serveurs informatiques

Publication du décret sur la conservation des données

Longtemps attendu, le décret d’application des articles 6-II et 6-II bis de la loi pour la « Confiance dans l’Economie Numérique » (LCEN) (Loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique) est enfin paru au Journal Officiel le 1er mars 2011 (Décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne JORF n°0050 du 1 mars 2011 page 3643).

Pour mémoire, l’article 6-II de la LCEN a introduit un principe général de rétention des données aux fins exclusives de permettre l’identification par l’autorité judiciaire des personnes ayant contribué à la création d’un contenu mis en ligne.

Le II bis a étendu cette possibilité aux services de police et de gendarmerie nationale en charge de la lutte contre le terrorisme. Cette obligation de conservation des données d’identification se justifie dans la mesure où elle contribue à retrouver les auteurs, camouflés derrière leur pseudonyme, de contenus illicites mis en ligne sur Internet. Ainsi en vertu de ladite loi les prestataires de l’Internet sont tenus de conserver les données d’identification des créateurs de contenus en ligne.

Cependant, dans l’attente de la publication du décret d’application de la LCEN, aucune disposition ne prévoyait comment les conserver. Ils étaient ainsi contraints de faire preuve de pragmatisme et tenter de conserver les données qu’ils estimaient pertinentes. A ce titre, les juges étaient plus ou moins strictes au regard de la nature des informations à conserver. Cette attitude avait pour conséquence une interprétation disparate de la loi par les juges des référés et juges du fond.

Une liste exhaustive des données à conserver

Désormais le cadre est clair, le décret énumère de manière précise, dans son premier article, les informations qui doivent être détenues pendant un an (article 3) par les fournisseurs d’accès Internet pour chaque connexion de leurs abonnés, ainsi que par les hébergeurs pour chaque opération de création de contenus.

Ces données diffèrent selon la nature du prestataire. Ainsi à titre d’exemple, le texte prévoit la conservation de « l’identifiant de la connexion, les dates et heures de début et de fin de connexion » par le fournisseur d’accès, ou encore les « types de protocoles utilisés pour la connexion au service et pour le transfert des contenus, la nature de l’opération » par le prestataire d’hébergement.

Les fournisseurs d’accès Internet et les hébergeurs sont également tenus de conserver certaines données lors de la souscription d’un contrat par un utilisateur ou lors de la création d’un compte. Les informations visées sont celles que les professionnels collectent habituellement.

Ils doivent ainsi sauvegarder « les informations fournies lors de la souscription d’un contrat par un utilisateur ou lors de la création d’un compte », telles que « les nom et prénom ou la raison sociale, les adresses postales associées, les pseudonymes utilisés, les adresses de courrier électronique ou de compte associées, les numéros de téléphone, le mot de passe ainsi que les données permettant de le vérifier ou de le modifier dans leur dernière version mise à jour ».

Cependant, lorsque ces opérations sont réalisées à titre onéreux, les informations relatives au paiement doivent être conservées.
En effet, « lorsque la souscription du contrat ou du compte est payante », les hébergeurs et fournisseurs d’accès Internet doivent également stocker le moyen de paiement, sa référence, son montant ainsi que « la date et l’heure de la transaction ».

A ce titre, saisie pour avis (Délibération n°2007-391 du 20 décembre 2007 portant avis sur le projet de décret pris pour l’application de l’article 6 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, et relatif à la conservation des données de nature à permettre l’identification de toute personne physique ou morale ayant contribué à la création d’un contenu mis en ligne) sur le projet de décret par le ministère de la Justice en 2007, la Commission nationale informatique et libertés (CNIL) avait émis des réserves quant à la pertinence de la conservation du montant des transactions au regard de l’objet du II de l’article 6 de la LCEN dans la mesure où cette donnée ne permet pas, a priori, de procéder à l’identification d’une personne ayant contribué à la création de contenus.

Une définition large de la notion « création de contenu »

Par ailleurs, dans son second article le décret définit la notion de création de contenu et prévoit que doivent être compris les opérations de « création initiale de contenu », de « modifications des contenus et des données liées aux contenus » et de « suppression de contenu ».

Ainsi, il convient de signaler que l’Autorité de Régulation des Communications Electroniques et des Postes, dans son avis rendu en 2008 (Avis n° 2008-0227 en date du 13 mars 2008 sur le projet de décret relatif à la conservation des données de nature à permettre l’identification de toute personne physique ou morale ayant contribué à la création d’un contenu mis en ligne et sur le projet de décret portant modification du code de procédure pénale et relatif à la tarification des réquisitions aux opérateurs et autres prestataires de communications électroniques) portant sur le projet de décret, avait notamment relevé qu’eu égard à la large définition de la notion de « création de contenu », il appartiendrait aux prestataires de l’Internet de « conserver une quantité exponentiellement croissante de données, ce qui risque de rendre les dispositions de ce projet de décret difficilement applicables tant pour des raisons techniques que financières ».

Enfin, le décret prévoit un chapitre 2 relatif à l’application de l’article 6 II bis de la loi LCEN. Ce dernier concerne les demandes administratives de communication de données qui peuvent être réalisées par des agents habilités des services de police et de gendarmerie nationales en matière de prévention d’actes de terrorisme.

En conclusion, le nouveau décret met fin, du moins on l’espère, à l’interprétation plus ou moins large de l’article 6 de la LCEN qu’en faisaient les tribunaux. En outre, bien que les prestataires de l’Internet sont déjà soumis à cette obligation de rétention des données, notamment les FAI en vertu de l’article L. 34-1 du Code des Postes et des communications électroniques en tant qu’opérateurs de communications électroniques, ce texte semble avoir des conséquences en terme de responsabilités. En effet, les prestataires de l’Internet pourraient se voir opposer une obligation quant à la véracité des données.

——————————————————————————————-

Article écrit par Claire Corona

Claire est juriste au sein du service juridique du Mailclub Titulaire du CEIPI Marques et Dessins et Modèles ainsi que d’un Master 2 Droit de la Propriété Intellectuelle et des Nouvelles Technologies. Claire est à votre disposition pour toute problématique liée à vos marques sur Internet au +33 4 88 66 22 08 ou par e-mail à c.corona@mailclub.fr.

– Les détails de la gamme Récupération du Mailclub, cliquez ici
– Les détails de la gamme Surveillance du Mailclub, cliquez ici