Points juridiques

Cette page regroupe les problématiques juridiques par pays, il faut bien être conscient qu'internet étant un réseau mondial, les attaques peuvent venir de toute part. Cependant, pour assurer sa sécurité juridique il suffit a priori de veiller à respecter la réglementation :

  1. du pays du siège social de votre structure
  2. du ou des pays où sont hébergés vos serveurs
  3. selon les circonstances :
    • du ou des pays de vos prestataires de service (service de « cloud », de paiement en ligne, …)
    • du ou des pays de vos administrateurs (s'ils sont dans un pays particulièrement liberticide)

Note : L'uniformisation des réglementations au sein de l'UE semble abandonnée dans le domaine des services sur internet : chaque pays gesticule de son côté au nom de la lutte contre le terrorisme, empilant des lois locales.

On peut choisir d'héberger ses données localement si cela est possible, pour être dans l'esprit « AMAP » utilisé pour la promotion des chatons, mais il arrivera probablement un moment où le choix d'un hébergement distant se posera, que ce soit pour des raisons techniques (ex : bande passante ou électricité disponible), de fiabilité (ex : externalisation des sauvegardes) ou économiques (services trop coûteux à héberger localement). Dans ce cas-là, plusieurs choix sont possibles quant au choix du pays d'hébergement du service :

Héberger dans le pays de sa structure

Héberger tous les serveurs d'une structure dans le pays où est le siège social de la structure, permet de ne pas avoir à dépendre de plusieurs juridictions à la fois, et permet d'éviter des déclarations administratives supplémentaires (ex : autorisation pour stocker des données personnelles en dehors de l'Union Européenne).

Héberger dans un/des pays différent

Puisque les réglementations sont différentes entre les pays, avoir un pays d'hébergement différent du pays de la structure peut permettre de rendre certaines actions de surveillance plus complexes. Par exemple, Framasoft est - pour l'instant - hébergé en Allemagne (donc UE) et c'est un choix délibéré. Choisir un pays étranger doit être fait en se renseignant sur leur législation, l'Islande semble avoir adopté une position particulièrement favorable aux hébergeurs, d'autres pays majoritairement utilisés par les chatons font partie de la liste de ceux qui s'autorisent à échanger avec les USA le résultat de leur espionnage des communications, la réglementation concernant la conservation des logs peut être plus ou moins contraignante, donc coûteuse selon les pays…

Réglementation en France

Précautions de sécurité

Texte de référence : https://www.legifrance.gouv.fr/affichTexteArticle.do?cidTexte=JORFTEXT000000886460&idArticle=LEGIARTI000006528131 Si on stocke des données personnelles, on doit empêcher techniquement qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Mise en place d'un traitement

Toute base de données intégrant des données personnelles doit faire l'objet d'une déclaration à la CNIL. C'est gratuit, rapide, et ça se fait en ligne : https://www.cnil.fr/fr/declarer-un-fichier. On peut s'en dispenser en déclarant un Correspondant Informatique et Liberté : https://www.cnil.fr/sites/default/files/typo/document/CNIL_Guide_correspondants.pdf.

Conservation des données

On ne doit conserver les données personnelles que le temps utile à leur traitement. Toute personne dont on détient des données personnelles dispose d'un droit d'accès, de modification et de suppression, et on doit lui signaler clairement comment en bénéficier (formulaire ou adresse de contact).

Le statut de prestataire technique

En France, les chatons sont considérés comme des « prestataires techniques » par la loi. Pour être certain d'être sous ce statut, il faut surtout prendre la précaution de ne jamais se déclarer responsable sous quelque forme que ce soit du contenu hébergé, notamment dans les statuts, le règlement ou la charte d'hébergement de la structure, ou les CGU des services. Une fois protégé par ce statut, on est dégagé de toutes les obligations qui incombent selon la loi aux éditeurs et aux producteurs.

Mentions légales

Afin de pouvoir être contacté dans les formes par la police, justice ou un requérant, il faut faire apparaître clairement :

  • pour une personne physique : son nom et son adresse postale
  • pour une personne morale : sa dénomination et l'adresse de son siège social (et quelqu'un doit relever le courrier à l'adresse du siège social)

Lutte contre le terrorisme, etc.

