Outils pour utilisateurs

Outils du site


droit:contraintes

Contraintes légales

Note : cette page mériterait une restructuration, sur un plan plus thématique. On se moque de la liste des textes de loi, tout ce qui intéresse le lecteur, c'est de savoir ce qu'il faut faire pour être en règle avec son hébergement personnel. Les histoires de déclaration à la CNIL sont, dans l'immense majorité des cas d'auto-hébergement, complètement hors sujet (ou alors c'est à prouver).

Préambule

(Note : les FIXME indiquent une référence précise à renseigner… suite à un temps disponible limité, l'auteur de ces propos n'a pas eu le temps d'explorer le site « légifrance ». Aussi n'hésitez pas à semer aussi vos graines en dessous !)

Il est question ici d'auto-hébergement dans un cadre « normal » donc légal ! Tout opérateur doit pouvoir se qualifier lui même de « légaliste » et donc doit se donner les moyens techniques (souvent qualifiés de « raisonnables » dans les textes) imposés ou impliqués par les différents textes et autres règlements.

« Tout ce qui n'est pas interdit est autorisé »… oui… mais… « Nul n'est censé ignorer la loi ! » c'est ecrit et personne ne viendra tenir la main à qui que ce soit sur ce sujet là.

Il y a donc, à exploiter, une carrière de tables en marbres gravées de textes…

Loi :

FIXME.

  • Obligation de conserver les logs significatifs,
  • Définition des données significatives souvent spécifiques au système donc à définir précisément,
  • Durée légale généralement d'un an.

Loi Informatique et Liberté

Les textes ici ont été majoritairement piqués à la CNIL et à la loi. :-)

FIXME.

Art.226-17 La sécurité des fichiers

« Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende. »

Autrement dit : Tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité physiques (sécurité des locaux), logiques (sécurité des systèmes d’information) et adaptées à la nature des données et aux risques présentés par le traitement. Le non-respect de l’obligation de sécurité est sanctionné de 5 ans d'emprisonnement et de 300 000 € d'amende.

Art.226-22 La confidentialité des données

« Le fait, par toute personne qui a recueilli, à l'occasion de leur enregistrement, de leur classement, de leur transmission ou d'une autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l'intéressé ou à l'intimité de sa vie privée, de porter, sans autorisation de l'intéressé, ces données à la connaissance d'un tiers qui n'a pas qualité pour les recevoir est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende.

La divulgation prévue à l'alinéa précédent est punie de trois ans d'emprisonnement et de 100 000 Euros d'amende lorsqu'elle a été commise par imprudence ou négligence.

Dans les cas prévus aux deux alinéas précédents, la poursuite ne peut être exercée que sur plainte de la victime, de son représentant légal ou de ses ayants droit. »

Autrement dit : Seules les personnes autorisées peuvent accéder aux données personnelles contenues dans un fichier. Il s’agit des destinataires explicitement désignés pour en obtenir régulièrement communication et des «tiers autorisés» ayant qualité pour les recevoir de façon ponctuelle et motivée (ex. : la police, le fisc). La communication d’informations à des personnes non-autorisées est punie de 5 ans d'emprisonnement et de 300 000 € d'amende. La divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d'emprisonnement et de 100 000 € d’amende.

Art.226-20 Durée de conservation

« Le fait de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, par la demande d'autorisation ou d'avis, ou par la déclaration préalable adressée à la Commission nationale de l'informatique et des libertés, est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende, sauf si cette conservation est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi.

Est puni des mêmes peines le fait, hors les cas prévus par la loi, de traiter à des fins autres qu'historiques, statistiques ou scientifiques des données à caractère personnel conservées au-delà de la durée mentionnée au premier alinéa. »

Autrement dit : Les données personnelles ont une date de péremption. Le responsable d’un fichier fixe une durée de conservation raisonnable en fonction de l’objectif du fichier. Le code pénal sanctionne la conservation des données pour une durée supérieure à celle qui a été déclarée de 5 ans d'emprisonnement et de 300 000 € d'amende.

Art.131-13 & Décret 2005-1309 L’information des personnes

« Constituent des contraventions les infractions que la loi punit d'une amende n'excédant pas 3 000 euros.

