Un projet de Décret pour la méfiance dans l’économie numérique ?

La loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, dite LCEN, avait pour objectif, comme son nom l’indique, de rassurer les acteurs du commerce électronique et ainsi favoriser son essor.

Dans l’esprit du législateur, cette confiance se manifestait, notamment, par l’encadrement et la définition des régimes applicables aux éditeurs de contenus en ligne et aux prestataires techniques : fournisseurs d’accès à internet (FAI) et hébergeurs visés respectivement aux articles 6-I 1 et 2 de la loi.

Au titre des obligations des hébergeurs et des FAI figure celle de conservation des « données de nature à permettre l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services dont elles sont prestataires » (article 6-II de la loi), l'autorité judiciaire pouvant en requérir la communication.

Un projet de décret d’application vient préciser le dispositif technique requis en imposant, en l’état actuel de sa rédaction, aux hébergeurs et FAI de conserver, pendant un an, l’ensemble des données de nature à permettre l’identification de quiconque a contribué à la création, la modification ou la suppression du contenu ou de l’un des contenus des services dont ils sont les prestataires techniques, à savoir notamment :
- les données permettant d’identifier l’origine de la création des contenus : identifiant de la connexion, date et heure de début et de fin de la connexion, caractéristiques de la ligne de l’abonné/type de protocole ou de réseau utilisé, pseudonymes utilisés,
- les informations fournies lors de la souscription d’un contrat par un utilisateur ou lors de la création d’un compte : nom et prénom, adresses postales associées, pseudonymes utilisés, adresses de courrier électronique associées, numéros de téléphone, mot de passe et informations associées,
- lorsque la souscription du contrat ou du compte est payante, les informations relatives au paiement : type de paiement utilisé, montant, numéro de référence du moyen de paiement, date et heure de la transaction.

Les services de police et de gendarmerie pourront obtenir communication de ces données, sans contrôle judiciaire préalable et les conserver pendant 3 ans.

Dans sa majorité, la doctrine qualifie ce projet de décret de liberticide. Si beaucoup, sinon toutes ces données font déjà l’objet d’un traitement par bon nombre d’acteurs de l’internet (sites bancaires, sites marchands d’importance…) sans que ni cet enregistrement ni cette conservation de données ne suscite de levée de boucliers, c’est du fait de la légitimité, tant pour l’internaute que pour le site, de pouvoir rapporter la preuve des opérations réalisées en ligne. Pourtant, pour une simple création, modification ou suppression de contenu sur un blog, un forum, un site d’échanges du type Web 2.0, le traitement de l’ensemble de ces données, qui n’apparaît nécessaire ni à l’hébergeur ni à l’internaute, peut sembler excessif. Il s’agit, d’une part, de la création – forcée – d’éléments de preuve auxquels, d’autre part, l’autorité judiciaire pourra ainsi avoir accès, et sans même le contrôle d’un juge pour les services de police et de gendarmerie chargés de missions de prévention de actes de terrorisme.

Bien que consultatif, l’avis de la CNIL, à laquelle ce projet de décret sera soumis, sera donc particulièrement intéressant sur cette notion de proportionnalité des données collectées par rapport à l’objet du traitement.

En conclusion, si certains acteurs importants de l’internet ont déjà annoncé des millions euros d’investissement pour appliquer une telle réglementation, on peut s’interroger sur la capacité d’acteurs de moindre importance à les réaliser. Compte tenu des sanctions pénales encourues, ce projet de décret ne constitue-t-il donc pas un frein au développement, en France, de services de contenu des « pure players » de l’internet ? De même, au-delà des FAI traditionnels, des cybercafés, des hotspots… comment les entreprises donnant accès à l’internet à leur personnel, considérées comme des FAI, répondront-elles à ces nouvelles exigences techniques ?

Espérons que le gouvernement modifiera ce projet de décret pour en lever les obscurités et maintenir la « confiance » des acteurs de l’économie numérique.

Frédéric GUENIN, avocat & Régis Carral, avocat associé

Article publié pour la première fois dans la revue "Option Finance" n°947 du 17 septembre 2007