Obligations légales

Bonjour,

Perso d'après la lecture, ce nouveau décret s'applique uniquement aux "prestataires techniques".

Du coup pour moi cela impacte seulement OVH et non l’utilisateur finale (sauf ceux administrant un forum ou site qui permet des échange de manière public avec compte/pseudo).

Après pour les mentions légales/rgpd & cie ça c'est censé être connu quand on monte un site (comme quand on monte une société, il y a des règles à respecter).

Note : en théorie presque tous les forum hébergés sur le sol français sont hors la loi car aucun forum ne demande "Les informations relatives à l'identité civile de l'utilisateur" (Cf: https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000044231067).
Ou alors je comprend très mal la LCEN & le Décret n° 2023-933 du 10 octobre 2023

Cordialement, janus57

Oui la LCEN impose d'identifier les utilisateurs, mais c'est peu appliqué.
On demande à minima les informations liées à la création du compte : email, ip.
C'est tout le problème car il faut que tous les intervenants fassent le taf.
L'hébergeur sur les logs du serveur web, mais aussi le client qui administre le forum/le site qui doit également conserver l'ip, le compte, le mail du gus qui post.

Si tu as un forum, si tu ouvres les commentaires sur ton site, tu es concernés aussi.

Qd à la RGPD / mentions légales si tu savais le nbr de sites qui s'en tapent et/ou ne sont même pas informé... Evidemment que c'est le rôle de chacun de faire sa veille juridique, mais bcp s'imaginent que d'héberger le forum des passionné de pétanque du village au fond du Larzac ne va pas les obliger à se soumettre aux obligations légales... Et pourtant si...

J'héberge des sites clients sur des dédiés et j'édite des logiciels pour les agences immobilières (et c'est le RGPD qui me tracasse sur ce sujet).

Perso je garde les backup (log, datas clients etc.) pendant un an (35To).
J'ai déjà eu une réquisition judiciaire pour un site client où j'ai dû communiquer des données de connexion. Donc parfois cela sert pour autre chose qu'un site piraté depuis des lustres :)

Ton post me fait penser à un article récent du Monde :
https://www.lemonde.fr/idees/article/2017/02/03/numerique-attention-a-l-exces-de-reglementation_5073904_3232.html

Et une brève Nextinpact ce matin : https://www.nextinpact.com/lebrief/72656/ai-act-dsa-dma-etc-french-tech-peine-a-suivre-rythme-reglements-europeens

Bonjour,

aussi tout ça dépend de là ou le prestataire s'arrête.
Si le presta fait juste de l'infra+infogérance il aura moins de choses à conserver comparé a quelqu'un qui fait du SaaS ou là il a "tout" à garder.

Idem la quantité de choses à faire attention sera différente entre quelqu'un qui héberge une infra "web" (site web/ecommerce/application web) comparé à quelqu'un qui gère une infra "interne" (rien de publique, tout sert au client en directe genre ad/dns/dhcp/appli métier etc.).

Cordialement, janus57

Oui les logs c'est pour tout ce qui est publique.
Une infra interne n'est pas concernée par ces obligations.

Et sinon oui, toutes ces réglementations plombent la compétitivité des entreprises FR...
Il faut faire de la veille juridique, adapter ses solutions pour répondre à toutes ces obligations, la crainte de mal faire et de se retrouver devant le juge...

Concernant les réquisitions judiciaire j'en ai eu une, pour un gus qui faisait des menaces de morts et avait notamment ciblé des gens dont les contacts étaient sur une page web... Un client en a eu une pour un commentaire sur un site d'un gus suicidaire...

Je ne dis pas que toutes les obligations sont inutiles, certaines ont leur utilité...
Je dis que vu la qté de choses à savoir, et à différents niveaux, ça sera sympas de la part d'OVH de récapituler un peu tout ça, notamment grâce à l'expertise de son service juridique...

Bonjour,

Concernant les réquisitions judiciaire j'en ai eu un

perso là ou je travail on a aussi eu, mais c'était pour identifier le client grâce à son IP publique (ip de sortie internet de son infra), car le dit client héberger ces propres serveur mail qui avait été piraté et utilisé pour faire du vol/usurpation d'identité.

Donc même une infra "interne" peut avoir une porte sur internet si celle-ci dispose d'un serveur mail (par exemple) et ça faut faire attention car là aussi on doit conserver les logs pour se protéger et protéger l'entreprise cliente.

Cordialement, janus57

le mail c'est considéré comme public oui, et fait parti des services à "auditer".

Bonjour,

techniquement un VPN c'est pareil (je parle des VPN d'entreprise), on doit être en mesure de savoir qui s'y connecte, à quel heure et fait quoi.

Cordialement, janus57

Oui, mais ça c'est dans les obligations des FAI.
Car on considère que l'entreprise "fournie" un accès à Internet.
Et par conséquent oui, il faut pouvoir identifier les utilisateurs qui accède au service.

Bonjour,

Oui, mais ça c'est dans les obligations des FAI.

oui et non, car dans le cadre d'un firewall d'entreprise le FAI ne verra rien si le dit firewall est géré par un équipement de l'entreprise (comme son firewall par exemple), et dans ce cas c'est bien le problème de l'entreprise et/ou son prestataire

Cordialement, janus57

oui oui on dit la même chose en fait :)
cf cet article :
https://www.zdnet.fr/actualites/conservation-des-donnees-les-entreprises-soumises-aux-memes-obligations-que-les-fai-39209610.htm

Bonjour,

oui oui on dit la même chose en fait :)

pas tout a fait car quand je disais

on doit être en mesure de savoir qui s'y connecte, à quel heure et fait quoi.

je parle de ce qu'il fait à l'intérieur du réseau de l'entreprise, sur quel serveur il se connecte, quel port et à quel heure (depuis la connexion VPN) et pour le coup le FAI s'en sera rien.

Et perso je fait tout pour conserver sur 1an maximum (si après pour une raison de stockage on ne peut pas, on va être sur 6mois minimum quitte a écraser des infos "moins" importante).

Cordialement, janus57

Ce sujet a été automatiquement fermé après 180 jours. Aucune réponse n'est permise dorénavant.