Doctrine Juridique

Un projet de décret pour la méfiance dans l’économie numérique

L’objectif de la loi du 21/6/04 pour la confiance dans l’économie numérique (LCEN) est de rassurer les acteurs du commerce électronique et ainsi favoriser son essor. Cette confiance doit se manifester, notamment, par l’encadrement et la définition des régimes applicables aux éditeurs de contenus en ligne et aux prestataires techniques.

Au titre des obligations des hébergeurs et des fournisseurs d’accès à l’internet (FAI) figure celle de conservation des « données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont ils sont prestataires » (art. 6-II LCEN), l’autorité judiciaire pouvant en requérir la communication.

A ce jour, faute de décret d’application, les données conservées et leur durée variaient selon les prestataires techniques concernés. Il devrait en être tout autrement dans un avenir proche eu égard au projet de décret de LCEN, mais aussi aux prochaines décisions judiciaires que de tels textes ne manquent pas de susciter.

1. L’obligation de conservation des données de connexion.

a) Souriez, vous êtes conservés

Un projet de décret d’application vient préciser le dispositif technique requis en imposant, en l’état actuel de sa rédaction, aux hébergeurs et FAI de conserver, pendant un an, l’ensemble des données de nature à permettre l’identification de quiconque a contribué à la création, la modification ou la suppression du contenu ou de l’un des contenus des services dont ils sont les prestataires techniques, à savoir notamment :

- les données permettant d’identifier l’origine de la création des contenus : identifiant de la connexion, date et heure de début et de fin de la connexion, caractéristiques de la ligne de l’abonné/type de protocole ou de réseau utilisé, pseudonymes utilisés,

- les informations fournies lors de la souscription d’un contrat par un utilisateur ou lors de la création d’un compte : nom et prénom, adresses postales associées, pseudonymes utilisés, adresses de courrier électronique associées, numéros de téléphone, mot de passe et informations associées,

- lorsque la souscription du contrat ou du compte est payante, les informations relatives au paiement : type de paiement utilisé, montant, numéro de référence du moyen de paiement, date et heure de la transaction.

Cette obligation de conservation des données est pénalement sanctionnée (1) d’un an d’emprisonnement et de 75.000 € d’amende, une personne morale encourant jusqu’à 375.000 € d’amende outre les peines complémentaires visées à l’article L.131-39 du Code pénal notamment, l’interdiction, à titre définitif ou pour une durée de cinq ans au plus, d’exercer directement ou indirectement une ou plusieurs activités professionnelles ou sociales. L’article 6-II de la LCEN encadrait déjà la procédure de communication de ces données. Celles-ci doivent être communiquées par le FAI ou l’hébergeur à la requête de l’autorité judiciaire.

La loi du 23/1/06 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers est venue compléter la LCEN, notamment d’un article 6-II bis. Cet article dispose que les services de police et de gendarmerie pourront, d’une part, obtenir communication de ces données, sans contrôle judiciaire préalable mais « d’une personnalité qualifiée du Ministère de l’intérieur » et, d’autre part, les conserver pendant 3 ans.

b) Abondance de textes ne nuit pas ?

A n’en pas douter, le projet de décret d’application de la LCEN s’inscrit dans la même veine que la loi du 23/1/06 (2) et son décret d’application du 24/3/06 (3).

Ces textes ont imposé aux opérateurs de communications électroniques (à savoir, notamment, les FAI et les opérateurs de téléphonie mobile) de conserver, pendant un an, les « données relatives au trafic » identifiant les utilisateurs (4) afin, d’une part, de les mettre à la disposition de l’autorité judiciaire « pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales » et, d’autre part, de les communiquer aux agents dûment habilités des services de police et de gendarmerie nationales spécialement chargés des missions de prévention du terrorisme. Ces données, exhaustivement listées à l’art. R.10-13 CPCE, rejoignent celles requises par le projet de décret de la LCEN, puisqu’il s’agit des :
1. informations permettant d’identifier l’utilisateur ;
2. données relatives aux équipements terminaux de communication utilisés ;
3. caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ;
4. données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;
5. données permettant d’identifier le ou les destinataires de la communication ;
6. données permettant d’identifier l’origine et la localisation de la communication (disposition spéciale aux activités de téléphonie).

Ainsi, à l’exception des données indiquées aux points 2 et 5 ci-dessus, les données devant être conservées au titre du projet de décret de la LCEN doivent d’ores et déjà l’être, pour les FAI, au titre du CPCE. Une telle multiplicité d’obligations pour des objectifs similaires d’identification des communications et communicants n’est pas, ainsi que nous allons l’exposer, sans conséquence pour les employeurs susceptibles d’être qualifiés de FAI.

