STAUB & ASSOCIES - AVOCATS AU BARREAU DE PARIS - Publications - Décret sur la conservation des données par les FAI et les hébergeurs (25 février 2011)

Présentation

Compétences

Organisation

Equipe

Vie du Cabinet

Bureaux


	Publications

	"blog immateria.fr"

	"informatique et logiciel"

	"internet et réseaux"

	"données personnelles"

	"droit d'auteur et brevet"

	"marques et noms de domaines"

	"com, médias et pub"

	"cybersurveillance"

	"droit du travail"

	"corporate M&A"

	"private equity"

	"droit bancaire"

	"droit boursier"

	"distribution"

	"projets internationaux"

	"marchés publics"

	"droit civil et procédures"

	"Billet d'humeur"

	Ouvrages/Guides

Une avancée pour les données à conserver afin d’identifier les personnes ayant contribué à la création d’un contenu en ligne (Décret n°200-219 du 25 février 2011)

Cela faisait 5 ans et demi que la Loi pour la Confiance dans l’Economie Numérique (LCEN) attendait le décret d’application promis à son article 6-II qui devait définir les données personnelles des contributeurs à un contenu en ligne qu’il convient de conserver.

C’est chose enfin faite avec la parution le 1er mars 2011 du Décret du 25 février 2011.

Dans un domaine concernant les nouvelles technologies, où quelques mois paraissent une éternité, les praticiens ont donc été contraints d’appliquer la loi sans l’aide du Décret.

La loi prévoit ainsi que les fournisseurs d’accès et les hébergeurs de contenu :
« détiennent et conservent les données de nature à permettre l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services dont elles sont prestataires. Elles fournissent aux personnes qui éditent un service de communication au public en ligne des moyens techniques permettant à celles-ci de satisfaire aux conditions d'identification prévues au III. L'autorité judiciaire peut requérir communication auprès des prestataires mentionnés aux 1 et 2 du I des données mentionnées au premier alinéa (…). Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, définit les données mentionnées au premier alinéa et détermine la durée et les modalités de leur conservation ».

Le texte précisait en outre que ce traitement de données personnelles devait respecter les dispositions de la Loi Informatique et Libertés de 1978.

La question était donc centrale :

- Pour la définition des obligations des fournisseurs d’accès et des hébergeurs de contenu ;
- Pour les juges chargés de requérir communication de ces données ;
- Pour les plaignants qui devaient obtenir du juge les informations leur permettant d’exercer leurs droits.

Le Décret prévoit que les fournisseurs d’accès doivent conserver pour chaque connexion de leur abonné:

- L'identifiant de la connexion
- L'identifiant attribué par ces personnes à l'abonné
- L'identifiant du terminal utilisé pour la connexion lorsqu'elles y ont accès
- Les dates et heure de début et de fin de la connexion
- Les caractéristiques de la ligne de l'abonné.

L’hébergeur au sens de la Loi doivent conserver pour chaque « opération de création » :

- L'identifiant de la connexion à l'origine de la communication
- L'identifiant attribué par le système d'information au contenu, objet de l'opération
- Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus
- La nature de l'opération
- Les date et heure de l'opération
- L'identifiant utilisé par l'auteur de l'opération lorsque celui-ci l'a fourni.

Lors de la souscription d’un contrat ou l’ouverture d’un compte, doivent être récoltées les informations suivantes :
- Au moment de la création du compte, l'identifiant de cette connexion
- Les nom et prénom ou la raison sociale
- Les adresses postales associées
- Les pseudonymes utilisés
- Les adresses de courrier électronique ou de compte associées
- Les numéros de téléphone
- Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour.

En outre, lorsque la souscription du contrat ou du compte est payante, les informations suivantes relatives au paiement, pour chaque opération de paiement doivent être conservées :

- Le type de paiement utilisé
- La référence du paiement
- Le montant
- La date et l'heure de la transaction.

Ces deux dernières catégories d’informations (création du compte et paiement) connaissent un bémol qu’il conviendra d’interpréter car il semble receler d’une contradiction dans les termes:

« Les données mentionnées (…) ne doivent être conservées que dans la mesure où les personnes les collectent habituellement ».

Est-on tenu de les conserver (et donc les collecter au préalable) ou doit-on les conserver seulement si on les collecte (ce qui serait facultatif) ?

En outre, le Décret définit ce qu’il faut entendre par contribution à un contenu (la création initiale, la modification des contenus et des données liées aux contenus et la suppression).

A supposer la collecte effectuée, la durée de conservation est d’un an à compter selon le cas, du jour de la création du contenu ou de l’opération de contribution, la résiliation du contrat d’accès ou d’hébergement ou la fermeture du compte, l’émission de la facture ou de l’opération de paiement.

Par ailleurs, les conditions de conservation doivent permettre une extraction rapide (et une présentation possible sous forme de pièce à notre sens) pour répondre à la demande du juge.

Enfin, le Décret précise les modalités de demandes d’information de la Police dans le cadre des enquêtes sur le terrorisme.

Mais à peine l’encre est-elle sèche que l’ASIC (association française des services internet qui regroupe notamment Google, Dailymotion, Facebook ou Deezer) annonçait son intention de former un recours contre ce Décret devant le Conseil d’Etat...il n’est pas certain que l’on dispose de sitôt d’un régime stabilisé.

89, boulevard Haussmann 75008 Paris - T : 01 47 42 47 42 - F : 01 47 42 47 41 - contact@staub-associes.com