Plus de six ans après l’adoption de la LCEN qui prévoit une obligation de conservation des données d’identification des créateurs de contenus en ligne, le décret d’application de l’article 6-II de la loi est paru au Journal officiel du 1er mars 2011. En parallèle la CNIL a publié l’avis qu’elle avait donné préalablement à son adoption. (Délibération n°2007-391 du 20 décembre 2007).
Certaines données doivent être conservées par les fournisseurs d’accès internet (FAI) ou les fournisseurs d’hébergement pour permette l’identification de toute personne physique ou morale ayant contribué à la création d’un contenu en ligne (en fait, contribution à la création, à la modification ou à la suppression d’un contenu). Elles doivent être mises à la disposition des agents habilités par la police ou la gendarmerie, notamment dans le cadre de la lutte contre le terrorisme.
1. En ce qui concerne les données
Il s’agit pour les FAI de :
a. L’identifiant de la connexion ;
b. L’identifiant attribué par le FAI à l’abonné ;
c. L’identifiant du terminal utilisé pour la connexion lorsqu’elles y ont accès ;
d. Les date et heure de début et de fin de la connexion ;
e. Les caractéristiques de la ligne de l’abonné ;
La CNIL a indiqué que le terme "identifiant " lui semblait trop imprécis.
Pour les fournisseurs d’hébergement il s’agit de :
a. L’identifiant de la connexion à l’origine de la communication ;
b. L’identifiant attribué par le système d’information au contenu, objet de l’opération ;
c. Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus ;
d. La nature de l’opération ;
e. Les date et heure de l’opération ;
f. L’identifiant utilisé par l’auteur de l’opération lorsque celui-ci l’a fourni ;(ainsi que la fait remarqué la CNIL il n’est pas toujours nécessaire de s’identifier pour contribuer à un contenu)
Pour toutes ces données la durée de conservation est d’un an à compter de la "contribution".
En outre les deux prestataires doivent conserver les informations fournies lors de la souscription d’un contrat par un utilisateur ou lors de la création d’un compte (pour autant qu’elles soient collectées de façon habituelle par le prestataire):
a. Au moment de la création du compte, l’identifiant de cette connexion ;
b. Les nom et prénom ou la raison sociale ;
c. Les adresses postales associées ;
d. Les pseudonymes utilisés ;
e. Les adresses de courrier électronique ou de compte associées ;
f. Les numéros de téléphone ;
g. Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour ;
h. Et dans le cas où la souscription du contrat ou du compte est payante, les informations suivantes relatives au paiement, pour chaque opération de paiement
1. Le type de paiement utilisé ;
2. La référence du paiement ;
3. Le montant ;
4. La date et l’heure de la transaction.
La CNIL s’est interrogée sur la pertinence de conserver le montant et a précisé que cela ne pouvait en aucun cas inclure le numéro de carte bancaire.
La durée de conservation est d’un an à compter du jour de la résiliation du contrat ou de la fermeture du compte ou pour les données de paiement à compter de la date d’émission de la facture ou de l’opération de paiement, pour chaque facture ou opération de paiement.
Les données doivent être conservées de façon à préserver leur sécurité mais aussi de façon à être rapidement accessibles.
2. la transmission des données
La demande de transmission de données par les services de police ou de gendarmerie doit être préalablement approuvée par la personne qualifiée du ministère de l’Intérieur visée à l’article 34 -1-1 du CPCE. (Les demandes et décisions de la personne habilitée sont conservées pendant 1 an).
Les modalités de sécurisation des transmissions restent encore à finaliser.
Les données transmises seront conservées pendant une durée maximum de 3 ans.
Une copie de chaque demande est transmise, dans un délai de sept jours à compter de l’approbation de la personnalité qualifiée, à la Commission nationale de contrôle des interceptions de sécurité. La commission peut, en outre, à tout moment, avoir accès aux données enregistrées dans les traitements automatisés. Elle peut également demander des éclaircissements sur la motivation des demandes approuvées par la personnalité qualifiée.
LA CNIL a rappelé que les fichiers contenant ces données peuvent être seulement consultés et en aucun cas être interconnectés à d’autres fichiers.
En dernier lieu, le texte prévoit que certains frais pourront être remboursés par l’État au FAI et fournisseurs d’hébergement.