La modestie affichée du titre ci-dessus montre à quel point la question de la conservation des données des internautes par les hébergeurs ou les fournisseurs d’accès à Internet (FAI) est difficile à cerner.
Le décret du 25 février 2011 aurait du venir éclairer ce sujet il n’a fait qu’y jeter un peu plus d’ombre.
Le titre de ce texte était pourtant des plus explicite voire didactique « décret relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne » mais sa rédaction confuse et l’absence de réflexion globale sur le sujet ont conduit à augmenter un peu plus l’insécurité juridique pour les intermédiaires techniques sur le réseau.
D’abord la chronologie de gestation de ce texte est assez déconcertante puisque ce décret est venu répondre à l’article 6 – II de la loi dans la Confiance dans l’Economie Numérique (LCEN) en vigueur depuis le 21 juin … 2004.
Il a fallu donc presque 6 ans pour que le texte règlementaire vienne enfin compléter la loi.
Entre temps la CNIL a été consultée, l’institution a rendu son avis le 20 décembre 2007 émettant quelques réserves. Avis partiellement suivi par le gouvernement.
En 2008, l’ARCEP également consulté, a émis un avis assez négatif sur le projet de texte. Avis totalement ignoré par le gouvernement.
En avril 2011, l’ASIC (Association des Services Internet Communautaires qui réunit des sites tels que Google, Yahoo, Facebook ou eBay) a déposé un recours en annulation devant le conseil d’Etat.
L’article 6 II de la LCEN dispose que les hébergeurs et les fournisseurs d’accès à Internet détiennent et conservent les données de nature à permettre l’identification de quiconque a contribué à la création d’un contenu sur Internet (texte, photo …).
L’autorité judiciaire peut ainsi requérir la communication de ces données soit à la demande d’un tiers (via une action en référé ou une ordonnance sur requête), soit dans le cadre d’une enquête judiciaire menée par les services de la police ou de la gendarmerie.
De façon concrète un tiers qui constate un contenu prétendument illicite sur un site Internet peut demander au juge d’ordonner à l’hébergeur du site ou au fournisseur d’accès d’identifier la personne ayant mis en ligne ledit contenu.
Avant la publication de ce décret, la jurisprudence n’a pas réussi à prendre une position uniforme à la fois sur la question du principe de l’obligation de conserver les données mais également sur le type de données devant être collectées ou sur l’obligation de vérification des données à la charge des prestataires techniques.
Si le décret de 2011 a permis de clarifier certains points soulevés par la jurisprudence, de nombreuses dispositions du texte pourront être l’objet de nouvelle interprétation. Le travail des juges sur cette question est loin d’être terminé.
Schématiquement le décret fait une distinction entre trois catégories de données :
– celles conservées par les FAI lors de toute connexion à Internet des abonnés,
– celles conservées par les hébergeurs lors de la création d’un contenu par un Internaute,
– celles être conservées par les FAI et les hébergeurs lors de la création d’un compte (souscription d’un contrat d’abonnement à Internet ou ouverture d’un compte sur un site).
Concernant la première catégorie, les données concernées sont : l’identifiant de la connexion, l’identifiant attribué par le FAI à l’abonné, l’identifiant du terminal informatique si le FAI y à accès, les dates et heures de connexion, les caractéristiques de la ligne.
La CNIL avait relevé à juste titre que la notion même d’identifiant n’était pas précise et qu’elle pouvait recouvrir des informations très différentes en fonction des fournisseurs d’accès ou des types de connexion des abonnées.
En règle générale, le FAI dispose uniquement des coordonnées de l’abonnée associé à l’adresse IP de connexion.
Par ailleurs on distingue assez mal l’intérêt des « caractéristiques de la ligne » de l’abonnée dans un décret qui a uniquement pour objet de permettre l’identification d’une personne à l’origine d’un contenu sur Internet. Quel pourrait bien être l’intérêt de savoir que cette personne s’est connectée en ADSL ou en WIFI ?
Concernant la deuxième catégorie il s’agit des données suivantes : l’identifiant de la connexion, l’identifiant attribué par l’hébergeur au contenu, le type de protocole utilisé pour la connexion de l’internaute, la nature de l’opération, les dates et heures de l’opération, l’identifiant donné le cas échéant par l’internaute.
Le premier point délicat concerne, comme l’a relevé l’ARCEP dans son avis, la notion de « création de contenu » qui n’est pas définie par le texte.
L’article 2 du décret définit dans une sorte de tautologie législative la « contribution à une création de contenu » qui englobe toutes les opérations portant sur la création d’un contenu, la modification d’un contenu ou la suppression d’un contenu.
Un contenu peut en effet couvrir de nombreuses activités différentes pour les internautes.
Comme pour les FAI l’identifiant de la connexion ne soulève a priori pas de difficulté (il s’agira de l’adresse IP).
