La conservation des mots de passe par les hébergeurs de contenus

By | 2 avril 2012

Au Journal officiel du 31 mars 2012, a été publié le décret n° 2012-436 du 30 mars 2012 portant transposition du nouveau cadre réglementaire européen des communications électroniques. Ce texte complète sur de nombreux points la transposition du cadre communautaire adopté en 2011 en matière de télécommunications.

Saisi pour avis sur le projet de décret, le CNNum avait rendu son avis le 21 novembre 2011. Dans le cadre de ce décret, plusieurs des recommandations ont été reprises (en particulier, celles relatives à la séparation fonctionnelle ou à la notification des atteintes aux données personnelles). A l’inverse, les recommandations du CNNum portant sur l’étendue des obligations de conservation des données par les hébergeurs n’ont pas été suivies notamment par le Ministère de l’intérieur.

Pour mémoire, la loi pour la confiance dans l’économie numérique (LCEN) du 21 juin 2004 a créé un statut d’hébergeur (bénéficiant aux intermédiaires stockant des contenus fournis par des tiers comme par exemple, les solutions de stockage de fichiers, les plateformes de partage de vidéos, les sites de petites annonces, etc.). En contrepartie d’un régime de responsabilité aménagé, les hébergeurs ont une obligation de conserver les données techniques permettant l’identification des personnes ayant contribué à la création d’un contenu.

7 ans après la LCEN, le 25 février 2011, le Gouvernement publiait un décret fixant la liste des données devant être conservées par les hébergeurs aux fins de répondre aux réquisitions judiciaires. Parmi ces données figurait l’obligation de conservation du « mot de passe ainsi que les données permettant de les vérifier ». Souhaitée par les services d’enquête, cette obligation de conservation avait été critiquée par plusieurs acteurs de l’internet et associations de défense des libertés au motif qu’elle avait pour effet d’obliger une conservation, dans une forme non cryptée, d’une donnée sensible et, d’autre part, que la communication de cette information pouvait porter atteinte au respect de la vie privée.

Le projet de décret soumis au CNNum prévoyait de n’imposer qu’une obligation de conservation des « données permettant de vérifier le mot de passe », la conservation du mot de passe étant supprimée.

Dans son avis n°6, le CNNum avait demandé au Gouvernement d’aller plus loin et de supprimer toute obligation de conservation du mot de passe et des données permettant de le vérifier.

Deux raisons à cela :
– cette donnée de « vérification » ne permet en aucun cas d’identifier la personne elle même voire relèvent de la vie privée ;
– cette donnée de « vérification » permet alors d’accéder et/ou modifier le mot de passe et donc de pouvoir accéder à des informations en dehors du cadre légal approprié.

Le décret publié au Journal officiel n’a pas repris les recommandations du CNNum.

Depuis ce jour, les hébergeurs ne sont donc plus tenus de conserver le mot de passe. Mais ils demeurent tenus de conserver et de communiquer aux autorités les données permettant de vérifier ou de retrouver le mot de passe

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *