Les données ' perso ' traçables durant un an

07/09/2007 à 00h00

Le Conseil d'Etat a rejeté le recours de l'AFA. Ce qui légalise la durée d'un an le stockage par les FAI et les opérateurs fixes et mobiles des logs de connexion.

L'obligation de conservation des données de connexion validée en Conseil d'Etat

Comme elle l'avait annoncé dès la parution du décret en mars 2006, l'Association des fournisseurs d'accès et de services internet a déposé un recours devant le Conseil d'Etat⁽¹⁾, lequel a rejeté cet été tout l'argumentaire mis en avant par l'association pour faire annuler le texte. Parmi les nombreux problèmes soulevés, l'AFA avait notamment pointé le défaut de notification préalable du décret à la Commission européenne, le caractère irrégulier de la consultation de la Cnil, ainsi que l'absence d'une ' juste rémunération ' du coût de l'obligation⁽²⁾.

Des arguments repoussés malgré leur pertinence

Le Conseil d'Etat ne s'est pas trop étendu sur le premier point et a considéré que le gouvernement n'avait pas à notifier préalablement le décret à la Commission européenne, les dispositions que contient celui-ci n'édictant pas de ' règles techniques ', comme le prévoit la directive 98/34 CE. Or cette dernière a été modifiée pour étendre l'obligation de notification à l'ensemble des normes et réglementations techniques visant les ' services de la société de l'information ', pour éviter que ne se créent, par le biais de textes nationaux, des entraves à la libre circulation des services à distance par voie électronique⁽³⁾. Il y avait donc là matière à débattre, compte tenu de l'enjeu du défaut de notification préalable qui est l'inopposabilité des dispositions. Sur le deuxième point, le Conseil d'Etat a estimé que la Cnil avait été à même de s'exprimer sur toutes les questions soulevées par ce décret dès 2003, même si le texte d'origine ne déterminait pas de manière précise les données à conserver. Il a par ailleurs jugé que le texte ne constituait pas une atteinte disproportionnée aux libertés publiques au regard des buts de sécurité publique poursuivis, et que les données dont le décret impose la conservation et, le cas échéant, la communication ne vont pas au-delà des dispositions légales prévues par l'article L. 34-1 du code des postes et des communications électroniques. Pour finir, le Conseil d'Etat a également rejeté l'argument concernant l'absence d'une ' juste rémunération ' compensatrice, l'article L. 34-1 précité ne visant que les dépenses liées à la ' fourniture ' des informations aux autorités habilitées, et non pas les dépenses d'investissement.(1) Cf. 01 Informatique du 21/04/2006.
(2) CE n?' 293774 du 7//2007 (cf. Légifrance).
(3) Directive 98/34/CE modifiée par la directive 98/48/CE, JOCE(L) 217 du 05/08/1998.

À retenir

L'article L. 34-1 du code des postes et des communications électroniques ne s'applique ni aux hébergeurs, ni aux FAI pris dans leur fonction d'hébergeurs de pages personnelles, ils relèvent de l'article 6-II de la LCEN. Cet autre article les oblige à conserver les données d'identification, mais son décret d'application, attendu fin 2007, n'est pas encore paru ?" mais certaines juridictions l'appliquent d'ores et déjà cette obligation.

Par souci de cohérence, le décret à venir prévoira sans doute la même durée de conservation. Les éditeurs de contenus en ligne seront donc logés à la même enseigne. L'AFA devra peaufiner ses arguments.

Notons que l'obligation de conservation est étendue par la loi du 23 janvier 2006 sur le cyberterrorisme aux cybercafés et aux lieux publics qui offrent des connexions via des bornes daccès sans fil (Wi-Fi)...

Alain Bensoussan

Votre opinion