Le décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne a été publié hier au Journal Officiel sans l’avis de la CNIL rendu le 20 décembre 2007. Cet avis a été rendu sur le fondement de l’article 11-4°a) de la loi informatique et libertés. Dans ce cas, l’avis de la CNIL n’est pas systématiquement publié. La Commission a décidé de publier cet avis sur son site.

Délibération n°2007-391 du 20 décembre 2007 portant avis sur le projet de décret pris pour l’application de l’article 6 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, et relatif à la conservation des données de nature à permettre l’identification de toute personne physique ou morale ayant contribué à la création d’un contenu mis en ligne

La Commission nationale de l’informatique et des libertés ;

Saisie pour avis par le ministère de la justice d’un projet de décret en Conseil d’Etat pris pour l’application de l’article 6 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, et relatif à la conservation des données de nature à permettre l’identification de toute personne physique ou morale ayant contribué à la création d’un contenu mis en ligne ;

Vu la Convention n°108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée ;

Vu la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique ;

Vu la loi n°2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifié par le décret n°2007-451 du 25 mars 2007 ;

Vu le décret n°2006-1651 du 22 décembre 2006 pris pour l’application du I de l’article 6 de la loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers ;

Vu la délibération n°2006-219 de la CNIL du 28 septembre 2006 portant avis sur le projet de décret pris pour l’application des I et II de l’article 6 de la loi n°2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers ;

Après avoir entendu M. Didier GASSE, commissaire, en son rapport, et Mme Pascale COMPAGNIE, commissaire du Gouvernement, en ses observations ;

Emet l’avis suivant :

Le ministère de la justice a saisi pour avis la Commission nationale de l’informatique et des libertés, le 24 septembre 2007, d’un projet de décret pris pour l’application des II et II bis de l’article 6 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN).

Les dispositions des II et II bis de l’article 6 de la LCEN prévoient deux types d’obligations :

Au titre du II, l’obligation pour les fournisseurs d’accès à internet et les fournisseurs d’hébergement de détenir, conserver les données de nature à permettre l’identification de toute personne physique ou morale ayant contribué à la création d’un contenu mis en ligne ;

Au titre du II bis, l’obligation de mise à disposition de ces données aux agents individuellement désignés et dûment habilités des services de police et de gendarmerie nationales en charge de la lutte contre le terrorisme.

Elles renvoient à un décret les modalités d’application de ces obligations. C’est l’objet du projet de décret, qui reprend les deux points ci-dessus dans ses deux premiers chapitres :

le chapitre 1er définit les données permettant l’identification des personnes ayant contribué à la création d’un contenu mis en ligne et détermine la durée ainsi que les modalités de leur conservation ;

le chapitre 2nd fixe les modalités de mise à disposition de ces données aux autorités en charge de la lutte contre le terrorisme.

Observations préliminaires

Alors que, selon le principe de finalité, les catégories de données collectées et leur durée de conservation doivent être justifiées par l’objectif poursuivi par le responsable de traitement et pour ce seul traitement, le II de l’article 6 de la LCEN, permet d’y déroger : en effet, il introduit un principe général de rétention des données aux fins exclusives de permettre l’identification par l’autorité judiciaire des personnes ayant contribué à la création d’un contenu mis en ligne. Le II bis étend cette possibilité aux services de police et de gendarmerie nationales en charge de la lutte contre le terrorisme.

De même, la Commission relève que les FAI sont soumis à une double obligation de rétention des données d’une part, au titre du II de l’article 6 de la LCEN, d’autre part, au titre de l’article L. 34-1 du Code des postes et des communications électroniques en tant qu’opérateurs de communications électroniques.

Enfin, la Commission observe que tant les textes législatifs que les débats parlementaires ou la jurisprudence ne permettent pas d’établir une définition claire des catégories de personnes soumises à l’obligation de rétention des données prévue par la LCEN et le Code des postes et des communications électroniques. Il résulte de cette situation une insécurité juridique préjudiciable à la protection de la vie privée et des données à caractère personnel des internautes.

Observations relatives à la définition des données permettant l’identification des personnes et aux modalités de leur conservation (chapitre 1er du projet de décret – application du II de l’article 6 de la LCEN)

Sur les catégories de données à conserver (article 1er du projet de décret)

Le rapport au Premier ministre accompagnant le projet de décret comporte une étude d’impact qui indique que les données devant être conservées « ne doivent porter que sur les personnes physiques ou morales ayant contribué à la création d’un contenu mis en ligne par un fournisseur ou un hébergeur d’accès Internet, à l’exclusion de toute information relative aux contenus eux-mêmes ».

