(Décret n° 2011-219 du 25 février 2011)

Le décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne, a été publié le 1er mars 2011 au Journal officiel.

Ce décret, pris notamment en application de l’article 6 II et II bis de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (la « LCEN »), vient préciser la nature des données que les fournisseurs d’accès à internet et les hébergeurs ont l’obligation de conserver, dans le cadre des réquisitions judiciaires, ainsi que la durée et les modalités de conservation de ces données par ces prestataires.

Les fournisseurs d’accès à internet doivent conserver pour chaque connexion de leurs abonnés : a) l’identifiant de la connexion (ce qui semble correspondre à l’adresse IP) ; b) l’identifiant attribué par les fournisseurs d’accès internet à l’abonné (c'est-à-dire le numéro de téléphone, le pseudonyme défini par l’utilisateur ou le fournisseur d’accès à internet ou le numéro de carte SIM pour les téléphones mobiles) ; c) l’identifiant du terminal utilisé pour la connexion lorsqu’ils y ont accès (c’est-à-dire une adresse MAC ou un numéro IMEI pour les téléphones mobiles) ; d) les date et heure de début et de fin de la connexion ; et e) les caractéristiques de la ligne de l’abonné (par exemple : une ligne ADSL, un point d’accès wifi ou une connexion via la 3G).

Les hébergeurs doivent conserver pour chaque opération de création de contenu mis en ligne : a) l’identifiant de la connexion à l’origine de la communication (l’adresse IP ou une autre donnée selon le type de service utilisé par la personne contribuant au contenu) ; b) l’identifiant attribué par le système d’information au contenu, objet de l’opération (ce qui fait référence à l’URL du contenu ou plus généralement à toute information de structure permettant de localiser le contenu sur le site)  ; c) les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus (par exemple : http) ; d) la nature de l’opération ; e) les date et heure de l’opération et ; f) l’identifiant utilisé par l’auteur de l’opération lorsque celui-ci l’a fourni (il s’agit de l’adresse électronique ou du pseudonyme).

Le décret précise également les données qui doivent être conservées à la fois par les fournisseurs d’accès à internet et par les hébergeurs dans la mesure où ils les collectent habituellement. Il s’agit ici des informations fournies lors de la souscription d’un contrat par un utilisateur ou lors de la création d’un compte (identifiant de connexion, nom, adresse postale, pseudonyme, adresse électronique, numéro de téléphone et mot de passe) et, lorsque la souscription du contrat ou du compte est payante, les informations relatives au paiement pour chaque opération de paiement (type de paiement, référence, montant, date et heure de transaction).

La durée de conservation des données est d’un an. Le point de départ de ce délai varie selon les données concernées. Les conditions de conservation de ces données doivent « permettre une extraction dans les meilleurs délais pour répondre à une demande des autorités judiciaires ».

Enfin, le décret définit les modalités de communication de certaines données par les fournisseurs d’accès à internet et les hébergeurs aux agents habilités des services de police et de gendarmerie, pour la prévention des actes de terrorisme.

Le manquement à cette l’obligation de conservation est puni d’une peine d’un an d’emprisonnement et de 75.000 euros d’amende pour les dirigeants et d’une peine de 375.000 euros pour les personnes morales.  

Ce décret devrait apporter une meilleure visibilité aux prestataires techniques ainsi qu’aux juges qui s’interrogeaient sur les modalités pratiques d’application des dispositions de la LCEN.