Madame, Monsieur,

Nous souhaitons utiliser les outils d'internet et de messageries électroniques de manière à garantir le respect de notre vie privée. Nous avons donc créé un serveur de mail permettant à des utilisateurs d'avoir une adresse de courrier électronique. Nous aimerions avoir des renseignements quant aux contraintes législatives qui s'appliquent à notre projet.

Le projet “serveur libre”

- Nous offrirons de manière gratuite à un millier (1000) d'utilisateurs la possibilité de créer des adresses mails de type login@serveurlibre.net - Nous demandrons à tous les utilisateurs de chiffrer (par exemple par GPG), sur leur propre ordinateur, les mails qu'ils envoient. - Nous demandrons à tous les utilisateurs d'utiliser le réseau TOR (the onion router), réseau permettant la perte de l'adresse IPs de l'expéditeur. Voir http://www.torproject.org/index.html.fr - Lors du passage de chaque mails via notre serveur, nous chiffrerons chaque mail non chiffré à l'aide de GPG. Ainsi, en cas de vol ou saisie du serveur.

Les questions

Quelles informations conserver concernant les mails reçus ?

- quelle est la durée de conservation de l'information relative au mail (un an?) - quelle information conservée ? Le contenu du mail ? l'adresse IP associé au mail ? les en-têtes ? - doit-on loguer les IP des personnes qui envoient un mail (smtp)? - doit-on loguer les IP des personnes qui consultent leurs mails par webmail (imap/pop)?

Quelles informations conserver concernant les connexions au serveur pour la consultation de pages web :

- pour un site web en lecture, doit-on loguer les personnes qui lisent une page? - doit-on loguer les IP des personnes qui modifient un wiki (http(s))? - quelle information conservée ? action effectuee ? - pour un site web en lecture, doit-on loguer les IPs des personnes qui lisent la page?

Lieu d'hébergement du serveur ?

- si le serveur est physiquement stocké dans un autre pays, est-il soumis à la loi française sachant que les administrateurs du serveur sont français ? Y a-t-il une différence si le serveur est stocké dans des pays européens (resp. ailleurs) ?

Détention de données personnelles

- dans la mesure où nous mettrons en place un serveur mail, sommes nous considérés comme un fournisseur d'hébergement ? si oui, sommes nous obligés de déclarer le serveur ou les fichiers à la CNIL, même si nous ne sommes pas constitués en association loi 1901.

Service de chiffrement

- Si les mails entrant ne sont pas chiffrés, nous envisageons de les chiffrer à l'entrée du serveur (pour le protéger) (seuls les destinataires pourront donc les lire), sommes nous considérés comme réalisant une “prestation de cryptologie [consistant en] toute opération visant à la mise en oeuvre, pour le compte d'autrui, de moyens de cryptologie” (cf Loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, NOR: ECOX0200175L; TITRE III : DE LA SÉCURITÉ DANS L'ÉCONOMIE NUMÉRIQUE, Chapitre Ier : Moyens et prestations de cryptologie)

que veut dire “prestation de service” : cela nous concerne-t-il ?