Décret du 25 fevrier 2011: la liste des données à conserver par les FAI et les hébergeurs est connue
Publié le 19/06/2011 par Yves KOUAHOU
CONSERVATION DES DONNEES : LES PRECISIONS DU DECRET N° 2011-219 DU 25 FEVRIER 2011 RELATIF « A LA CONSERVATION ET A LA COMMUNICATION DES DONNEES PERMETTANT D’IDENTIFIER TOUTE PERSONNE AYANT CONTRIBUE A LA CREATION D’UN CONTENU MIS EN LIGNE »
L’informatique doit être au service de chaque citoyen et ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles. C’est une formulation déclaratoire et un peu maladroite de l’article 1er de la loi modifiée du n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés qui traduisait, il ya quelques années encore, la volonté du législateur d’assurer un large champ de protection de la vie privée lors de l’utilisation d’un procédé informatique.
Avec le développement des réseaux numériques fixes comme mobiles et la traçabilité des individus renforcée par la portabilité croissante de l’informatique, la vie privée a évolué vers les données personnelles, devenant un enjeu de société dans un contexte marqué par l’explosion de l’économie numérique. Aujourd’hui, la vie privée et les données personnelles apparaissent clairement interdépendants dans la mesure où les individus laissent, volontairement ou non, sur les réseaux numériques de nombreuses informations objectives et subjectives qui permettent de les identifier, de les relier à certaines caractéristiques individuelles et de renseigner sur leurs habitudes, sur leur mode de vie, bref, sur tout ce qui peut toucher jusqu’à leur vie privée. Il s’en est suivi alors un vaste mouvement visant à encadrer les données personnelles et à les protéger contre les utilisations illicites.
Cependant, depuis le 11 septembre 2011 et les attentats de New York, les discours politiques sécuritaires tendent à mettre en place un cadre général permettant de conserver ces données en vue de rechercher ou prévenir les éventuelles atteintes criminelles grâce aux procédés informatiques.
C’est dans ce contexte que la loi n° 2004-575 du 21 juin 2004 soumettait en son article 6-II les fournisseurs d’accès et les hébergeurs, principaux prestataires techniques intervenant dans l’accès à internet, à une obligation de conserver les données de connexion de leurs abonnés, tout en laissant à un décret à venir, le soin de préciser la nature des données à conserver.
C’est désormais chose faite depuis le décret n° 2011-219 du 25 février 2011 relatif « à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne » qui énumère une liste de données à conserver par les fournisseurs d’accès pour chaque connexion (article 1-1 du décret), et par les fournisseurs d’hébergement pour chaque opération de création de contenu (article 1-2 du décret).
Ainsi, le fournisseur d’accès doit conserver pour chaque connexion de ses abonnés :
a) L’identifiant de la connexion ;
b) L’identifiant attribué par ces personnes à l’abonné ;
c) L’identifiant du terminal utilisé pour la connexion lorsqu’elles y ont accès ;
d) Les dates et heure de début et de fin de la connexion ;
e) Les caractéristiques de la ligne de l’abonné ;
En ce qui concerne le fournisseur d’hébergement, il doit conserver pour chaque opération de création :
a) L’identifiant de la connexion à l’origine de la communication ;
b) L’identifiant attribué par le système d’information au contenu, objet de l’opération ;
c) Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus ;
d) La nature de l’opération ;
e) Les date et heure de l’opération ;
f) L’identifiant utilisé par l’auteur de l’opération lorsque celui-ci l’a fourni ;
Ensuite, ces prestataires techniques doivent conserver les informations fournis lors de la souscription d’un contrat par un utilisateur ou lors de la création d’un compte, dans la mesure où ils les collectent habituellement. Ces données sont :
a) Au moment de la création du compte, l’identifiant de cette connexion ;
b) Les nom et prénom ou la raison sociale ;
c) Les adresses postales associées ;
d) Les pseudonymes utilisés ;
e) Les adresses de courrier électronique ou de compte associées ;
f) Les numéros de téléphone ;
g) Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour ;
Lorsque la souscription du contrat ou du compte est payante, les informations relatives au paiement et pour chaque opération de paiement comme :
a) Le type de paiement utilisé ;
b) La référence du paiement ;
c) Le montant ;
d) La date et l’heure de la transaction.
Le décret précise la notion de « création de contenu » qui comprend les opérations portant sur toute création initiale de contenu, toute modification de contenu et de données liées aux contenus ou toute suppression de contenus.
Les données doivent être conservées dans des conditions permettant une extraction dans les meilleures délais pour répondre à une demande en cas de réquisitions judiciaires, ou de demandes administratives, et les opérateurs sont tenus de les transmettre « sans délai […] à l’auteur de la demande »
Plus que la nature ou la signification première des données à conserver(on peut s’interroger notamment si la durée de conservation court à partir de la première création de contenus ou bien à compter de chaque modification), la question est de savoir si cette obligation concerne exclusivement les prestataires techniques professionnels ou englobe aussi les personnes définies à l’article L34-1-I du code des postes et des communications électroniques qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit.
Si tel est le cas, toute personne qui fournit une connexion permettant une communication en ligne doit conserver les données figurant dans la liste du décret. Ce qui pourrait concerner une large palette de prestataires comme les propriétaires de cybercafés qui offrent un service payant, les hôtels, les compagnies aériennes et même les fournisseurs d’accès à des réseaux de communications accessibles par wifi.
On peut alors légitimement douter de l’efficacité de cette obligation de conservation dans la mesure où il ne sera pas facile pour le propriétaire de cybercafé de collecter les données des abonnés qui utilisent son service. Dans la pratique, il ne possède pas de moyens techniques nécessaires pour recueillir de telles données et même s’il utilise un registre papier pour inscrire les données des abonnés, il lui est difficile de noter toutes les données énumérées par le décret, surtout pendant les périodes de grandes affluences. Il devient ainsi le seul responsable si une atteinte est commise par l’intermédiaire du service qu’il offre et s’il n’a pas pris soin, au préalable, de conserver les données de son abonné.
De plus, depuis un arrêt C.A Paris, 14e ch., 4 févr. 2005, Ste BNP Paribas c/ Sté World Press on line, qui a étendue l’obligation de conservation des données aux entreprises qui offrent un accès internet à leurs salariés (en contradiction avec une délibération de la CNIL portant avis sur le projet de loi relatif à la lutte contre le terrorisme qui avait considéré que les entreprises ou administrations n’étaient pas concernée par la conservation des données – délibération n° 2005-208, 10 octobre 2005 portant avis sur le projet de loi relatif à la lutte contre le terrorisme), toutes les entreprises se trouvent dans la même situation et doivent conserver l’ensemble des données de leur salariés sous peine de voir leur responsabilité engagée. On imagine aisément les nombreuses conséquences pour les entreprises qui sont obligées de mettre en place une véritable politique de conservation pour ne pas risquer de tomber sous le coup de la loi.
Une sorte de compensation reste possible puisque le décret prévoit le remboursement des surcoûts supportés pour la fourniture de ces données si ceux-ci sont identifiables et spécifiques (article 10 du décret).
Note :
– Décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne.
http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000023646013&categorieLien=id