log

[CaptainKiller]

cry-stof, arrête ton raisonnement il ne tient pas

numéro de téléphone = donnée personnelle (tu sais qui téléphone avec ton téléphone ?)
plaque d'immatriculation = donnée personnelle (une personne peut en avoir plusieurs et une plaque avoir plusieurs conducteurs)
adresse d'habitation = donnée personnelle (t'es le seul à habiter chez toi ?)
sexe, religion, goûts politiques, toutes ces données sont personnelles, même si elles peuvent être partagées par plusieurs personnes.

Analogie de notre cas avec plusieurs cas volontairement polémiques (je vous laisse juger) :
– je dirige un sex shop, je décide de publier sur mon site internet la liste des plaques d'immatriculation des voitures s'étant garées sur mon parking (réservé aux clients)
– je suis un numéro d'aide aux femmes battues (SOS femme battue ou je ne sais quoi) et je décide de publier la liste des numéros qui m'ont appelé ce mois
– je suis un site d'extrême droite à tendance néonazie, je publie la liste des iPs qui se sont connectées à mon site
– je suis le site http://www.monvoisinestuncon.fr qui recense les conneries de mes voisins à la VDM-like (je ne sais pas si ça existe), et je publie les IP (la correspondance IP/adresse physique est extrêmement aisée, même si elle ne localise pas de façon précise les machines, dans certains cas ça arrive)


Ensuite à tous ceux qui pensent que le lien personne - ip est inexistant, pensez à tous ces « anonymes » retrouvés par les internautes sur la base de leurs IPs, bien entendu croisées avec d'autres données, même si la justice ne peut établir le lien de manière fiable, la sauvage justice des hommes le fait très bien et c'est suffisant (combien de maris vont se dire que l'on ne peut pas être sûr que c'est sa femme qui a appelé SOS femme battue parce que le numéro de téléphone n'est pas une donnée nominative ?)

Allons bon, soyez sérieux 5 minutes !

[marou]

Pendant ce temps, aux USA, le statut de l'adresse IP se précise dans le bon sens.
http://arstechnica.com/tech-policy/news ... resses.ars

Ils sont en retard sur la France dans ce cas-là, car chez nous l'adresse IP n'est pas reconnue comme une preuve. C'est un élément de preuve (la police s'en sert pour demander le droit de perquisitionner par exemple) mais ça ne suffit pas à identifier l'auteur d'un partage de fichier.

[marou]

cry-stof, la loi HADOPI est justement construite pour contourner le fait que l'adresse IP n'identifie pas la personne qui utilise la ligne mais la personne qui possède la ligne associée à cette adresse IP.

La loi HADOPI repose sur le délit de "négligence caractérisée" dans la "sécurisation" de ton accès à Internet : HADOPI ne te coupe pas le net parce que tu as téléchargé mais parce que quelqu'un semble l'avoir fait avec une adresse IP qui t'était attribuée au moment des faits.

Tu ne peux pas nier que cette adresse IP t'était bien attribuée au moment des faits par ton FAI, et c'est uniquement à partir de cette adresse IP que la HADOPI peut t'identifier ; donc c'est bien une donnée à caractère personnel qui permet de t'identifier toi titulaire de l'accès à Internet suspecté d'avoir servi à du partage de fichier protégé par le droit d'auteur.

Ce qu'on combat entre autres dans la HADOPI, c'est ce délit qui vise le titulaire de l'accès à Internet au lieu de la personne qui a vraiment partagé le fichier, et donc qui va punir des innocents.

[Damien Clauzel]

les situations dont je parle sont les situations domestiques, où l'IP est celle de la box d'un particulier. Si tu es dans le cas d'une entreprise, c'est différent.

Du point de vue de la technologie, non, cela ne fait pas de différence.

Selon les cas, les admin sont capable de remonter au PC ou pas (via les baux), de remonter à l'usager ou pas (via les ouvertures de session, le login sur le proxy), etc.

Même chose pour la maison : il faut suivre les données techniques pour identifier le réel utilisateur : le père, la mère, le fils, l'ami de passage, le voisin qu'on dépanne car sa connexion est en rade… Taper sur le titulaire de la ligne revient à faire une justice aveugle.

