Longtemps attendu, le décret d’application de l’article 6 II de la LCEN sera-t-il aussi tôt regretté ?

Il aura fallu attendre quatre ans pour qu’intervienne enfin le décret relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne.

Publié le 1er mars 2011, ce décret vient préciser les modalités d’applications de l’article 6 II de la Loi sur la Confiance dans l’Economie Numérique (LCEN). Selon cet article, fournisseurs d’accès à internet (FAI) et hébergeurs sont tenus de détenir et de conserver « les données de nature à permettre l’identification de quiconque à contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires » sous peine d’un an d’emprisonnement et d’une amende de 75 000 euros.

L’article cependant, non seulement ne définit pas la notion de « création de contenu » mais n’apporte également aucune précision aussi bien sur le type de données que doivent conserver les FAI et les hébergeurs que sur la durée de cette conservation.

Le décret n°2011-219 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne vise justement à éclaircir ces trois points.

Désormais, les personnes dont l’activité est d’offrir un accès à des services de communication en ligne, autrement dit les FAI, devront conserver pour chaque connexion de leurs abonnés et cela durant un an, les données suivantes :

–          L’identifiant de connexion ;

–          L’identifiant attribué par ces personnes à l’abonné ;

–          L’identifiant du terminal utilisé pour la connexion lorsqu’elles y ont accès ;

–          Les dates et heure de début et fin de la connexion ;

–          Les caractéristiques de la ligne de l’abonné ;

Quant aux hébergeurs, ils sont tenus de conserver pendant une période de un an à compter du jour de la création, de la modification ou de la suppression d’un contenu :

–          L’identifiant de la connexion à l’origine de la communication ;

–          L’identifiant attribué par le système d’information au contenu, objet de l’opération ;

–          Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus ;

–          La nature de l’opération ;

–          Les dates et heures de l’opération ;

–          L’identifiant utilisé par l’auteur de l’opération lorsque celui-ci l’a fourni ;  

 

FAI et hébergeurs sont également sollicités, s’ils le font habituellement, de recueillir les données suivantes lors de la souscription d’un contrat par un utilisateur ou lors de la création d’un compte et de les conserver pendant un an à compter du jour de la résiliation du contrat ou de la fermeture du compte :

–          Au moment de la création du compte, l’identifiant de cette connexion ;

–          Les nom et prénom ou la raison sociale ;

–          Les adresses postales associées ;

–          Les pseudonymes utilisés ;

–          Les adresses de courrier électronique ou de compte associées ;

–          Les numéros de téléphone

–          Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour ;

Idem, seulement s’ils le font habituellement, FAI et hébergeurs sont priés, lorsque la souscription du contrat ou du compte est payante, de conserver pendant un an à compter de la date d’émission de la facture ou de l’opération de paiement et cela pour chaque paiement ou chaque facture, les données relatives :

–          au type de paiement utilisé ;

–          à la référence du paiement ;

–          au montant ainsi qu’à la date et l’heure de la transaction ;

Enfin, le décret permet de définir la notion de « création de contenu » comme une opération de création initiale de contenu, de modification de contenu et de données liées au contenu ainsi que de suppression de contenu.

Ce décret permettra-t-il réellement une application plus effective  de l’article 6 II de la LCEN ? Il est évident que nous allons assister à une harmonisation de la jurisprudence relative à la conservation et à la communication des données permettant d’identifier les personnes ayant contribué à la création de contenu mis en ligne, mais ce décret soulève également de nouvelles questions. Qu’entend donc le législateur par identifiant de connexion ? Est-ce l’adresse IP ? S’il s’agit bien de l’adresse IP, celle-ci permet uniquement d’identifier l’abonné et non la personne qui contribue à la création du contenu mis en ligne. Par ailleurs, nous regrettons que le législateur n’ait pas déterminé de manière plus précise les FAI et hébergeurs auxquels s’impose l’obligation de conservation et de communication des données.

Ces nouvelles interrogations créent de nouveaux risques pour les FAI et les hébergeurs qui n’ont pas toujours les moyens de collecter et de conserver toutes les données requises.