25/02/2012

Depuis l’adoption de la loi pour la confiance en l’économie numérique du 21 juin 2004, se posait la question des données qui devaient être conservées par les hébergeurs et les FAI.

En effet, l’article 6 II alinéa 1 de la loi dispose que ces personnes doivent détenir et conserver « les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires ».

Cette obligation de conservation des données d’identification est essentielle dans la mesure où elle permet ensuite, et sur réquisition judiciaire, de retrouver les auteurs de mise en ligne de contenus illicites sur internet qui sont cachés sous pseudonyme, afin de pouvoir rechercher, le cas échéant, leur responsabilité civile ou pénale.

Faute d’adoption du décret d’application qui devait définir les données à conserver et déterminer la durée et les modalités de leur conservation, les juges ont dû décider du socle minimal de données qui devait être conservées : nom, prénom, domicile et numéro de téléphone (CA Paris, 12 décembre 2007 : TGI Paris, 14 novembre 2008), ainsi que l’adresse IP (TGI Paris, 19 novembre 2008 ), ou bien seulement le nom d’utilisateur, l’adresse e-mail et l’adresse IP (CA Paris, 7 janvier 2009, TGI Paris, 7 janvier 2009).

Cependant, et s’agissant de données à caractère personnel qui doivent faire l’objet d’un traitement conforme à la loi Informatique et Libertés du 6 janvier 1978, l’absence de ce décret était regrettable.

Et alors qu’on ne l’attendait plus, six ans après l’adoption de la LCEN, le décret n°2011-219 du 25 février 2011, relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne, vient de paraitre. En voici la teneur :

1 – Obligation faite aux FAI de conserver, pour chaque connexion de leurs abonnés :
a) L’identifiant de la connexion ;
b) L’identifiant attribué par le FAI à l’abonné ;
c) L’identifiant du terminal utilisé pour la connexion lorsqu’ils y ont accès ;
d) Les dates et heure de début et de fin de la connexion ;
e) Les caractéristiques de la ligne de l’abonné.

2 – Obligation faite aux hébergeurs de conserver, pour chaque opération de création :
a) L’identifiant de la connexion à l’origine de la communication ;
b) L’identifiant attribué par le système d’information au contenu, objet de l’opération ;
c) Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus ;
d) La nature de l’opération ;
e) Les date et heure de l’opération ;
f) L’identifiant utilisé par l’auteur de l’opération lorsque celui-ci l’a fourni.

Le décret précise que l’opération de « création » doit être entendue largement puisqu’elle inclut tant les créations initiales, que les modifications de contenus ou de données liées aux contenus, et jusqu’à la suppression de contenus.

3 – En outre, obligation est faite, tant les hébergeurs que les FAI, de conserver les informations fournies lors de la souscription d’un contrat par un utilisateur ou lors de la création d’un compte :
a) Au moment de la création du compte, l’identifiant de cette connexion ;
b) Les nom et prénom ou la raison sociale ;
c) Les adresses postales associées ;
d) Les pseudonymes utilisés ;
e) Les adresses de courrier électronique ou de compte associées ;
f) Les numéros de téléphone ;
g) Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour.

4- Et, lorsque la souscription du contrat ou du compte est payante, les informations suivantes relatives au paiement, pour chaque opération de paiement, doivent également être conservées par les hébergeurs et les FAI :
a) Le type de paiement utilisé ;
b) La référence du paiement ;
c) Le montant ;
d) La date et l’heure de la transaction.

Cependant, le décret précise que les hébergeurs et les FAI ne doivent conserver les données du 3° et du 4° « que dans la mesure où ils les collectent habituellement ». Pourtant, c’est uniquement dans ce cadre que sont visées les nom et prénom, les adresses postales et les adresses de courrier électronique. Faut-il en déduire, que les prestataires techniques n’ont pas d’obligation de collecter ces données, et ensuite de les fournir sur ordonnance judiciaire ? Rien n’est moins sûr, puisqu’on n’imagine mal un fournisseur d’accès internet ne pas demander les noms et coordonnées de ses clients ! En effet, le décret vise, l’acte de collecte et non l’acte de conservation (à titre habituel).

Quant à la durée de conservation des données, elle est de un an, selon le cas, à compter du jour de la création des contenus, du jour de la résiliation du contrat ou de la fermeture du compte, ou du jour de la date d’émission de la facture ou de l’opération de paiement.

En outre, ces données sont naturellement soumises aux prescriptions de la loi du 6 janvier 1978 susvisée. A ce titre, le décret prend le soin de viser expressément l’article 34 de cette loi, relatif à la sécurité des données (1).

Enfin, le chapitre 2 du décret concerne l’application d’un autre article de la LCEN, le 6 II bis relatif aux demandes administratives de communication de données qui peuvent être réalisées par des agents habilités des services de police et de gendarmerie nationales en matière de prévention d’actes de terrorisme.

(1) « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »