La loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN), vient de publier le décret n° 2011-219 du 25 février 2011, visant à déterminer le type de données à conserver par les hébergeurs ainsi que la durée de conservation.
Ces données sont associées à une opération de création, de modification et de suppression de contenus en ligne par l’internaute sur le site de l’hébergeur.
Pour rappel, un hébergeur met à la disposition des internautes un espace de stockage de médias géré par les internautes eux-mêmes. Les contenus hébergés peuvent être des images, des écrits, du son et des vidéos.
Sa responsabilité n’est engagée que s’il n’a pas agi rapidement, dès la prise de connaissance du contenu à caractère illicite qu’il héberge. L’hébergeur n’est donc pas tenu à une obligation de surveillance mais en revanche, il doit procéder au retrait du contenu jugé illégal dès sa notification.
Afin de faciliter les enquêtes judiciaires et “permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne”, le nouveau décret mis en place impose à n’importe quel hébergeur de sauvegarder : l’identifiant de la connexion, l’identifiant du contenu, les types de protocoles utilisés pour la connexion et le transfert de médias, la nature de l’opération, les dates et heures de l’opération, l’identifiant de l’auteur de l’opération. Ceci pour chaque opération avec une durée de conservation de 1 an à compter du jour de la création des contenus.
En complément pour les hébergeurs dits sensibles tels que Youtube, Dailymotion, etc., des informations concernant l’auteur devront être également conservées. Cela induit : l’identifiant de la connexion, les noms et prénoms ou la raison sociale, les adresses postales, les pseudonymes, les adresses de courrier électronique, les numéros de téléphone, le mot de passe. Ceci également pour une durée de 1 an après la suppression ou la fermeture du compte.
Dans le cas d’hébergeurs payants, ceux-ci doivent conserver le type de paiement utilisé, la référence du paiement, le montant payé, et les dates et heures de la transaction. Ceci pour 1 an aussi mais à compter de la date d’émission de la facture ou du paiement et ce pour chaque facture ou opération de paiement.
Par ailleurs, la conservation de ces données est soumise aux prescriptions de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
Sources :
http://www.journaldunet.com/ebusiness/le-net/lcen-0311.shtml
http://www.easydroit.fr/Internet/Responsabilites/L-hebergeur.htm
http://www.numerama.com/magazine/18191-la-lcen-a-enfin-son-decret-sur-les-donnees-a-conserver-par-les-hebergeurs.html
http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=?cidTexte=JORFTEXT000023646013&dateTexte=&oldAction=rechJO&categorieLien=id
La Commission nationale informatique et libertés, la CNIL, qui défend le respect de la vie privée sur la Toile, a indiqué avoir rendu, dès 2007, un avis sur le sujet, mais celui-ci n’est pas public.
Oui en effet, mais depuis hier cet avis de la CNIL tenu secret est publié :
http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/252/
L’ARCEP (autorité de régulation des communications électroniques et des postes) émet également un avis critique sur ce décret et notamment sur la conservation des mots de passe.
Dans son communiqué de 2008 adressé au gouvernement, l’ARCEP mentionnait que “seules les données ayant un lien direct avec cet objet doivent pouvoir donner lieu à une conservation”.
http://www.numerama.com/magazine/18192-les-mots-de-passe-pourront-etre-connus-des-services-anti-terroristes.html
Les acteurs du web français, réunis au sein de l’Association des Services Internet Communautaires : l’ASIC, annonce leur volonté de déposer un recours suite à ce décret. Estimant que les dispositions sont problématiques, l’ASIC souhaite en obtenir l’annulation. L’ASIC compte parmi ses membres : OL, Dailymotion, Google, PriceMinister et Yahoo, Exalead, Skyrock, Microsoft, Wikimedia France, MySpace, Wikio, eBay, Facebook, Allociné, Spotify, Skype ou encore Deezer.