Le décret n°2011-219 pris en application de la loi relative à la confiance dans l’économie numérique a été publié au Journal Officiel du 1er mars 2011. Il définit l’ensemble des données d’identification devant être conservés par les fournisseurs d’accès internet et les hébergeurs. La Commission nationale informatique et liberté a souligné les ambiguïtés de ce texte au regard de l’impératif de sauvegarde de la vie privée.
Plus de six ans après l’adoption de la loi relative à la confiance dans l’économie numérique qui prévoit une obligation de conservation des données d’identification des créateurs de contenus en ligne, le décret d’application de l’article 6-II de cette loi est paru au Journal Officiel du 1er mars 2011 (Décret n° 2011-219 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne).
Il clarifie le type de données que les prestataires d’internet doivent détenir. En effet, l’article 6 II alinéa 1 de la loi dispose que ces personnes doivent détenir et conserver « les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires » Le texte commence par énumérer les informations que les fournisseurs d’accès doivent stocker pour chaque connexion de leurs abonnés. Il prévoit ensuite celles que les hébergeurs doivent conserver pour chaque opération de création de contenus. Les FAI et les hébergeurs sont par ailleurs tenus de détenir un certain nombre d’informations fournies lors de la souscription d’un contrat par un utilisateur ou lors de la création d’un compte. Cette obligation ne concerne que les informations que ces professionnels collectent habituellement. Et quand ces opérations sont effectuées à titre onéreux, les données liées au paiement doivent être également conservées.
Cette obligation de conservation des données d’identification est essentielle dans la mesure où elle permet ensuite, et sur réquisition judiciaire, de retrouver les auteurs de mise en ligne de contenus illicites sur internet qui sont cachés sous pseudonyme, afin de pouvoir rechercher, le cas échéant, leur responsabilité civile ou pénale.
Le décret précise que l’opération de « création » doit être entendue largement puisqu’elle inclut tant les créations initiales, que les modifications de contenus ou de données liées aux contenus, et jusqu’à la suppression de contenus.
Quant à la durée de conservation des données, elle est de un an, selon le cas, à compter du jour de la création des contenus, du jour de la résiliation du contrat ou de la fermeture du compte, ou du jour de la date d’émission de la facture ou de l’opération de paiement.
La Commission nationale informatique et liberté a, dans son avis rendu public, en garde les autorités sur le fait que « seuls des employés individuellement désignés des services en charge de ces demandes [judiciaires ou administratives] chez les FAI ou hébergeurs » devaient avoir accès aux données personnelles des internautes. Concernant la nature des données demandées, la Commission notait encore l’ambiguïté du terme « identifiant ». L’appellation « ne renverra pas aux mêmes types de données selon que l’on se trouve dans le cadre d’une connexion à Internet par ADSL ou par Wi-Fi gratuit ». En revanche, la Cnil ne faisait aucun commentaire sur la conservation « du mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour ».
Sources :
www.legalis.net
www.info-strateges.fr
