La conservation des données va-t-elle sortir du brouillard juridique ?

Le décret n°2011-219 d’application relatif à la conservation et à la communication des données d’identification à la charge des prestataires techniques signifie-t-elle la fin du trouble juridique ? Depuis l'adoption de la loi pour la confiance en l'économie numérique du 21 juin 2004, il restait une interrogation sur les données d'identification devant être conservées par les hébergeurs et les fournisseurs d'accès internet (FAI). Rappelons que cette obligation de conservation est essentielle, puisqu’elle permet, à la demande des autorités judiciaires, de retrouver les auteurs de mise en ligne de contenus illicites sur internet, afin d’engager leur responsabilité. Ce qui concerne notamment ceux qui utilisent un pseudonyme.

En droit, il n’existe pas de définition juridique précise des données de connexion. Cette notion hétérogène peut se comprendre de la façon suivante : ce sont les informations produites ou nécessitées par l’utilisation des réseaux de communications électroniques, qu’il s’agisse des communications téléphoniques ou des connexions au réseau internet (données de trafic, de localisation, de facturation, etc.).

A partir de quand les données doivent-elles êtres conservées ?

En effet, en absence de tout cadre réglementaire, la jurisprudence a rendu des décisions contradictoires : certaines juridictions dispensait les prestataires de leur obligation de conserver les données, d’autres sollicitaient uniquement l’adresse IP, et l’adresse électronique… Ce décret du 25 février 2011, que l’on n’attendait plus, vient d’être enfin publié. Il a le mérite de clarifier certains points, à savoir, la liste de données et le point de départ de la conservation, dont on connaissait la durée et dont il restait à préciser le point de départ. En l’absence de conclusion d’un contrat ou de création de compte, ce sera le jour de la création du contenu. En cas de document contractuel, le délai court à compter de la résiliation du contrat ou de la fermeture du compte. Si le contrat est payant, le point de départ est alors à la date de l’émission de la facture ou de l’opération de paiement.

Des contraintes de collectes intrusives

Ce texte réglementaire tente également de clarifier un domaine complexe et opaque du droit en dressant une liste des données que doivent conserver aussi bien les FAI que les hébergeurs lors de la création d’un compte par un utilisateur (ou la signature d’un contrat) et lors de chaque connexion de leurs abonnés (identifiant de connexion, identifiant attribué par le FAI à l’abonné, date et heure de connexion …), ou pour les hébergeurs lors de chaque opération de création (identifiant de la connexion à l’origine de la communication, types de protocoles de connexion…).

L’ensemble de cette collecte est très contraignante pour les prestataires, et peut être perçue comme intrusive par les internautes (notamment la collecte des mots de passe). Cette collecte doit se faire dans le respect des données à caractère personnel. Toutefois, certaines données relatives aux informations collectées lors de la souscription du contrat, de la création d’un compte, ne doivent l’être que « dans la mesure où les prestataires hébergeurs les collectent habituellement ». Il y a donc encore de nombreuses incertitudes et d’autant plus que l’arrêté qui doit définir les modalités de la compensation financière n’est toujours pas publié.

En conclusion, cette tentative de démêler les fils du patchwork relatif aux données de connexion dévoile un vaste chantier juridique qui est encore loin d’être achevé, même si ce domaine est prioritaire tant au niveau national qu’européen.