Ceci n’est pas une demande de conseils juridiques, et toute réponse dans ce sujet ne doit pas être considérée comme un conseil juridique.
Ceci est une demande de conseils généraux et non spécifiques.
C’est vraiment gênant de poser ça comme premier sujet ici sur Meta, mais je n’ai trouvé aucune réponse décente. J’étais en train de réfléchir à la manière de supprimer du contenu illégal de mes sauvegardes S3 si jamais j’en avais besoin, et j’ai pris la décision malheureuse(?) de “consulter” ChatGPT pour savoir s’il y avait des lois qui pourraient s’y rapporter… ce qui m’a entraîné dans ce terrier de lapin.
Contexte
L’année dernière, le Congrès américain a adopté le REPORT Act, qui impose aux fournisseurs des obligations de signaler les cas de CSAM au NCMEC (National Center for Missing and Exploited Children) CyberTipline, et de conserver ce contenu jusqu’à un an. D’après ma compréhension limitée, les “fournisseurs” incluent toute personne qui héberge un forum Discourse, puisque nous sommes un “prestataire de services de communication électronique ou un prestataire de services informatiques à distance”.
D’après ce que j’ai pu trouver, les hébergeurs de l’UE ont une obligation de déclaration, mais n’ont pas de politique de conservation comme les États-Unis, à l’exception d’une sorte de proposition (je n’ai pas lu entièrement ce PDF, mais il est au moins mentionné à la page 8).
J’ai trouvé un article qui mentionne que le Royaume-Uni a également le Online Safety (CSEA Content Reporting) Regulations 2025, qui entrera en vigueur le 3 novembre 2025. Il semble indiquer que les fournisseurs sont également tenus de conserver ces données CSAM pendant un an. Je crois avoir lu aussi que les fournisseurs britanniques sont tenus d’utiliser la détection d’empreintes d’images pour filtrer les images CSAM connues ainsi que les URL de CSAM quelque part, mais je ne trouve pas la source.
Est-ce que cela s’applique à nous, en tant que communauté Discourse ?
Probablement ? Je n’ai rien trouvé qui indique le contraire, mais corrigez-moi si je me trompe.
Pour ma part, j’ai travaillé dur à la mise en place d’un serveur Discourse auto-hébergé sur AWS pour la petite entreprise d’un membre de ma famille (tout en apprenant l’ingénierie cloud/DevOps/IaC), et la probabilité que quelqu’un publie du CSAM sur notre forum est infime.
Il est probablement plus probable que je sois frappé par la foudre deux fois par une journée ensoleillée.
Cependant, je veux avoir l’infrastructure de stockage de conservation requise et un plan prêt au cas où un individu malveillant et autodestructeur voudrait causer des problèmes - une préparation de type “casser le verre en cas d’urgence”. Je parle de la mise en place d’un compartiment de conservation dédié, de sa sécurisation avec chiffrement et/ou des rôles IAM, de la tenue de journaux d’accès, d’une procédure pour transférer en toute sécurité ces données CSAM hors de votre compartiment de téléchargements, etc.
Questions
Mes questions s’adressent principalement aux hébergeurs américains, bien qu’il semble que les hébergeurs britanniques et européens pourraient bientôt avoir besoin de ces réponses également.
- Avez-vous déjà traité du contenu CSAM dans vos communautés ?
- Quelle a été votre procédure pour le gérer ? NSFW AI Triage → rapport → stockage ? Quand avez-vous contacté un avocat pour cela (si tant est que vous l’ayez fait) ? Comment avez-vous géré les sauvegardes de bases de données et de téléchargements qui peuvent ou non avoir stocké ces données ?
- Avez-vous mis en place le stockage de conservation requis ? Si oui, comment vous êtes-vous conformé aux réglementations pertinentes ?
- Compartiment S3 dédié ? Chiffrement ? Est-il sur un compte cloud différent ?
- Utilisez-vous des logiciels de détection/blocage proactifs d’empreintes d’images dans votre infrastructure afin que ce contenu n’atterrisse pas sur vos serveurs dès le départ ? Des solutions qui ne coûtent pas une fortune ?
J’apprécierais grandement une sorte de guide ou de références généraux, NON JURIDIQUES, car toutes les informations que je trouve en ligne semblent s’adresser à quelqu’un travaillant dans une grande entreprise avec beaucoup d’argent et d’expérience, mais je suis à peu près sûr que ces lois s’appliquent à tout le monde. Même si personne ne télécharge jamais ce type de contenu illégal sur un forum Discourse dans le monde entier, je préfère être prudent que désolé.