Le montant de l'amende est le suivant :

1° 38 euros au plus pour les contraventions de la 1re classe ;

2° 150 euros au plus pour les contraventions de la 2e classe ;

3° 450 euros au plus pour les contraventions de la 3e classe ;

4° 750 euros au plus pour les contraventions de la 4e classe ;

5° 1 500 euros au plus pour les contraventions de la 5e classe, montant qui peut être porté à 3 000 euros en cas de récidive lorsque le règlement le prévoit, hors les cas où la loi prévoit que la récidive de la contravention constitue un délit. »

&

Le décret 2005-1309 … long !

Autrement dit : Le responsable d’un fichier doit permettre aux personnes concernées par des informations qu’il détient d'exercer pleinement leurs droits. Pour cela, il doit leur communiquer : son identité, la finalité de son traitement, le caractère obligatoire ou facultatif des réponses, les destinataires des informations, l’existence de droits, les transmissions envisagées. Le refus ou l'entrave au bon exercice des droits des personnes est puni de 1500 € par infraction constatée et 3 000 € en cas de récidive.

Art.226-16 L'autorisation de la CNIL

« Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende.

Est puni des mêmes peines le fait, y compris par négligence, de procéder ou de faire procéder à un traitement qui a fait l'objet de l'une des mesures prévues au 2° du I de l'article 45 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. »

Autrement dit : Les traitements informatiques de données personnelles qui présentent des risques particuliers d’atteinte aux droits et aux libertés doivent, avant leur mise en oeuvre, être soumis à l'autorisation de la CNIL. Le non-accomplissement des formalités auprès de la CNIL est sanctionné de 5 ans d'emprisonnement et 300 000€ d'amende.

Art.226-21 La finalité des traitements

« Le fait, par toute personne détentrice de données à caractère personnel à l'occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité telle que définie par la disposition législative, l'acte réglementaire ou la décision de la Commission nationale de l'informatique et des libertés autorisant le traitement automatisé, ou par les déclarations préalables à la mise en oeuvre de ce traitement, est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende. »

Autrement dit : Un fichier doit avoir un objectif précis. Les informations exploitées dans un fichier doivent être cohérentes par rapport à son objectif. Les informations ne peuvent pas être réutilisées de manière incompatible avec la finalité pour laquelle elles ont été collectées. Tout détournement de finalité est passible de 5 ans d'emprisonnement et de 300 000 € d'amende.

Résumé

  • Obligation de déclarer les fichiers contenant des données personnelles à la CNIL,
  • Gestion pointue de la conservation des données,
  • Obligation d'information

Les dispenses

Les cas spécifiques les plus courants dispensant d'une déclaration sont les suivants :

Dispense n°6 : Cette Dispense n°6 s'applique aux serveurs et services personnels de particuliers.

Dispense n°8 : Cette Dispense n°8 s'applique aux serveurs et services des associations loi 1901.

Mais il suffit de consulter le site de la CNIL a cette adresse pour determiner si un régime de dispense précis s'applique ou pas au système auto-hébergé.

La déclaration

Si aucun régime de dispense ne s'applique il faut alors procéder à une déclaration simplifiée ou non. Le plus simple ici reste de suivre le guide de la CNIL disponible en ligne à cette adresse.

Formulaires disponibles

Le droit à l'information étant acquis pour tous… il faut donc parfois selon l'activité auto-hébergée faire remplir quelques formulaires à vos utilisateurs… formulaires disponibles pour certains auprès de la CNIL.

Loi de protection des mineurs

FIXME

Protection des mineurs : installation “recommandée” d'un equivalent de système de contrôle parental si la machine est accessible d'une façon ou d'une autre à la population d'âge concernée.

Ceci est aussi valable si (et même surtout si), le système auto-hébergé est disponible et accessible en interne ou en externe (i.e. Wifi, CPL, VPN, etc) …

La mise en application de ces lois permet parfois de limiter les dégats en cas d'un recours judiciaire contre le système auto-hébergé.

Loi Hadopi :

FIXME Loi partiellement votée. Mais il va falloir penser à se protéger contre les milices culturelles, les incompétences associées et contre les débordements de pouvoir non policier.

Loi :

FIXME

  • Traitement de la contrefaçon,
  • Le transfert de données sensibles,
  • L'hébergement de données sensibles.

Ceci : volontairement ou à l'insu d'un des opérateurs.

Loi :

FIXME Droit actuel concernant les accès légaux et illégaux à tout système d'information. Protège l'opérateur mais aussi en limite les actions en public lors d'interaction avec d'autres systèmes.

Loi :

FIXME Cas des licences des systèmes informatiques utilisés.

droit/contraintes.txt · Dernière modification: Mon Jan 23 09:59:46 2012 par fifou