[cry-stof]

cry-stof, la loi HADOPI est justement construite pour contourner le fait que l'adresse IP n'identifie pas la personne qui utilise la ligne mais la personne qui possède la ligne associée à cette adresse IP.

La loi HADOPI repose sur le délit de "négligence caractérisée" dans la "sécurisation" de ton accès à Internet : HADOPI ne te coupe pas le net parce que tu as téléchargé mais parce que quelqu'un semble l'avoir fait avec une adresse IP qui t'était attribuée au moment des faits.

Tu ne peux pas nier que cette adresse IP t'était bien attribuée au moment des faits par ton FAI, et c'est uniquement à partir de cette adresse IP que la HADOPI peut t'identifier ; donc c'est bien une donnée à caractère personnel qui permet de t'identifier toi titulaire de l'accès à Internet suspecté d'avoir servi à du partage de fichier protégé par le droit d'auteur.

Ce qu'on combat entre autres dans la HADOPI, c'est ce délit qui vise le titulaire de l'accès à Internet au lieu de la personne qui a vraiment partagé le fichier, et donc qui va punir des innocents.

alors là on est d'accord
mais comment punir quelqu’un qui à mal sécurisé ça connexion?
ça serais comme punir le propriétaire d'une voiture neuve qui n'as pas tous les élément de sécurité pour pouvoir prendre la route
quand tu est particulier tu ne connais pas les points technique de ce que tu achète tu souhaite en achetant un produit que ce produit soit sécurisé
donc on ne devrais pas attaquer les propriétaire de ces produit acheté mais les constructeurs qui te vende des mauvais produit ensuite on vas sortir des loi contre les particulier en leurs disant vous possédé de la merde
paradoxale
enfin bref là on fait du hors sujet le sujet étant les log et je continue a être contre la diffusion des log en public

[marou]

Même chose pour la maison : il faut suivre les données techniques pour identifier le réel utilisateur : le père, la mère, le fils, l'ami de passage, le voisin qu'on dépanne car sa connexion est en rade… Taper sur le titulaire de la ligne revient à faire une justice aveugle.

On est tous d'accord sur le fait qu'il ne faudrait pas s'en prendre au titulaire de la ligne qui n'est pas forcément l'utilisateur.

Je note que tu reconnais implicitement qu'on peut bien identifier le titulaire (personne physique ou morale) de la ligne à partir de la simple adresse IP. Donc, il s'agit bien d'une donnée à caractère personnel au sein de la loi de 1978 pour le titulaire de la ligne, et cela n'a rien de contradictoire avec le fait qu'elle ne permet pas d'identifier l'utilisateur.

[Damien Clauzel]

Je note que tu reconnais implicitement qu'on peut bien identifier le titulaire (personne physique ou morale) de la ligne à partir de la simple adresse IP

Non, même pas. Au plus c'est une information qui peut en corroborer d'autres.

[harpalos]

les situations dont je parle sont les situations domestiques, où l'IP est celle de la box d'un particulier. Si tu es dans le cas d'une entreprise, c'est différent.

Du point de vue de la technologie, non, cela ne fait pas de différence.

Si, il y a une différence techno. La box n'a pas de logs des baux et donc on ne remonte pas à l'adresse MAC du PC si tu as un LAN derrière ta box. Or, en entreprise, l'admin pourra avoir mis une traçabilité qui pour chaque requête sortante du proxy identifie le login sur le proxy, l'IP de l'usager, son adresse MAC, et le login utilisé lors de l'ouverture de session bureautique.

Mais de toute façon, je ne parlais pas de différence technologique mais de différence de situation. Il y a des situations où l'IP est anonyme (VPN, opnproxy sans log) et d'autres où l'IP identifie un père de famille.

Selon les cas, les admin sont capable de remonter au PC ou pas (via les baux), de remonter à l'usager ou pas (via les ouvertures de session, le login sur le proxy), etc.

Même chose pour la maison : il faut suivre les données techniques pour identifier le réel utilisateur : le père, la mère, le fils, l'ami de passage, le voisin qu'on dépanne car sa connexion est en rade… Taper sur le titulaire de la ligne revient à faire une justice aveugle.