En revanche, il n’est pas certain que tous les hébergeurs attribuent un identifiant à tous les contenus postés par les internautes. C’est sans doute le cas pour des images mais vraisemblablement moins pour de simples commentaires.
L’intérêt du « type de protocole utilisé pour la création du contenu » ou de la « nature de l’opération de création de contenu » n’est pas évidente au regard de l’objectif du décret et de l’article 6 II de la LCEN qui il faut le rappeler ont pour unique objet de permettre l’identification des personnes physiques ou morales ayant contribué à la création d’un contenu en ligne.
A priori seules les données ayant un lien direct avec cet objet devraient faire l’objet d’une conservation et le cas échéant d’une communication. Le décret va bien au-delà de cet objectif.
Concernant la troisième catégorie de données, il s’agit des éléments suivants : l’identifiant de connexion au moment de la création du compte, les coordonnées de l’abonné ou de l’internaute (nom, prénom, pseudonyme, adresse, email, numéro de téléphone), son mot de passe, les informations relatives au paiement le cas échéant.
Le décret précise que ces informations ne doivent être conservées que si les intermédiaires les conservent habituellement. Là encore les tribunaux auront la charge de délimiter ce qu’il faut entendre par « données habituellement collectées ».
La question du « mot de passe » est elle plus problématique.
D’une part une telle information n’a aucun intérêt pour identifier le responsable de la mise en ligne d’un contenu.
D’autre part, les rédacteurs du décret ont semble-t-il totalement perdu de vue le mécanisme prévu par l’article 6 II de la LCEN qui impose aux intermédiaires techniques de conserver ces données pour le cas où elle serait demandée par une autorité judiciaire.
Cela signifie qu’un tiers pourrait en théorie solliciter du juge la communication de l’ensemble des données d’identification d’une personne ayant mis un contenu en ligne y compris son mot de passe si l’on suit la lettre du décret.
Cette position est excessive et l’on constate ainsi que le rôle du juge sera primordial pour préciser les données devant être effectivement communiquées.
Le délai de conservation des données est fixé à un an (article 3 du décret).
Pour les données de la première et deuxième catégorie, le décret précise que le point de départ du délai est le jour de création du contenu pour chaque opération de contribution à une création de contenu telle que listée à l’article 2 (à savoir création, modification ou suppression de contenu).
D’abord, il convient d’observer que ce délai concerne également les données collectées par les FAI. Toutefois le même décret précise que pour les FAI les données sont à collecter pour chaque connexion de leurs abonnés peu importe qu’il y ait ou non création de contenu ce que le FAI peu d’ailleurs ignorer.
Cette disposition doit d’ailleurs être mise en parallèle avec les articles L.34-1 et R10-13 du code des Postes et Télécommunication, lesquels prévoient que les FAI doivent conserver certaines données d’identification nécessaires pour la poursuite des infractions pénales pendant un an à compter cette fois de l’enregistrement de chaque information par l’abonné.
Au-delà de ce délai le FAI a l’obligation de rendre anonyme ces données ce qui comprend toutes les données non listées par l’article R10-13. Or, cette liste est bien plus restrictive que celle du décret du 25 février 2011.
Il y a donc un fort risque de confusion entre les deux textes.
Le décret du 25 février 2011 poursuit en indiquant que pour les données communiquées au moment de la création d’un compte ou de la souscription d’un abonnement, le délai court à compter de la résiliation de ce compte ou de l’abonnement.
Ce point est également une source de difficulté. Dans le cadre d’un forum de discussion, d’un blog ou plus généralement d’un site communautaire, il est en pratique assez rare que les internautes clôturent leur compte. Cela revient pour ces cas (très nombreux) à établir une quasi perpétuité pour la conservation des informations personnelles à la charge des hébergeurs.
Enfin, Pour les données communiquées au moment d’un paiement (souscription payante d’un abonnement, inscription payante à un site), le délai prévu par le décret court à compter de la date d’émission de la facture ou du paiement.
Ce texte soulève donc de nombreuses questions et les tribunaux comme ils l’avaient fait avant l’entrée en vigueur du décret seront amenés à en préciser les contours.
L’ARCEP dans son avis avait d’ailleurs justement relevé que la principale conséquence de ce texte était pour les intermédiaires techniques de devoir conserver une quantité exponentiellement croissante de données, ce qui risquait de rendre les dispositions du décret difficilement applicables tant pour des raisons techniques que financières.
L’infraction aux dispositions du décret étant sanctionné par une amende de 75.000 euros et une peine d’emprisonnement d’un an (article 6 VI 2°), il est certain que les intermédiaires techniques feront les efforts nécessaires pour s’y conformer à moins que le Conseil d’Etat ne vienne dans les prochains mois censurer ce texte.
Le décret ne comportant pas de disposition transitoire, il est d’application immédiate pour les données collectées à compter de sa publication.