Conservation des données sur internet

Conservation des données sur internet

Publié le : 14/03/2011 14 mars mars 03 2011

Quelques réflexions autour de la publication du décret n°2011-219 du 25 février 2011 relatif à la conservation des données permettant d’identifier toute personne ayant contribué à la création d’un contenu sur Internet.

Internet et conservation des données permettant d’identifier les créateurs de contenu

Petit rappel du contexte dans lequel intervient ce décret ?

La loi du 21 juin 2004 de confiance dans l’économie numérique dite « LCEN » a mis à la charge des intermédiaires techniques de l’Internet une obligation de conservation des données d’identification des créateurs de contenus en ligne. Le texte prévoyait qu’ « un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, définit les données mentionnées au premier alinéa et détermine la durée et les modalités de leur conservation. »

La finalité de la conservation de ces données est de retrouver les internautes se livrant anonymement ou sous pseudonyme à la diffusion de contenus illicites (par exemple une vidéo pirate) ou de propos injurieux ou diffamatoires (par exemple sur un blog ou un forum).

Après le vote de la LCEN, beaucoup d’acteurs ont été consultés (Fournisseurs d’accès à internet, hébergeurs, éditeurs ou diffuseurs de contenus audiovisuels, milieux associatifs, CNIL (1), ARCEP (2), etc.) et se sont exprimés sur ce qui devait être ou non conservé, avec, d’une part, les tenants d’une conservation a minima des données, pour des raisons de coûts (stocker de telles données coûte cher), de protection de la vie privée (protection des données personnelles) voire de philosophie personnelle (Internet doit être un espace de liberté, halte à Big Brother )(3) et, d’autre part, les partisans d’une conservation large, pour des raisons de sécurité, de lutte contre la cybercriminalité, de protection efficace des droits de propriété intellectuelle ou du droit à l’image, etc.

Au fil des années, les débats sur ce décret se sont perdus dans les méandres de discussions interminables et dans les dédales des cabinets ministériels.

Dans l’intervalle et l’absence de promulgation du décret, la nature des données à conserver a fluctué au gré des décisions des tribunaux (4):

Ainsi et par exemple, le juge des référés du TGI de Paris avait considéré qu’ « il y a lieu de constater qu’en détenant et conservant l’email ainsi que l’adresse IP […] qui sont de nature à permettre leur identification, la société YouTube remplit l’obligation que lui impose l’article 6-II de la LCEN (5et les juges du TGI de Paris (3ème chambre, 3ème section) avaient jugé que « dès lors que la société Google Inc a collecté les adresses IP de ses fournisseurs de contenu, elle a satisfait aux obligations de la LCEN de ce chef » (6). Leurs homologues de la deuxième section du même tribunal avaient pourtant estimé à l’inverse que « la société Youtube, à tout le moins dans l’attente du décret d’application non encore paru, devait collecter les données de nature à permettre l’identification des internautes éditeurs sur son site, telles qu’expressément et clairement définies par la loi, à savoir, leurs nom, prénoms, domicile et numéro de téléphone » (7). Enfin, la Cour d’appel de Paris considérait « qu’il n’est pas permis, en tout état de cause, de déterminer ces données en procédant par analogie avec les éléments d’identification de l’éditeur expressément énumérés à l’article 6-III » (8).

L’imprévisibilité de la réponse judiciaire conduisait bien souvent les actions dans l’impasse car dans nombre de cas on ne retrouvait jamais les internautes, et les hébergeurs peu vigilants sur la conservation des données n’étaient, en l’absence de décret, peu ou pas inquiétés.

C’est donc à la surprise générale (on l’avait presque oublié !), que ce décret est publié presque 7 ans après le vote de la LCEN.

A la surprise de la CNIL notamment, qui s’est sentie obligée, faute d’avoir été entendue par le gouvernement, de publier dans la précipitation sa délibération de 2007 jusqu’alors tenue secrète. En lisant le communiqué lapidaire de la CNIL, rédigé en langage diplomatique (9), on comprend que l’institution indépendante en charge de la protection des données personnelles s’est peut-être étranglée en lisant le décret du 25 février 2011.