Là on est d'accord.

[CaptainKiller]

Voilà ma position : http://blog.romainriviere.fr/2011/05/pu ... ie-privee/

[marou]

Damien, Numerama et Anonymous reconnaissent également que publier des adresses IP c'est grave : http://www.numerama.com/magazine/18738-anonymous-corrompu-des-centaines-d-adresses-ip-publiees.html.

Tu maintiens toujours ton raisonnement ?

[cry-stof]

je tiens à préciser que comme peux de monde sais comment ce protéger correctement rien que pour ça IP personnelle (ou pas) nominative (ou pas) etc.
on ne peux et ne doit publier des log comme ça au risque de jeter au pâture ces IP parce que justement on ne sais pas qui est derrière cet IP et ces connaissances en informatique qui lui permette ou pas de bien ce protéger

[marou]

Au fait, voici ce que risque le LOL (les mises en gras sont de mon fait) :

Le fait, par toute personne qui a recueilli, à l'occasion de leur enregistrement, de leur classement, de leur transmission ou d'une autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l'intéressé ou à l'intimité de sa vie privée, de porter, sans autorisation de l'intéressé, ces données à la connaissance d'un tiers qui n'a pas qualité pour les recevoir est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende.

La divulgation prévue à l'alinéa précédent est punie de trois ans d'emprisonnement et de 100 000 Euros d'amende lorsqu'elle a été commise par imprudence ou négligence.

Dans les cas prévus aux deux alinéas précédents, la poursuite ne peut être exercée que sur plainte de la victime, de son représentant légal ou de ses ayants droit.

Source : Article 226-22 du Code pénal.

Vous devriez vraiment mettre un avertissement à l'entrée sur le serveur qui permette de ne pas être inscrit dans les logs et publié sans consentement.

[Sims]

Le problème est pourtant simple:

Une IP est liée à un nom au niveau du FAI qui l'a fournis (l'IP).

On sais que le nom associé à l'IP n'est pas forcément la personne qui a visité la page concernée.

Je trouve déjà limite le fait de balancer en gros : Regardez, il y a untel ou untel qui est allé sur ce site" , si de plus on n'est pas certain que la personne dont on parle est effectivement la personne qui a visité le site, on se retrouve, avec un cas comme la Hadopi, avec une incrimination dénuée de preuves fiables.

Faut arrêter de se coller les mains sur les oreilles en geulant "Laaaa laaaaa je vous entend paaaaas!"

[marou]

Au fait, le Conseil administratif et politique a publié ce commmuniqué en réaction à cette affaire : http://partipirate.org/blog/com.php?id=1394

[marou]

Je dirais juste par rapport à ton article que le PP applique comme tout les sites en france obligatoirement le décret n°2011-219 du 25 février 2011 "relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne".

Ce point a été soulevé à la réunion du CAP du 12 mai et notre position a été modifiée et officialisée :

Le décret LCEN demande aux admin de conserver des informations personnelles, et la liste des données à conserver est absolument outrageuse. Le Parti Pirate, comme de nombreux organismes, considère que ce décret est abusif.

• Il a été annoncé sur le forum que, respectant la loi, le PP appliquerait ce décret. Le CAP souhaite revenir sur cette déclaration et préciser qu'en cas de demande d'application de ce décret, le PP commencera par le contester devant la juridiction compétente. Par ailleurs, quoi qu'il arrive, le Parti pirate ne prévoit pas de modifier sa politique de stockage d'informations (mots de passe et autres) suite à la publication de ce décret, et prendra au contraire des mesures pour renforcer la protection de la vie privée de ses membres.
• Nous demandons en outre à l'équipe technique s'ils peuvent renforcer l'anonymsation des mots de passe (forum, wiki...). (Ticket 48)
• Il existerait une option Firefox (« Do not track ») qui fait que, lorsque activée, Firefox demande au serveur de ne pas tracer la connexion. L'ektek et Marou vont creuser et configuer nos serveurs pour en tenir compte si possible.