faut prendre connaissance du RGPD via les deux guides ci-dessous :
https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-rgpd_guide-tpe-pme.pdf
https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf
La mise en conformité de votre CHATONS avec le droit Européen (RGPD) se fait en 6 étapes énoncées ci-dessous :
https://www.cnil.fr/sites/default/files/atoms/files/pdf_6_etapes_interactifv2.pdf
On ne doit conserver les données personnelles que le temps utile à leur traitement. Toute personne dont on détient des données personnelles dispose d'un droit d'accès, de modification et de suppression, et on doit lui signaler clairement comment en bénéficier (formulaire ou adresse de contact).
Texte de référence : https://www.legifrance.gouv.fr/affichTexteArticle.do?idArticle=LEGIARTI000032400316&cidTexte=LEGITEXT000005789847
En France, les chatons sont considérés comme des « prestataires techniques » par la loi. Pour être certain d'être sous ce statut, il faut surtout prendre la précaution de ne jamais se déclarer responsable sous quelque forme que ce soit du contenu hébergé, notamment dans les statuts, le règlement ou la charte d'hébergement de la structure, ou les CGU des services. Une fois protégé par ce statut, on est dégagé de toutes les obligations qui incombent selon la loi aux éditeurs et aux producteurs.
Afin de pouvoir être contacté dans les formes par la police, justice ou un requérant, il faut faire apparaître clairement :
Les prestataires techniques doivent lutter contre l'apologie des crimes contre l'humanité, de la provocation à la commission d'actes de terrorisme et de leur apologie, de l'incitation à la haine raciale, à la haine à l'égard de personnes à raison de leur sexe, de leur orientation ou identité sexuelle ou de leur handicap ainsi que de la pornographie enfantine, de l'incitation à la violence, notamment l'incitation aux violences faites aux femmes, ainsi que des atteintes à la dignité humaine. Cela se manifeste de deux façons :
La seule obligation des prestataires techniques est d'intervenir promptement s'ils ont connaissance d'une activité ou d'une information manifestement illicite. Il faut qu'une preuve existe que le prestataire technique a eu connaissance de l'activité illégale :
Pour qu'une notification du prestataire implique la présomption de connaissance, celle-ci doit comprendre la totalité des éléments suivants :
Si la notification ne contient pas toutes les informations obligatoires, on peut simplement l'ignorer, la loi n'oblige à rien. Cependant :
Il faut vérifier que le texte de loi invoqué correspond bien au contenu publié, si c'est évident on agit sans réfléchir (même si on n'approuve pas moralement, à moins d'être prêt à engager sa responsabilité pénale). Si on a un doute il faut montrer sa bonne foi en :
Il y a deux possibilités d'action :
Les deux sont légales, le requérant ne peut pas en imposer une (et de toute façon si le contenu est vraiment inaccessible, il n'aura aucun moyen de savoir s'il a été supprimé).
Les logs de communication électronique doivent être conservés 1 an.
Une mise sur écoute d'une boîte mail peut être demandée (avec les lois anti-terroristes les demandeurs potentiels sont assez nombreux : en gros si une personne ayant une adresse @interieur.gouv.infini.fr ou @justice.gouv.fr vous le demande, vous pouvez présumer qu'elle est légitime), en général la police est assez ouverte sur les modalités de mise en œuvre si on n'est pas outillé (exemple de techno déjà acceptée : rsync d'un dossier maildir toutes les 15 minutes). Il est interdit de prévenir la personne sur écoute.
En France le règlement TCO de l'Union Européenne (voir plus bas) a été traduit dans le droit Français par une loi promulguée le 16 août 2022 et instaure une procédure d’injonction de retrait dans l'heure des contenus terroristes sur internet.
L'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC) est l’entité en charge d'émettre les injonctions nationales de retrait ou de blocage dans le cadre du règlement.
Les “contenu à caractère terroriste” font référence au Titre 2 de la directive (UE) 2017/541, en résumé: ce qui met en danger des personnes, ce qui cause des pertes économiques considérables, la capture de navire ou d'aeronef, la destruction de matériel, infrastructure ou système informatique dans certaines cirtconstances.
Voir: - https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32021R0784&from=FR#d1e641-79-1 - https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32017L0541&from=FR#d1e614-6-1
Les hébergeurs ou les internautes à l'origine des contenus, qui contestent une injonction de retrait, pourront former un référé-suspension ou un référé-liberté et déposer un recours en annulation dans les 48 heures devant le tribunal administratif, qui aura 72 heures pour statuer. Un appel pourra être formé dans les 10 jours. La cour administrative d'appel aura alors un mois pour trancher.
Oui vraiment très court. Cependant, nos législateurs en bons princes, nous accord un peu de répit avec:
Non, il y a obligation pour les hébergeurs de conserver les contenus pour les remettre en ligne en cas d'annulation de l'injonction.
En général ils sont pro et précisent par écrit le cadre légal exact de leur demande, ils peuvent demander beaucoup et il vaut mieux répondre vite, s'ils doutent de la bonne volonté rien ne leur empêche de demander la saisie des serveurs… Il est possible de facturer tout ce qui est demandé.
En dehors des notifications dans le cadre de la LCEN il ne devrait pas y avoir de réquisitions dont il faut tenir compte. Certains avocats tentent l'intimidation sans citer de texte de loi précis pour leur requête : le plus simple est de les ignorer, et s'ils sont vraiment pénibles de demander au barreau dont ils dépendent d'enquêter sur leur déontologie.
Le RGPD (Règlement Général sur la Protection des Données) s'applique à compter du 25 mai 2018 aux entreprises, aux administrations, aux associations et aux particuliers sans notion de taille, à partir du moment où il y a traitement des données personnelles.
Le DPD ou DPO n'est pas obligatoire sur les petites et très petites structures. Il n'a d'intérêt que sur les grosses entreprises où il peut se voir éventuellement déléguer le rôle de Responsable des traitements pour la ou les structures qu'il gère.
En revanche il doit y avoir un responsable des traitements (RT) et c'est généralement le responsable de l'hébergement, celui auprès duquel le service est souscrit qui va assurer ce rôle et les responsabilités juridiques qui vont avec. En gros, en cas de soucis, c'est lui qui trinque.
L'hébergeur, s'il est différent du responsable des traitements se positionne en sous traitant et sa responsabilité reste atténuée en cas de manquement, à partir du moment ou le responsable des traitements est donneur d'ordres. Il appartient au RT de s'assurer de la conformité de l'hébergeur vis-à-vis des données personnelles qu'il manipule.
Ce règlement dit “TCO” pour “terrorist content online”, applicable depuis le 7 juin 2022, permet :
Le règlement prévoit, par ailleurs, que les hébergeurs qualifiés d'“exposés” par l'autorité nationale doivent prendre des mesures pour lutter contre l'utilisation abusive de leurs plateformes (par exemple mobiliser des algorithmes pour filtrer et intercepter les contenus terroristes). EN France l'ARCOM semble être l'entité en charge de déterminé quels sont les plateformes “exposées”.
Voir la page Conditions Générales de Services et mentions légales