Privacy: la data retention l’oltralpe registra le password!

Occupandoci di Privacy e protezione dei dati personali per conto di grandi aziende multinazionali, abbiamo l’occasione e il privilegio di studiare e comparare le norme internazionali che regolano questa delicata materia.

Recentemente, ci siamo imbattuti in qualcosa di nuovo e inatteso.

In Francia, in conseguenza e per effetto dell’attuazione della direttiva europea sulla “data retention” (Directive 2006/24/EC), è stato introdotto l’obbligo per gli ISP di registrare (e mettere a disposizione degli organi inquirenti e di polizia), oltre ai normali dati di collegamento , anche le password inserite da ogni utente per i singoli servizi utilizzati. Il tutto risale al 25 febbraio 2011: Décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne

Questo fatto è di particolare gravità perchè va ben oltre ai limiti imposti dalla direttiva stessa e dalle costituzioni delle nazioni europee.

In pratica, consente ai soggetti abilitati di conoscere un dato chiave, capace di svelare qualsiasi altra informazione e, di riflesso, minare l’intero impianto di protezione dei dati personali che la direttiva in oggetto, e le altre direttive in materia, delineano.

Il decreto francese è disponibile a questo indirizzo: CLICCA QUI

Ecco il testo in questione:

Les données mentionnées au II de l’article 6 de la loi du 21 juin 2004 susvisée, que les personnes sont tenues de conserver en vertu de cette disposition, sont les suivantes :
1° Pour les personnes mentionnées au 1 du I du même article et pour chaque connexion de leurs abonnés :
a) L’identifiant de la connexion ;
b) L’identifiant attribué par ces personnes à l’abonné ;
c) L’identifiant du terminal utilisé pour la connexion lorsqu’elles y ont accès ;
d) Les dates et heure de début et de fin de la connexion ;
e) Les caractéristiques de la ligne de l’abonné ;
2° Pour les personnes mentionnées au 2 du I du même article et pour chaque opération de création :
a) L’identifiant de la connexion à l’origine de la communication ;
b) L’identifiant attribué par le système d’information au contenu, objet de l’opération ;
c) Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus ;
d) La nature de l’opération ;
e) Les date et heure de l’opération ;
f) L’identifiant utilisé par l’auteur de l’opération lorsque celui-ci l’a fourni ;
3° Pour les personnes mentionnées aux 1 et 2 du I du même article, les informations fournies lors de la souscription d’un contrat par un utilisateur ou lors de la création d’un compte :
a) Au moment de la création du compte, l’identifiant de cette connexion ;
b) Les nom et prénom ou la raison sociale ;
c) Les adresses postales associées ;
d) Les pseudonymes utilisés ;
e) Les adresses de courrier électronique ou de compte associées ;
f) Les numéros de téléphone ;
g) Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour ;
4° Pour les personnes mentionnées aux 1 et 2 du I du même article, lorsque la souscription du contrat ou du compte est payante, les informations suivantes relatives au paiement, pour chaque opération de paiement :
a) Le type de paiement utilisé ;
b) La référence du paiement ;
c) Le montant ;
d) La date et l’heure de la transaction.
Les données mentionnées aux 3° et 4° ne doivent être conservées que dans la mesure où les personnes les collectent habituellement.