Google, Facebook et EBay déposent une plainte contre la loi française de conservation des données des utilisateurs !

Plus de vingt entreprises dont les géants du web Google, Facebook, EBay, DailyMotion, AOL et Microsoft ont signé une plainte qui devrait être présentée officiellement demain au conseil d’état par l’Association des Services Internet Communautaires (ASIC). La plainte a pour cible l’obligation pour ces entreprises de conserver pendant un an les données des utilisateurs mots de passe et adresses y compris et de les rendre disponibles aux autorités.

Plus de vingt entreprises dont les géants du web Google, Facebook, EBay, DailyMotion, AOL et Microsoft ont signé une plainte qui devrait être présentée officiellement demain au conseil d’état par l’Association des Services Internet Communautaires (ASIC). La plainte a pour cible l’obligation pour ces entreprises de conserver pendant un an les données des utilisateurs, mots de passe et adresses y compris et de les rendre disponibles aux autorités.

C’est Bloomberg qui révèle l’information relayant les propos du secrétaire général de l’ASIC Benoit Tabaka (également chef du service juridique de PriceMinister). La plainte s’attaquerait donc particulièrement à la nouvelle obligation contenue dans la loi LCEN 2004  parue mardi au Journal Officiel. La loi dispose que les entreprises offrant des services d’hébergement devront conserver pendant un an après la suppression d’un compte utilisateur :

  • Au moment de la création du compte, l’identifiant de cette connexion ;
  • Les nom et prénom ou la raison sociale ;
  • Les adresses postales associées ;
  • Les pseudonymes utilisés ;
  • Les adresses de courrier électronique ou de compte associées ;
  • Les numéros de téléphone ;
  • Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour ;

(Voir le très bon article de Numérama pour plus de détails sur la loi LCEN)

Benoit Tabaka ajoute à Bloomberg que « Les données qui sont spécialement sensibles pour nous, sont les mots de passe. Nous estimons que ce n’est pas une donnée d’authentification mais une donnée personnelle ». Il indique également que d’après l’ASIC, la commission européenne n’avait pas été avertie correctement de cette loi.

Bloomberg a contacté Al Verney, un porte-parole de Google en Californie pour confirmer l’information, il a demandé au journaliste de contacter l’ASIC en ne démentant pas la participation de Google à cette initiative. La suite demain au conseil d’état.

Il faut noter que si la loi parle de services d’hébergement, ce terme est à entendre au sens large puisque le site français Dailymotion par exemple, a été considéré par la justice française comme « hébergeur de contenu » lors de plusieurs procès.

La forme de la « plainte » déposée par l’ASIC sera probablement « une requête présentée devant le Conseil d’Etat visant l’annulation d’un décret pris en application de la LCEN » (merci à  @Mipmip)


Nos dernières vidéos

18 commentaires

  1. Incroyable que ce soit les entreprises les plus fanatiques des données personelles qui attaquent pour ne pas les sauvegarder….même si je me doute que c’est pour ne pas à avoir à les sauvegarder et en payer le coût et pas pour protéger les internautes…

  2. Obliger les sites à stocker les mots de passe en clair, et puis quoi encore ? Autant directement créer une API gouvernementale via laquelle ont remonterait tout en temps réel, ce serait pas le top ça ?

    Plus besoin de surveiller, tout le web remonterait directement chez eux !

  3. Je ne pense pas qu’il soit demandé aux sites de stocker « en clair » les mots de passe.
    Il doit surtout s’agir de fournir aux autorités, après réquisition judiciaire, les données nécessaires à l’enquête.
    J’insiste sur la réquisition judiciaire, parce qu’il n’est pas permis actuellement de fournir des données sans ce précieux document … et je ne pense pas que cela change un jour.
    Il n’y a pas de quoi s’alarmer. Celui qui ne commet rien d’illégal, ne risque rien des lois en vigueur.

    Comme l’a dit jojo, ces sociétés agissent surtout pour se plaindre du coût du stockage du nombre de plus en plus important de données.

  4. chris > Si il faut fournir le mot de passe aux autorités, alors, il faut pouvoir le décrypter (si il est stocké encrypté).

    Les mots de passe pour des raisons de sécurité ne doivent ni être stocké en clair en encrypté mais « hashé ».

    Le hashage est une technique qui permet de transformer une chaine de caractère en un autre et dont l’opération inverse n’est pas possible.

