Bonjour,

D'ici quelques semaines, sur l'un de mes projets, je serais hébergeur au sens de la LCEN.

J'ai donc pris soin de regarder les obligations légales de conservation de données qui pèse sur moi et particulièrement le décret "n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne"

Ma première réaction fût : "put41n, c'est pas eux qui payent les SSD ! Faut vraiment que je monte un autre serveur pour leurs données"

Ma seconde, fût un blocage sur un point particulier :
CHAPITRE IER : DISPOSITIONS RELATIVES AUX REQUISITIONS JUDICIAIRES PREVUES PAR LE II DE L'ARTICLE 6 DE LA LOI N° 2004 575 DU 21 JUIN 2004


Les données mentionnées au II de l'article 6 de la loi du 21 juin 2004 susvisée, que les personnes sont tenues de conserver en vertu de cette disposition, sont les suivantes :

3° Pour les personnes mentionnées aux 1 et 2 du I du même article, les informations fournies lors de la souscription d'un contrat par un utilisateur ou lors de la création d'un compte :
… ;
g) Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour ;



Cette formulation sur le mot de passe est peu claire. J'entends que je doit garder la question et la réponse secrète si je met ce mécanisme en place.
Pour le mot de passe, c'est une autre histoire...
Je n’enregistre absolument pas le mot de passe de l’utilisateur mais le résultat d’un calcul fais à partir de celui-ci. (le hash SHA-1)
Ce calcul n’est pas réversible. À partir du résultat, je n’ai aucun moyen de retrouver le mot de passe d’origine de l’utilisateur. (c'est le but de SHA-1, c'est le chiffrement non symétrique hein)

D'où quelques questions :
  • Connaissez-vous un moyen de rechercher si un point précis d’un décret à fait l’objet d’une jurisprudence ? (un site internet ?)
  • Quels sont les risques pour ma société si j’interprète mal le décret ? (En gardant uniquement le résultat du calcul)
  • Comment interprétez-vous cela ?
  • Si certains ont été confronté à ce décret, qu'avez-vous fait ?
  • Sur DVP, vous avez mon mot de passe en clair ? Avez-vous déjà fait l'objet de réquisition ? etc.


Merci à tous