[RÉSOLU] Utilisation des statistiques AWstats

Vous avez des questions d'ordres éthiques, des réponses à y apporter ? Venez échanger vos points de vues juridiques sur vos sites ou futurs projets.
Avatar de l’utilisateur
Tilde3
Messages : 462
Inscription : 19 octobre 2011 à 13:11
Contact :

Bonjour,

FranceServ Hébergement propose les statistiques de l'activité de mon site grâce à l'outil AWstats.
Cet outil conserve les adresses IP de mes visiteurs. Ça semble être justifié («Toutes les activités Web via Apache sont sauvegardées dans un fichier journal système en vu de conserver une traçabilité technique et juridique.»), mais ça ne me réjouis pas.

Mes visiteurs peuvent-ils demander leurs suppressions ? À qui ?

Merci d'avance.
Avatar de l’utilisateur
Elodie
Fondatrice / Responsable
Fondatrice / Responsable
Messages : 7949
Inscription : 2 avril 2010 à 20:14

Bonjour,

La loi dit que les hébergeurs (entre autre, les FAI sont au point 1) :
Article 6, grand I, point 2, Loi n° 2004-575 du 21 juin 2004 a écrit :2. Les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis par des destinataires de ces services [...]
Source : http://www.legifrance.gouv.fr/affichTex ... ieLien=cid

Doivent conserver :
Article 1, Décret n° 2011-219 du 25 février 2011 a écrit :Les données mentionnées au II de l'article 6 de la loi du 21 juin 2004 susvisée, que les personnes sont tenues de conserver en vertu de cette disposition, sont les suivantes :

[partie concernant les FAI :]
1° Pour les personnes mentionnées au 1 du I du même article et pour chaque connexion de leurs abonnés :
a) L'identifiant de la connexion ;
b) L'identifiant attribué par ces personnes à l'abonné ;
c) L'identifiant du terminal utilisé pour la connexion lorsqu'elles y ont accès ;
d) Les dates et heure de début et de fin de la connexion ;
e) Les caractéristiques de la ligne de l'abonné ;

[partie concernant les hébergeurs]
2° Pour les personnes mentionnées au 2 du I du même article et pour chaque opération de création :
a) L'identifiant de la connexion à l'origine de la communication ;
b) L'identifiant attribué par le système d'information au contenu, objet de l'opération ;
c) Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus ;
d) La nature de l'opération ;
e) Les date et heure de l'opération ;

f) L'identifiant utilisé par l'auteur de l'opération lorsque celui-ci l'a fourni ;

[partie concernant les FAI et les hébergeurs]
3° Pour les personnes mentionnées aux 1 et 2 du I du même article, les informations fournies lors de la souscription d'un contrat par un utilisateur ou lors de la création d'un compte :
a) Au moment de la création du compte, l'identifiant de cette connexion ;
b) Les nom et prénom ou la raison sociale ;
c) Les adresses postales associées ;
d) Les pseudonymes utilisés ;
e) Les adresses de courrier électronique ou de compte associées ;
f) Les numéros de téléphone ;
g) Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour ;
4° Pour les personnes mentionnées aux 1 et 2 du I du même article, lorsque la souscription du contrat ou du compte est payante, les informations suivantes relatives au paiement, pour chaque opération de paiement :
a) Le type de paiement utilisé ;
b) La référence du paiement ;
c) Le montant ;
d) La date et l'heure de la transaction.
Les données mentionnées aux 3° et 4° ne doivent être conservées que dans la mesure où les personnes les collectent habituellement.
Source : http://www.legifrance.gouv.fr/affichTex ... rieLien=id

Ces données sont à conserver pendant 1 an, soit à partir de la création du compte ou à partir de sa suppression :
Article 3, Décret n° 2011-219 du 25 février 2011 a écrit :La durée de conservation des données mentionnées à l'article 1er est d'un an :
a) S'agissant des données mentionnées aux 1° et 2°, à compter du jour de la création des contenus, pour chaque opération contribuant à la création d'un contenu telle que définie à l'article 2 ;
b) S'agissant des données mentionnées au 3°, à compter du jour de la résiliation du contrat ou de la fermeture du compte ;
c) S'agissant des données mentionnées au 4°, à compter de la date d'émission de la facture ou de l'opération de paiement, pour chaque facture ou opération de paiement.
Source : http://www.legifrance.gouv.fr/affichTex ... rieLien=id

Ces informations peuvent être réclamées à tout moment par la police dans le cadre d'une enquête.

Voilà un exemple réel assez récent datant du 2 novembre 2011 (j'ai masqué les informations pouvant être susceptibles de révéler l'identité de la personne physique concernée) :

Image

Ces informations ne peuvent alors pas être supprimées au minimum avant 1 an après l'opération ou x année(s) (durée du contrat) plus (+) 1 an après la suppression du compte.
Vous avez une question ? Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, contactez-nous directement.
Avatar de l’utilisateur
Tilde3
Messages : 462
Inscription : 19 octobre 2011 à 13:11
Contact :

Merci pour ces exemples très éclairants sur les obligations légales de l'hébergeur !

Néanmoins, si je comprends bien, il s'agit là de données relatives au client de l'hébergeur (moi), et non mes visiteurs… À moins que toute connection à votre domaine — même indirectement — doive obligatoirement être enregistrée (mon site est de type monsite.franceserv.com) ?
Avatar de l’utilisateur
Elodie
Fondatrice / Responsable
Fondatrice / Responsable
Messages : 7949
Inscription : 2 avril 2010 à 20:14

Surveiller les agissements d'un hébergé sans avoir la possibilité de connaître ses agissements avec d'autres personnes et la portée de ses actes est inutile.

Surtout qu'il est difficile de savoir si l'adresse IP par exemple 123.123.123.123 correspond à un hébergé ou non (l'hébergé peut passer par un proxy, par le domicile de ses parents et non depuis chez lui, un MacDO, etc ...)

C'est comme enquêter sur un braqueur de banque en supprimant toutes les informations concernant les banques, les témoins, etc ...

Avec la réquisition à personne du 2 novembre montré en exemple et qui porte sur des "Menaces réitérée", s'il n'y avait pas les interlocuteurs, la police ne pourrai pas savoir vers qui ou depuis qui ces menaces ont été faites, qui a pu les voir, le public visé et touché etc ...

Mais je vous l'accorde, ce décret est encore un peu flou mais dans le doute ...
Vous avez une question ? Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, contactez-nous directement.
Avatar de l’utilisateur
Tilde3
Messages : 462
Inscription : 19 octobre 2011 à 13:11
Contact :

Ok ! Je comprends mieux.

Merci pour ses réponses et bon courage pour ce que ça implique (visiblement la conservation d'informations durant un an, même si l'hébergé a supprimé son compte) !
Verrouillé