Car l’avis de la CNIL n’a pas été totalement suivi, et ce sont les partisans d’une « conservation large » des données qui ont remporté la mise.


Quelles sont les données qui doivent être conservées ?

Voici les données à conserver :

1°) les informations devant être stockées par les fournisseurs d’accès pour chaque connexion de leurs abonnés
a) L’identifiant de la connexion ;
b) L’identifiant attribué par ces personnes à l’abonné ;
c) L’identifiant du terminal utilisé pour la connexion lorsqu’elles y ont accès ;
d) Les dates et heure de début et de fin de la connexion ;
e) Les caractéristiques de la ligne de l’abonné ;

2°) les informations devant être stockées par les hébergeurs pour chaque opération de création de contenus
a) L’identifiant de la connexion à l’origine de la communication ;
b) L’identifiant attribué par le système d’information au contenu, objet de l’opération ;
c) Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus;
d) La nature de l’opération ;
e) Les date et heure de l’opération ;
f) L’identifiant utilisé par l’auteur de l’opération lorsque celui-ci l’a fourni ;

3°) les informations fournies, lors de la souscription d’un contrat par un utilisateur ou lors de la création d’un compte, devant être conservées par les fournisseurs d’accès et les hébergeurs :
a) Au moment de la création du compte, l’identifiant de cette connexion ;
b) Les nom et prénom ou la raison sociale ;
c) Les adresses postales associées ;
d) Les pseudonymes utilisés ;
e) Les adresses de courrier électronique ou de compte associées ;
f) Les numéros de téléphone ;
g) Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour ;

4°) les informations relatives au paiement, pour chaque opération de paiement lorsque la souscription du contrat ou du compte est payante, devant être conservées par les fournisseurs d’accès et les hébergeurs
a) Le type de paiement utilisé ;
b) La référence du paiement ;
c) Le montant ;
d) La date et l’heure de la transaction.
Toutefois, les données mentionnées aux 3° et 4° ne doivent être conservées que « si les personnes visées les collectent habituellement ».



Combien de temps conserver ces données et selon quelles modalités ?

La durée de conservation des données mentionnées à l’article 1er est de un an.

Cette durée commence à courir :
- concernant les données mentionnées aux 1° et 2°: à partir du jour de la création des contenus, pour chaque opération contribuant à la création d’un contenu
- concernant les données mentionnées au 3° : à partir du jour de la résiliation du contrat ou de la fermeture du compte ;
- concernant les données mentionnées au 4° : à partir de la date d’émission de la facture ou de l’opération de paiement, pour chaque facture ou opération de paiement.


Que peut-on penser de ce décret, s’agissant des objectifs fixés par la loi LCEN de 2004 ?

Il faut saluer le fait que le décret vienne enfin apporter des éléments de réponse sur le type de données que les prestataires de l’internet doivent conserver. Sur ce point, le décret va mettre un terme aux contradictions des décisions judiciaires et permettre une meilleure efficacité des actions ou recherches en levée d’anonymat.

Le fait que la conservation des données soit soumise aux prescriptions de la loi du 6 janvier 1978 informatique et liberté, et notamment les prescriptions prévues à l'article 34, relatives à la sécurité des informations (10),est également de nature de donner des garanties quant aux risques liés à la collecte de données personnelles.

Ceci étant, il n’est pas certain que tout soit résolu puisque les informations demandées sont, pour certaines, ambigües, comme l’avait d’ailleurs déjà relevé la CNIL en 2007 : « La notion « d’identifiant » utilisée est imprécise. Dans chacun des cas envisagés par le projet de décret la nature des données qui seront associées à ce terme peut varier en fonction des éléments de contexte techniques. Ainsi, « l’identifiant attribué par le FAI à l’abonné » ne renverra pas aux mêmes types de données selon que l’on se trouve dans le cadre d’une connexion internet par ADSL ou par WIFI gratuit. De même, « l’identifiant du terminal utilisé pour la connexion » peut correspondre à des informations différentes en fonction de la nature du terminal utilisé (analogique ou numérique). Il en résulte que la transposition à divers scénarios des notions d’identifiant employées risque de générer des ambiguïtés ou des redondances avec d’autres termes utilisés par les fournisseurs d’accès à internet. » (11)

On peut enfin s’interroger sur la pertinence de la conversation de certaines données, au regard de la finalité de la loi LCEN, qui est seulement d’identifier des internautes contributeurs ou créateurs de contenus : ainsi par exemple, pour les hébergeurs, de la collecte d’informations relatives au paiement ou de leurs mots de passe.