Les prestataires techniques doivent lutter contre l'apologie des crimes contre l'humanité, de la provocation à la commission d'actes de terrorisme et de leur apologie, de l'incitation à la haine raciale, à la haine à l'égard de personnes à raison de leur sexe, de leur orientation ou identité sexuelle ou de leur handicap ainsi que de la pornographie enfantine, de l'incitation à la violence, notamment l'incitation aux violences faites aux femmes, ainsi que des atteintes à la dignité humaine. Cela se manifeste de deux façons :

  • la mise en place d'un dispositif facilement accessible et visible permettant de signaler de tels faits au prestataire technique, qui lui devra les signaler aux autorités publiques compétentes
  • la publication des moyens consacrés à la lutte contre ces activités

L'obligation de prompte intervention

La seule obligation des prestataires techniques est d'intervenir promptement s'ils ont connaissance d'une activité ou d'une information manifestement illicite. Il faut qu'une preuve existe que le prestataire technique a eu connaissance de l'activité illégale :

  • soit en invoquant la présomption de connaissance des faits suite à une notification respectant les critères indiqués ci-dessous
  • soit avec une preuve directe (exemples : message sur un liste de discussion publique où un responsable soutient l'activité illégale, message « soutien officiel des pédo-nazis depuis 2012 » sur la page d'accueil, etc.)

Critères de notification

Pour qu'une notification du prestataire implique la présomption de connaissance, celle-ci doit comprendre la totalité des éléments suivants :

  • la date de la notification
  • si le notifiant est une personne physique : ses nom, prénoms, profession, domicile, nationalité, date et lieu de naissance ; si le requérant est une personne morale : sa forme, sa dénomination, son siège social et l'organe qui la représente légalement
  • les nom et domicile du destinataire ou, s'il s'agit d'une personne morale, sa dénomination et son siège social
  • la description des faits litigieux et leur localisation précise
  • les motifs pour lesquels le contenu doit être retiré, comprenant la mention des dispositions légales et des justifications de faits
  • la copie de la correspondance adressée à l'auteur ou à l'éditeur des informations ou activités litigieuses demandant leur interruption, leur retrait ou leur modification, ou la justification de ce que l'auteur ou l'éditeur n'a pu être contacté

Réaction suite à une notification invalide

Si la notification ne contient pas toutes les informations obligatoires, on peut simplement l'ignorer, la loi n'oblige à rien. Cependant :

  • si on connaît l'éditeur du contenu, il peut être utile de lui signaler qu'il est responsable de ce qu'il publie
  • si on a une charte d'hébergement qui est violée, il est bon de l'appliquer arbitrairement (pour éviter de pouvoir être requalifié comme éditeur par la justice)
  • si on se met à discuter en public de la requête, en précisant qu'on a bien vu qu'il y avait un contenu illégal, le requérant n'a plus besoin d'invoquer la présomption de connaissance, il aura une preuve directe

Vérification des dispositions légales invoquées

Il faut vérifier que le texte de loi invoqué correspond bien au contenu publié, si c'est évident on agit sans réfléchir (même si on n'approuve pas moralement, à moins d'être prêt à engager sa responsabilité pénale). Si on a un doute il faut montrer sa bonne foi en :

  • demandant des précisions au requérant, poliment (même s'il vous semble insupportable) en lui demandant s'il a des exemples de jurisprudence conformes à son interprétation de la loi
  • poser la même question à l'auteur du contenu
  • demander conseil sur les listes de discussion des chatons, certains auront probablement un avis éclairé !

Prompte réaction

Il y a deux possibilités d'action :

  • rendre le contenu inaccessible
  • supprimer le contenu

Les deux sont légales, le requérant ne peut pas en imposer une (et de toute façon si le contenu est vraiment inaccessible, il n'aura aucun moyen de savoir s'il a été supprimé).

Conservation des logs

Les logs de communication électronique doivent être conservés 1 an (note : et si on dépasse les 1 an, on viole la loi informatique et libertés…)

Mise sur écoute

Une mise sur écoute d'une boîte mail peut être demandée (avec les lois anti-terroristes les demandeurs potentiels sont assez nombreux : en gros si une personne ayant une adresse @interieur.gouv.infini.fr ou @justice.gouv.fr vous le demande, vous pouvez présumer qu'elle est légitime), en général la police est assez ouverte sur les modalités de mise en œuvre si on n'est pas outillé (exemple de techno déjà acceptée : rsync d'un dossier maildir toutes les 15 minutes). Il est interdit de prévenir la personne sur écoute.

Par un magistrat ou un policier

En général ils sont pro et précisent par écrit le cadre légal exact de leur demande, ils peuvent demander beaucoup et il vaut mieux répondre vite, s'ils doutent de la bonne volonté rien ne leur empêche de demander la saisie des serveurs… Il est possible de facturer tout ce qui est demandé.

Par un avocat / un plaignant

En dehors des notifications dans le cadre de la LCEN il ne devrait pas y avoir de réquisitions dont il faut tenir compte. Certains avocats tentent l'intimidation sans citer de texte de loi précis pour leur requête : le plus simple est de les ignorer, et s'ils sont vraiment pénibles de demander au barreau dont ils dépendent d'enquêter sur leur déontologie.

réglementation en Union Européenne