La conservation des mots de passe par les hébergeurs de contenus

02 avril 2012

Au Journal officiel du 31 mars 2012, a été publié le décret n° 2012-436 du 30 mars 2012 portant transposition du nouveau cadre réglementaire européen des communications électroniques. Ce texte complète sur de nombreux points la transposition du cadre communautaire adopté en 2011 en matière de télécommunications.

Saisi pour avis sur le projet de décret, le CNNum avait rendu son avis le 21 novembre 2011. Dans le cadre de ce décret, plusieurs des recommandations ont été reprises (en particulier, celles relatives à la séparation fonctionnelle ou à la notification des atteintes aux données personnelles). A l’inverse, les recommandations du CNNum portant sur l’étendue des obligations de conservation des données par les hébergeurs n’ont pas été suivies notamment par le Ministère de l'intérieur.

Pour mémoire, la loi pour la confiance dans l'économie numérique (LCEN) du 21 juin 2004 a créé un statut d'hébergeur (bénéficiant aux intermédiaires stockant des contenus fournis par des tiers comme par exemple, les solutions de stockage de fichiers, les plateformes de partage de vidéos, les sites de petites annonces, etc.). En contrepartie d'un régime de responsabilité aménagé, les hébergeurs ont une obligation de conserver les données techniques permettant l'identification des personnes ayant contribué à la création d'un contenu.

7 ans après la LCEN, le 25 février 2011, le Gouvernement publiait un décret fixant la liste des données devant être conservées par les hébergeurs aux fins de répondre aux réquisitions judiciaires. Parmi ces données figurait l'obligation de conservation du "mot de passe ainsi que les données permettant de les vérifier". Souhaitée par les services d'enquête, cette obligation de conservation avait été critiquée par plusieurs acteurs de l'internet et associations de défense des libertés au motif qu’elle avait pour effet d’obliger une conservation, dans une forme non cryptée, d’une donnée sensible et, d’autre part, que la communication de cette information pouvait porter atteinte au respect de la vie privée.

Le projet de décret soumis au CNNum prévoyait de n'imposer qu'une obligation de conservation des "données permettant de vérifier le mot de passe", la conservation du mot de passe étant supprimée.

Dans son avis n°6, le CNNum avait demandé au Gouvernement d'aller plus loin et de supprimer toute obligation de conservation du mot de passe et des données permettant de le vérifier.

Deux raisons à cela :
- cette donnée de "vérification" ne permet en aucun cas d'identifier la personne elle même voire relèvent de la vie privée ;
- cette donnée de "vérification" permet alors d'accéder et/ou modifier le mot de passe et donc de pouvoir accéder à des informations en dehors du cadre légal approprié.

Le décret publié au Journal officiel n'a pas repris les recommandations du CNNum.

Depuis ce jour, les hébergeurs ne sont donc plus tenus de conserver le mot de passe. Mais ils demeurent tenus de conserver et de communiquer aux autorités les données permettant de vérifier ou de retrouver le mot de passe

Partager

Haut de la page

Voir aussi

Dématérialiser les services publics pour améliorer l’accès aux droits ?

Pour le 50e ASDN, nous avons reçu la sociologue Clara Deville pour échanger autour de son ouvrage L’Etat social à distance. Quels sont les impacts de la dématérialisation des services publics sur les demandeurs et demandeuses de droits sociaux ? Découvrez ses réponses à nos questions.

Paroles de | 15 avril 2024

Photo de Clara Deville en noir et blanc sur fond bleu

En savoir plus

Replongez dans les éditions passées !

Replongez dans les éditions passées ! Mais aussi : y a-t-il vraiment personne derrière les caisses ? Google devient payant, l’impact de l’apprentissage du code sur nos représentations, un concours de design et l’actu du Conseil en 1 min.

Lettre d'information | 12 avril 2024

Visuel Cénum 79 Replongez dans les éditions passées !

En savoir plus

IA et formation continue : intervention auprès du Garf de Paris

Le 7 mars, Olga Kokshagina, Agathe Bougon et Joséphine Hurstel sont intervenues auprès du GARF de Paris autour de l’intelligence artificielle et la formation. Que veut dire être expert de l’IA ? Comment parler de l’IA en entreprise ? Retour sur ces riches échanges. 

11 avril 2024

Photo de la salle de réunion avec les participants du Garf de Paris, Olga Kokshagina, Agathe Bougon et Joséphine Hurstel.

En savoir plus

Abonnez-vous à notre lettre d'information

En renseignant votre adresse email, vous acceptez de recevoir nos actualités occasionnellement par courrier électronique. Vous pouvez vous désinscrire à tout moment avec ce formulaire.