Index:

(1) Délibération CNIL n°2007-391 du 20 décembre 2007
http://www.cnil.fr/la-cnil/actu-cnil/article/article/la-cnil-publie-son-avis-sur-le-decret-relatif-a-la-conservation-dinformations-par-les-hebergeurs/
(2) Avis ARCEP 2008-0227 du 13 mars 2008
http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=?cidTexte=JORFTEXT000023646852&dateTexte=&oldAction=rechJO&categorieLien=id
(3) http://www.rennes-info.org/Internet-Le-decret-Big-Brother
(4) voir à ce sujet : « L’atteinte à la réputation d’une personne physique ou morale sur internet », François HERPE, « Lamy Droit de l’Immatériel » (Editions Wolters Kluwers, février 2010)
(5) TGI Paris, ord. réf., 5 mars 2009, Roland Magdane et autres c/ YouTube, « Il convient d’observer qu’il n’est pas à ce jour exigé que l’hébergeur fournisse les nom et adresses de l’éditeur. Par ailleurs, l’adresse IP est une donnée à caractère personnel qui permet d’identifier une personne en indiquant sans aucun doute possible un ordinateur précis et qui établit la correspondance entre l’identifiant attribué lors de la connexion et l’identité de l’abonné ». http://www.legalis.net/breves-article.php3?id_article=2589
(6) TGI Paris, 3ème ch., 3ème section, 24 juin 2009, J-Y Lafesse et autres c/ Google et autres http://www.legalis.net/breves-article.php3?id_article=2682 «Le tribunal considère que l’adresse IP est une donnée personnelle puisqu’elle correspond à un numéro fourni par un fournisseur d’accès à internet identifiant un ordinateur connecté au réseau ; elle permet d’identifier rapidement à partir de services en ligne gratuits le fournisseur d’accès du responsable du contenu qui délient obligatoirement les données nominatives du responsable du contenu, c’est-à-dire son adresse et ses coordonnées bancaires ».
(7) TGI Paris, 3ème ch., 2ème section, 14 novembre 2008, J-Y Lafesse et autres c/ Youtube et autres http://www.legalis.net/jurisprudence-decision.php3?id_article=2484
(8) CA Paris, 4ème ch., 6 mai 2009, Dailymotion / Nord Ouest Productions et autres http://www.legalis.net/breves-article.php3?id_article=2634
(9) « Le décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne a été publié hier au Journal Officiel sans l'avis de la CNIL rendu le 20 décembre 2007. ( …) Notre Commission a décidé de publier cet avis sur son site. » (source : CNIL.fr)
(10) Article 34 - Loi dite « informatique et liberté » 6 janvier 1978 : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès »
(11) Délibération CNIL n°2007-391 du 20 décembre 2007
http://www.cnil.fr/la-cnil/actu-cnil/article/article/la-cnil-publie-son-avis-sur-le-decret-relatif-a-la-conservation-dinformations-par-les-hebergeurs/





Cet article n'engage que son auteur.

Crédit photo : © Andrzej Puchta - Fotolia.com

Auteur

HERPE François
Avocat Associé
CORNET, VINCENT, SEGUREL PARIS, Membres du Bureau, Membres du conseil d'administration
PARIS (75)
Voir l'auteur Contacter l'auteur Tous les articles de l'auteur Site de l'auteur

Historique

<< < 1 > >>
Navigateur non pris en charge

Le navigateur Internet Explorer que vous utilisez actuellement ne permet pas d'afficher ce site web correctement.

Nous vous conseillons de télécharger et d'utiliser un navigateur plus récent et sûr tel que Google Chrome, Microsoft Edge, Mozilla Firefox, ou Safari (pour Mac) par exemple.
OK