    Les services internets (tel que gmail) ne connaissent donc tout simplement pas nos mots de passes car ils ne les stockent pas.

    Il leur est donc impossible pour des raisons de sécurité et pour des raisons techniques de répondre à une telle demande.

    Fournir des informations aux autorités, ils en sont déjà obligé. Ce n’est pas un surcoût que de fournir une donné en plus. De même stocker une donnée en plus n’est pas non plus un surcoût. Le données ça ne coûte pas grand chose à Google, Dailymotion, …

  5. @chris: Le problème, c’est que pour pouvoir fournir aux autorités un mot de passe, il faut le sauvegarder de façon réversible (pas en clair, mais pratiquement tout comme) alors qu’actuellement, ce n’est pas le cas. Seul un « hash » est stocké, et un attaquant qui récupérerait la base de données pourrait seulement récupérer ces « hachés » et pas le mot de passe original.

    Cette loi est complètement inepte d’un point de vue sécurité en dehors du problème moral qu’elle pose. Une aberration totale. Et je suis contente que des géants comme Google s’y opposent.

  6. @Chris
    Si les sites doivent fournir les mots de passe, alors ils sont obligés de les conserver en clair. Ça ne leur est pas « demandé », mais dans les fait, c’est ce qu’ils devront faire. La façon dont ils sont stocké actuellement est spécifiquement conçu pour qu’on ne puisse pas retrouver le véritable mot de passe en cas de vol de donnée. Il est impossible, même pour le site lui même, de savoir quel est le mot de passe d’un utilisateur sans le stocker en clair dês son inscription au site.

    « Il n’y a pas de quoi s’alarmer. Celui qui ne commet rien d’illégal, ne risque rien des lois en vigueur. »
    Combien de fois a-t-on entendu ça, ou une variante, pour justifier tout et n’importe quoi. Je suis sur que ceux qui disaient la même chose à propos des caméra de surveillance doivent regretter leur paroles maintenant qu’on s’en sert pour leur coller des p.v. de stationnement.

  7. Random > Pour les PV, ils ont qu’à bien ce garer. Le codes c’est pas pour les chiens !

    D’en tout les cas, il n’est absolument pas normal de demander le mot de passe sinon pour se loger à la place de la personne. Je doute clairement de la légalité.

    D’une part c’est de l’usurpation d’identité et d’autre part comment assurer que ce mot de passe ne sera pas utiliser alors que plus aucune enquète ne sera en court ?

    Cela reviendrai à demander sans l’accord de la personne le double de clé et de fouiller l’appartement quand bon vous semble et ceux sans obligation d’avoir une réquisition judiciaire encore valide.

  8. Pour répondre à « Jojo », personellement je pense plutôt qu’ils craignent de perdre des personnes, et d’accentuer la parano autour des données personnelles. Parce qu’il est clair que c’est effarant, ça fait peur.

    Question, je connais mal le processus de validation d’une loi (que je sais très compliqué), une fois parue au journal officiel, elle entre en application immédiatement ?

    Dans l’affirmative, je pense que je vais faire un GROS tri dans mes comptes (facebook, vimeo, tumblr, etc – twitter étant en partie moins concerné dans la façon dont je l’utilise).

  9. Le mot de passe ne sert pas à identifier un internaute. Il sert à vérifier l’identité de celui qui veut accéder à un compte.
    Administrateur d’un site, je ne garde que le strict minimum, et surtout pas de mot de passe récupérable d’une façon ou d’une autre. Mot de passe perdu, j’en fabrique un autre pour la tête en l’air…

  10. Pingback: Google contre les bases de données de reconnaissance faciale

  11. Pingback: On va pas faire de politique, mais… | Blog de JP Gouigoux

  12. En même temps ce n’est pas comme ci on ne revendait pas nos infos aux grandes enseignes… A chaque fois que je passe ma carte de fidélité chez Crefour ou Auchan, j’ai le sentiment de répondre à un questionnaire sur ma consommation.

  13. Je dis ça car ce procédé me semble normal, je ne parle pas du mot de passe, mais que Facebook et autre « râle » pour ca, alors qu’ils sont coupable de pire, car c’est interdit normalement d’utiliser nos infos… Le gouvernement n’a pas le choix, imaginez un pervers qui parle à votre fille, au moins ils se donnent les moyens de retrouver les infos du gars, ou des preuves…

Répondre