La Commission estime essentiel que cette garantie soit reprise en l’état dans le texte du projet de décret.

Les obligations afférentes aux catégories de données à conserver diffèrent selon qu’il s’agit des fournisseurs d’accès à internet ou des hébergeurs.

Aux termes du 1°) de l’article 1 du projet de décret, les fournisseurs d’accès à internet (FAI) doivent conserver pour chaque connexion de l’abonné à l’origine de la création des contenus :

l’identifiant de la connexion ;

l’identifiant attribué par le FAI à l’abonné ;

l’identifiant du terminal utilisé pour la connexion ;

les dates et heure de début et de fin de la connexion ;

les caractéristiques de la ligne de l’abonné.

La notion « d’identifiant » utilisée est imprécise. Dans chacun des cas envisagés par le projet de décret la nature des données qui seront associées à ce terme peut varier en fonction des éléments de contexte techniques. Ainsi, « l’identifiant attribué par le FAI à l’abonné » ne renverra pas aux mêmes types de données selon que l’on se trouve dans le cadre d’une connexion internet par ADSL ou par WIFI gratuit. De même, « l’identifiant du terminal utilisé pour la connexion » peut correspondre à des informations différentes en fonction de la nature du terminal utilisé (analogique ou numérique). Il en résulte que la transposition à divers scénarios des notions d’identifiant employées risque de générer des ambiguïtés ou des redondances avec d’autres termes utilisés par les fournisseurs d’accès à internet.

La Commission considère que le projet de décret doit indiquer explicitement la nature des identifiants concernés de façon à ce que les FAI mesurent précisément l’obligation qui leur est imposée dès lors que le non-respect de cette obligation est sanctionnée pénalement d’un an d’emprisonnement et de 75 000 euros d’amende en application du 2°) du VI de l’article 6 de la LCEN.

Aux termes du 2°) de l’article 1, les fournisseurs d’hébergement doivent conserver pour chaque opération de création de contenus :

l’identifiant de la connexion à l’origine de la communication ;

l’identifiant attribué par le système d’information au contenu, objet de l’opération ;

la mention du type de protocoles utilisés pour la connexion au service et pour le transfert des contenus ;

la nature de l’opération ;

les date et heure de l’opération ;

l’identifiant utilisé par l’auteur de l’opération.

La Commission observe que de très nombreux services d’édition de contenu en ligne ne nécessitent pas de procéder à l’identification préalable de l’auteur pour lui permettre d’accéder aux prestations proposées. Il en résulte qu’en pratique la catégorie de donnée relative à « l’identifiant utilisé par l’auteur de l’opération » n’existe pas toujours. C’est le cas par exemple, des commentaires laissés sur une page personnelle ou un forum de discussion qui peuvent s’effectuer de manière anonyme.

La Commission prend acte de l’engagement du ministère de la justice à modifier le projet de décret de façon à ce qu’il précise que les fournisseurs d’hébergement ne devront conserver l’identifiant utilisé par l’auteur de l’opération que si celui-ci en a fourni un.

Enfin les 3°) et 4°) de l’article 1 définissent les informations devant être conservées par les FAI et les fournisseurs d’hébergement lors de la souscription d’un contrat par un utilisateur ou lors de la création d’un compte. Ces mêmes dispositions déterminent les informations relatives au paiement devant être conservées lorsque le service est payant (type de paiement, référence du paiement, montant ainsi que date et heure). A cette occasion, le projet indique que ces informations ne doivent être conservées que dans la mesure où elles sont habituellement collectées par les FAI et les fournisseurs d’hébergement.

S’agissant des informations relatives au paiement, la Commission s’interroge sur la pertinence de la conservation du montant des transactions au regard de l’objet du II de l’article 6 de la LCEN dans la mesure où cette donnée ne permet pas, a priori, de procéder à l’identification d’une personne ayant contribué à la création de contenus.

La Commission souhaite également préciser qu’en aucun cas le numéro de carte bancaire n’est susceptible d’être utilisé pour servir de référence. Elle rappelle à cet égard que, conformément à la position exprimée dans sa délibération n° 03-034 du 19 juin 2003 portant adoption d’une recommandation relative au stockage et à l’utilisation du numéro de carte bancaire dans le secteur de la vente à distance, la durée de conservation d’un numéro de carte bancaire ne saurait excéder le délai nécessaire à la réalisation de la transaction.

