Cet article fait suite à un précédent article intitulé "Internet : obligation de conservation des données personnelles à la charge des hébergeurs et FAI".
Aux termes d'une Délibération n°2007-391, du 20 décembre 2007, la Commission nationale de l’informatique et des libertés (ci-après dénommée la CNIL) avait donné un avis sur le projet de décret pris pour l’application de l’article 6 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, et relatif à la conservation des données de nature à permettre l’identification de toute personne physique ou morale ayant contribué à la création d’un contenu mis en ligne.
- Sur les obligations légales de conservation des données
Pour mémoire, les dispositions de l'article 6 de la LCEN prévoient deux types d'obligations :
- l’obligation pour les fournisseurs d’accès à internet et les fournisseurs d’hébergement de détenir, conserver les données de nature à permettre l’identification de toute personne physique ou morale ayant contribué à la création d’un contenu mis en ligne.
- l'obligation de mise à disposition de ces données aux agents individuellement désignés et dûment habilités des services de police et de gendarmerie nationales en charge de la lutte contre le terrorisme.
La LCEN introduit donc un principe général de rétention des données aux fins exclusives de permettre l’identification par l’autorité judiciaire des personnes ayant contribué à la création d’un contenu mis en ligne et étend cette possibilité aux services de police et de gendarmerie nationales en charge de la lutte contre le terrorisme.
Ainsi, en tant qu’opérateurs de communications électroniques, les fournisseurs d’accès à internet (ci-après dénommés les FAI) sont soumis à une double obligation de rétention des données d’une part, au titre du II de l’article 6 de la LCEN, d’autre part, au titre de l’article L. 34-1 du Code des postes et des communications électroniques.
- Sur l'absence de définition claire des catégories de personnes soumises à l’obligation de rétention des données
Malgré les obligations légales de conservation des données précitées, il n'existe aucune une définition claire des catégories de personnes soumises à l’obligation de rétention des données prévue par la LCEN et le Code des postes et des communications électroniques.
Cette situation constitue une insécurité juridique préjudiciable à la protection de la vie privée et des données à caractère personnel des internautes.
- Sur les catégories de données à conserver
A l'origine du projet de décret, une étude d’impact communiquée par le Premier ministre indiquait que les données devant être conservées « ne doivent porter que sur les personnes physiques ou morales ayant contribué à la création d’un contenu mis en ligne par un fournisseur ou un hébergeur d’accès Internet, à l’exclusion de toute information relative aux contenus eux-mêmes ».
Bien que la CNIL ait estimé essentiel que cette garantie soit reprise en l’état dans le texte du projet de décret, ce dernier est muet sur ce point.
Les données à conserver diffèrent selon qu’il s’agit des FAI ou des hébergeurs de contenus Internet.
Les FAI doivent conserver pour chaque connexion de l’abonné à l’origine de la création des contenus :
- l’identifiant de la connexion ;
- l’identifiant attribué par le FAI à l’abonné ;
- l’identifiant du terminal utilisé pour la connexion ;
- les dates et heure de début et de fin de la connexion ;
- les caractéristiques de la ligne de l’abonné.
Mais tel que l'avait relevé la CNIL, la notion « d’identifiant » utilisée est imprécise et peut varier en fonction des éléments de contexte techniques.
Ainsi, « l’identifiant attribué par le FAI à l’abonné » ne renvoi pas aux mêmes types de données selon que l’on se trouve dans le cadre d’une connexion internet par ADSL ou par WIFI gratuit et « l’identifiant du terminal utilisé pour la connexion » peut correspondre à des informations différentes en fonction de la nature du terminal utilisé (analogique ou numérique).
L'ambigüité sur la nature des identifiants concernés par l'obligation de conservation imposée aux FAI leur est dommageable compte tenu que le non-respect de cette obligation est sanctionnée pénalement d'un an d'emprisonnement et de 75 000 euros d'amende en application du 2°) du VI de l’article 6 de la LCEN.
Les fournisseurs d'hébergement doivent conserver pour chaque opération de création de contenus :
- l’identifiant de la connexion à l’origine de la communication ;
- l’identifiant attribué par le système d’information au contenu, objet de l’opération ;
- la mention du type de protocoles utilisés pour la connexion au service et pour le transfert des contenus ;
- la nature de l’opération ;
- les date et heure de l’opération ;
- l’identifiant utilisé par l’auteur de l’opération.
-Sur les modalités de conservation des données (article 3 du projet de décret)
Le décret indique que les modalités de conservation des données est soumise aux prescriptions de la loi du 6 janvier 1978 notamment les prescriptions prévues à l'article 34, relatives à la sécurité des informations et que les conditions de la conservation doivent permettre une extraction dans les meilleurs délais pour répondre à une demande des autorités judiciaires.
Cependant, la simple référence à la nécessité de respecter la loi « informatique et libertés » et de garantir une extraction rapide des données ne permet pas de satisfaire aux exigences du II de l’article 6 de la LCEN qui prévoit que les modalités de conservation des données sont définies par décret.
De plus, l’obligation imposée aux FAI et aux hébergeurs de mettre en œuvre des mesures garantissant une extraction des données « dans les meilleurs délais » est relativement obscure et donc source d'insécurité juridique pour les FAI et fournisseurs d'hébergement.
-Sur les demandes de communication de données d'identification, conservées et traitées
Afin de prévenir les actes de terrorisme, les agents individuellement désignés et dûment habilités des services de police et de gendarmerie nationales spécialement chargés de ces missions peuvent exiger des FAI et des hébergeurs la communication des données conservées et traitées par ces derniers.
Les demandes de communication de données d'identification, conservées et traitées devront
- être motivées ;
- soumises à la décision de la personnalité qualifiée ;
- comporter le nom, le prénom et la qualité du demandeur, ainsi que son service d'affectation et l'adresse de celui-ci, la nature des données dont la communication est demandée et, le cas échéant, la période intéressée, la motivation de la demande.
- Sur la prise en charge du coût pour la fourniture des données par l'Etat
Enfin, seul aspect positif de ce Décret pour les FAI et les hébergeurs, ce texte prévoit que les surcoûts identifiables et spécifiques supportés par ces derniers pour la fourniture des données pourront faire l'objet d'un remboursement par l'Etat par référence aux tarifs et selon des modalités fixés par un arrêté conjoint du ministre de l'intérieur et du ministre chargé du budget.
Je suis à votre disposition pour toute information ou action.
PS : Pour une recherche facile et rapide des articles rédigés sur ces thèmes, vous pouvez taper vos "mots clés" dans la barre de recherche du blog en haut à droite, au dessus de la photographie.
Anthony Bem
Avocat à la Cour
27 bd Malesherbes - 75008 Paris
Tel : 01 40 26 25 01
Email : abem@cabinetbem.com