2. Un projet de décret à parfaire

Au-delà des nombreux et parfois vifs débats soulevés par ce projet de décret en matière de respect des libertés individuelles, la question même de son applicabilité est posée tant les contraintes techniques qu’il impose aux hébergeurs et FAI sont lourdes et ne pourront être surmontées qu’au prix d’importants investissements.

a) Un cybercafé et l’addition !

Dans sa rédaction actuelle, le décret imposerait aux hébergeurs et aux FAI de conserver la trace de chaque version de contenus créés et modifiés par les internautes quelle que soit la nature du contenu modifié : ajout de textes, mise en ligne de vidéos, changement de police…

Les professionnels de l’hébergement et de la fourniture d’accès à l’internet pourraient ne pas être les seuls tenus à cette obligation de conservation. En effet, la jurisprudence (5) a qualifié une entreprise de FAI au sens de l’ancien article 43-7 de la loi du 30/9/86 en considérant que l’entreprise était soumise à l’ensemble des obligations pesant sur cet intermédiaire et notamment « détenir et conserver les données de nature à permettre l’identification de toute personne ayant contribué à la création d’un contenu des services dont elle est prestataire et, d’autre part, à communiquer ces données sur réquisitions judiciaires ».

Eu égard à cette jurisprudence, il convient pour les entreprises de mettre en oeuvre les moyens informatiques leur garantissant une conformité à la loi. Si ce régime juridique peut se concevoir pour les professionnels de la fourniture d’accès à l’internet, son application à l’ensemble des entreprises donnant un accès à l’internet à leurs salariés est d’autant plus regrettable que, s’agissant d’un FAI, on ne voit guère quelles sont les « données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires » (LCEN, art. 6-II). En effet, aucun contenu n’est créé dans le cadre du service de la fourniture d’accès à l’internet. Si un FAI permet la création de contenus des services dont il est prestataire, ces services relèvent alors d’une activité d’hébergement et non de FAI.

Compte tenu du nombre considérable de données devant ainsi être collectées et de la durée de conservation de ces données, les professionnels de la fourniture d’accès à l’internet et de l’hébergement dénoncent l’impossibilité tant technique qu’économique d’un tel projet et avancent d’ores et déjà d’importantes pertes nettes résultant de ces coûts de stockage. Selon le Président du Groupement des Editeurs de Services en Ligne, cette conservation coûterait en effet « 224 millions € pour un FAI qui aurait 1 million d’abonnés, soit 224 € par abonné » (6).

Quant à la compensation des frais correspondant à la fourniture des données conservées en application de la LCEN, elle ne prendra pas en compte les frais de stockage.

b) Libertés proportionnelles ?

Dans sa majorité, la doctrine qualifie ce projet de décret de liberticide. Si beaucoup, sinon toutes ces données font déjà l’objet d’un traitement par bon nombre d’acteurs de l’internet (sites bancaires, sites marchands d’importance…) sans que ni cet enregistrement ni cette conservation de données ne suscite de levée de boucliers, c’est du fait de la légitimité, tant pour l’internaute que pour le site, de pouvoir rapporter la preuve des opérations réalisées en ligne.

Pourtant, pour une simple création, modification ou suppression de contenu sur un blog, un forum, un site d’échanges du type Web 2.0, le traitement de l’ensemble de ces données, qui n’apparaît nécessaire ni à l’hébergeur ni à l’internaute, peut sembler excessif. Il s’agit, d’une part, de la création – forcée – d’éléments de preuve auxquels, d’autre part, l’autorité judiciaire pourra ainsi avoir accès, et sans même le contrôle d’un juge pour les services de police et de gendarmerie chargés de missions de prévention de actes de terrorisme. Bien que consultatif, l’avis de la CNIL, à laquelle ce projet de décret sera soumis, sera donc particulièrement intéressant sur cette notion de proportionnalité des données collectées par rapport à l’objet du traitement.

(1) LCEN, art. 6-VI-1

(2) Loi n°2004-64 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers

(3) Décret n°2006-358 relatif à la conservation des données des communications électroniques

(4) Art. L.34-1-II CPCE

(5) CA Paris 4/2/05

(6) N. SILBERT, Les Echos, 23/4/07

Frédéric GUENIN, avocat & Régis Carral, avocat associé

Article publié pour la première fois dans la revue "Décideurs Stratégie Finance Droit" n°89 daté de novembre 2007

Nos partenaires sur la toile
Conditions générales d'utilisation
Site créé par Frédéric Guénin.
Mentions légales
Nous cont@cter