Sur les modalités de conservation des données (article 3 du projet de décret)

Le projet de décret indique que les modalités de conservation des données doivent s’effectuer :

dans le respect des dispositions de la loi du 6 janvier 1978 modifiée en août 2004, et notamment son article 34 relatif à la sécurité des données ;

dans les conditions garantissant une extraction dans les meilleurs délais pour répondre à une demande des autorités judiciaires.

La Commission relève qu’une simple référence à la nécessité de respecter la loi « informatique et libertés » et de garantir une extraction rapide des données ne permet pas de satisfaire aux exigences du II de l’article 6 de la LCEN qui prévoit que les modalités de conservation des données sont définies par décret.

De même, elle s’interroge sur la portée d’une obligation qui tend à imposer aux FAI et aux hébergeurs de mettre en œuvre des mesures garantissant une extraction des données « dans les meilleurs délais ».

En l’état, les dispositions de l’article 3 du projet de décret apparaissent insuffisantes et source d’insécurité juridique pour les FAI et fournisseurs d’hébergement.

Observations relatives aux modalités de mise à disposition des données aux autorités en charge de la lutte contre le terrorisme (chapitre II du projet de décret – application du II bis de l’article 6 de la LCEN)

Sur le traitement des demandes par le ministère de l’intérieur

L’article 6 du projet de décret dispose, , que les demandes administratives sont transmises à la personnalité qualifiée placée auprès du ministère de l’intérieur et désignée par la Commission nationale de contrôle des interceptions de sécurité (CNIS) conformément à l’article L. 34-1-1 du Code des postes et des communications électroniques (CPCE).

Il prévoit également que les demandes et les décisions de la personnalité qualifiée précitée seront enregistrées et conservées pendant une durée maximale d’un an dans un traitement automatisé mis en œuvre par le ministère de l’intérieur.

La Commission rappelle qu’un dossier de formalités préalables, relatif à la mise en œuvre de ces traitements, devra lui être adressé.

Sur les modalités de transmission des données

L’article 7 du projet de décret dispose que les demandes approuvées par la personnalité qualifiée sont adressées aux FAI et aux hébergeurs, sans les éléments relatifs à l’identité du demandeur (nom, prénom et qualité du demandeur, service d’affectation et adresse).

Cet article dispose également que les données sont transmises selon des modalités assurant leur sécurité, leur intégrité et leur suivi, définies par une convention conclue avec le prestataire concerné ou, à défaut, par un arrêté.

La Commission prend acte que, comme s’y est engagé le ministère de la justice, le dispositif permettant la transmission des demandes :

d’une part, permettra aux FAI et hébergeurs de s’assurer que la requête qui leur est transmise a bien été approuvée par la personnalité qualifiée visée à l’article L. 34-1-1 du CPCE ;

d’autre part, garantira l’authenticité des approbations ainsi que leur intégrité.

De même, il conviendrait d’indiquer que seuls les employés individuellement désignés des services en charge de ces demandes chez les FAI et les hébergeurs ont accès aux demandes administratives de communication des données.

En outre, s’agissant de la nature du texte dans lequel devraient être fixées les modalités de sécurisation des transmissions,  si la voie réglementaire devait être retenue, la Commission demande à en être de nouveau saisie pour avis. Si, en revanche, était confirmé le renvoi à une convention entre le ministère de l’intérieur et les prestataires, opérateurs ou fournisseurs d’accès du soin de déterminer des éléments aussi importants que la définition des mesures de sécurité appliquées au traitement de données concerné, la Commission demande que le projet de convention, et non sa copie déjà signée, lui soit soumis pour avis, en même temps que le dossier de formalités préalables afférent.

La Commission souhaite que le projet de décret précise que les données seront transmises par des employés individuellement désignés et appartenant aux services en charge des demandes de communication de données des prestataires concernés.

Enfin, l’article 7 dispose que les données transmises seront enregistrées et conservées pendant une durée de trois ans dans des traitements automatisés mis en œuvre par le ministère de l’intérieur et le ministère de la défense.

La Commission rappelle qu’un dossier de formalités préalables, relatif à la mise en œuvre de ces traitements, devra lui être adressé et demande que le projet de décret précise que :

le ministère de l’intérieur et le ministère de la défense ne seront destinataires et ne conserveront dans les traitements précités que des données correspondant aux demandes qu’ils auront respectivement introduites ;

le traitement des données communiquées par les FAI et hébergeurs aura pour unique objet la conservation et la consultation et ne sera par interconnecté ou rapproché avec d’autres traitements y compris ceux résultant du décret n° 2006-1651 du 22 décembre.

Le président,

Alex TÜRK