Plus de six ans après le vote de la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN), l’article 6 n’avait jamais fait l’objet d’un décret d’application. C’est chose faite depuis le 25 février 2011. L’article 6 de la loi du 21 juin 2004 impose l’obligation, pour les intermédiaires techniques de l’Internet, fournisseurs d’accès et hébergeurs, de conserver les données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne. Le décret d’application du 25 février 2011 répartit entre les fournisseurs d’accès et les hébergeurs la nature des données personnelles qu’ils ont l’obligation d’enregistrer et de conserver pendant une période de douze mois. La règle est de tout enregistrer, y compris certaines données que les prestataires techniques n’enregistraient pas auparavant.
Les fournisseurs d’accès doivent conserver pour chaque connexion de leurs abonnés une liste de données personnelles (date, heure, identifiant, etc.). Les hébergeurs ont pour obligation de conserver chaque opération de création de contenu, qu’elle soit une création initiale, modification ou suppression. Chaque modification de contenu fait repartir le point de départ de la période de douze mois, ce qui semble poser un problème de volume de données à conserver. Fournisseurs d’accès et hébergeurs doivent en outre conserver une liste de données personnelles fournies lors de la souscription d’un contrat ou d’un compte par un utilisateur (identifiant, pseudonyme, mot de passe en clair, courrier électronique, etc.), et toute information relative au paiement.
Le décret d’application prévoit également des dispositions relatives aux demandes administratives des agents chargés de la lutte contre le terrorisme et le remboursement des surcoûts éventuels supportés par les prestataires techniques, dont les conditions seront déterminées par arrêté ministériel.
Le 6 avril 2011, l’Association française des services internet communautaires (Asic), regroupant vingt- six acteurs du Web, dont Microsoft, Dailymotion, Wikipédia ou encore Google, a déposé un recours en annulation devant le Conseil d’Etat. Selon son secrétaire général Benoît Tabaka : « Déjà, nous estimons que le mot de passe n’est pas une donnée d’identification. En plus, pour transmettre un mot de passe à la police, il nous faut le conserver de manière non cryptée. Ce qui pose un problème évident de protection des données personnelles puisqu’en cas de piratage, les mots de passe seront facilement récupérés. En outre, ce décret soulève le problème de la conservation des données sensibles comme le numéro de carte bancaire par exemple. Enfin, le décret affirme que nous devons transmettre les différents pseudonymes d’un internaute. Comment ? Par le biais de l’adresse IP ? De l’adresse mail ? Ce n’est pas précisé. Or, c’est une information de base que nous n’avons pas et qui nécessite un croisement des fichiers. Cela relève d’une enquête qui n’est pas de notre ressort. Ce n’est pas à nous de recouper les informations ». Le 27 avril 2011, l’association Internet sans frontières déposait également un recours en annulation devant le même Conseil d’Etat, au motif que ce décret serait « attentatoire aux libertés individuelles puisqu’il conduit à mettre tous les internautes sans la moindre exception sous surveillance permanente ». Dans une délibération du 20 décembre 2007 portant avis sur le projet de décret d’application, la CNIL avait déjà émis de nombreux doutes quant à son applicabilité.
Sources :
- « Délibération n°2007-391 du 20 décembre 2007 portant avis sur le projet de décret pris pour l’application de l’article 6 de la loi n°2004- 575 du 21 juin 2004 pour la confiance dans l’économie numérique, et relatif à la conservation des données de nature à permettre l’identification de toute personne physique ou morale ayant contribué à la création d’un contenu mis en ligne », CNIL (saisine n°07021634), http://bit.ly/hTmRYZ, 20 décembre 2007
- Décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne, http://bit.ly/g0XIZO
- « Décret d’application sur la conservation des données d’identification », Alain Bensoussan Avocats, http://www.alain-bensoussan.com/avocats/decret-dapplication-sur-la-conservation-des-donnees-didentification/2011/03/01
- « Internet sans frontières dépose aujourd’hui un recours devant le Conseil d’Etat pour l’annulation du décret publié le 1er mars 2011 sur la conservation des données », http://bit.ly/moDi4F
- « Mots de passe, achats ou commentaires sur la Toile conservés pendant un an », AFP, 2 mars 2011.
- « Données conservées un an : Google, Facebook en recours au Conseil d’Etat », http://bit.ly/giJKGl, 5 avril 2011,