Décret n° 2011-219 du 25 fevrier 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu : Alors Who is ... and what else ?
La LCEN met à la charge des intermédiaires technique de l’Internet une obligation de conservation des données d’identification des créateurs de contenus en ligne (article 6-II de la loi du 21 juin 2004 dite LCEN). Plus de 6 ans après, le décret n° 2011-219 du 25 février 2011 qui devait préciser cette obligation est publié au Journal Officiel du 1er mars 2011.
La notion de création de contenu est d'ores et déjà précisée comme comprenant " les opérations de création initiale, de modifications des contenus et des données liées aux contenus et de suppression " (article 2).
Le décret mentionne, en outre, les données devant être conservées ainsi que la durée et les modalités de leur conservation.
Quelles sont les données devant être conservées ?
1°) les informations devant être stockées par les fournisseurs d’accès (art.6-I-1 LCEN) pour chaque connexion de leurs abonnés
a) L’identifiant de la connexion ;
b) L’identifiant attribué par ces personnes à l’abonné ;
c) L’identifiant du terminal utilisé pour la connexion lorsqu’elles y ont accès ;
d) Les dates et heure de début et de fin de la connexion ;
e) Les caractéristiques de la ligne de l’abonné ;
2°) les informations devant être stockées par les hébergeurs (art.6-I-2 LCEN) pour chaque opération de création de contenus
a) L’identifiant de la connexion à l’origine de la communication ;
b) L’identifiant attribué par le système d’information au contenu, objet de l’opération ;
c) Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus;
d) La nature de l’opération ;
e) Les date et heure de l’opération ;
f) L’identifiant utilisé par l’auteur de l’opération lorsque celui-ci l’a fourni ;
3°) les informations fournies, lors de la souscription d’un contrat par un utilisateur ou lors de la création d’un compte, devant être conservées par les fournisseurs d’accès et les hébergeurs (art.6-I-1 et 2 LCEN):
a) Au moment de la création du compte, l’identifiant de cette connexion ;
b) Les nom et prénom ou la raison sociale ;
c) Les adresses postales associées ;
d) Les pseudonymes utilisés ;
e) Les adresses de courrier électronique ou de compte associées ;
f) Les numéros de téléphone ;
g) Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour ;
4°) les informations relatives au paiement, pour chaque opération de paiement lorsque la souscription du contrat ou du compte est payante, devant être conservées par les fournisseurs d’accès et les hébergeurs (art.6-I-1 et 2 LCEN):
a) Le type de paiement utilisé ;
b) La référence du paiement ;
c) Le montant ;
d) La date et l’heure de la transaction.
Notons, toutefois, que les données mentionnées aux 3° et 4° ne doivent être conservées que si les personnes visées les collectent habituellement.
Combien de temps conserver ces données et selon quelles modalités ? La durée de conservation des données mentionnées à l’article 1er est de : UN AN (article 3 du décret). Cette durée commence à courir :
- concernant les données mentionnées aux 1° et 2°: à partir du jour de la création des contenus, pour chaque opération contribuant à la création d’un contenu
- concernant les données mentionnées au 3° : à partir du jour de la résiliation du contrat ou de la fermeture du compte ;
- concernant les données mentionnées au 4° : à partir de la date d’émission de la facture ou de l’opération de paiement, pour chaque facture ou opération de paiement.
Aucune indication n'est donnée, cependant, sur les sanctions encourues en cas de non respect de ces obligations. Certains s'étonnent déjà de l'étendue titanesque mise à la charge des hébergeurs s'ils respectent le texte.
Source : Legifrance
Credit photo : http://office.microsoft.com/fr-fr/images/similar.aspx#ai:MP900402246|
Credit photo : http://office.microsoft.com/fr-fr/images/similar.aspx#ai:MP900402246|
3 comments:
Intéressant ou inquiétant, je ne sais pas encore. Pour bien comprendre, les hébergeurs devront-ils conserver en mémoire la trace de toute activité, création, modification de contenu, et des contenus eux-mêmes, présent et passé ?! Cela semble délirant à mettre en place, et je ne vois pas avec quels moyens les opérateurs pourront effecteur ce suivi continu. Cela va représenter un surcroît de moyens techniques et financiers, qui va l'assumer. Les fournisseurs ont-ils quelque chose à gagner, ou bien n'ont-ils n'est-ce pour eux qu'une contrainte ? Comment concilier cela avec un certain respect de la protection des données et avec les lois informatique et libertés ? N'y a-t-il pas là, en germe, une incompatibilité de nature avec ces lois, voire un caractère inconstitutionnel ? Nous ne sommes pas dans les Etats-Unis de George Bush qui décréta le Patriot Act dans la lutte antiterroriste, commme prétexte à un renforcement du pouvoir central et de l'autorité de l'Etat. Tout cela m'interroge. Stéphane.
Cela risque effectivement de mettre à la charge des hébergeurs des obligations exponentielles sans compter un problème de "légitimité". Ceci étant, c'est une affaire à suivre puisqu'il semble que des recours en annulation devant le Conseil d'Etat soient envisagés, notamment par l'ASIC qui représente plusieurs sociétés et non des moindres telles que Facebook, Google, Dailymotion, Yahoo ou encore Wikio : http://www.lasic.fr/
Merci pour votre complément d'information, maître. Avant-hier soir, étant préoccupé par tout cela, j'ai trouvé également le site de l'ASIC, ainsi que le décret du journal officiel. Je m'y suis plongé, mais n'étant ni coutumier des décrets de lois ni du détail de la thématique technique "connexion, identification, FAI", j'avoue avoir eu quelques difficultés à démêler la sémantique. Il m'a semblé comprendre que quelques passages avaient d'abord été déclarés non conformes à la Constitution par le Conseil Constitution, et connu des réserves de l'ACERP (consignées dans un avis consultatif de 2007, disponible sur le net). Mais j'ai surtout quelques articles critiques qui mettent en exergue des ambiguïtés qui pourraient bien intéresser soit le Conseil d'Etat, soit le Conseil Constitutionnel, et dans tous les cas fournir, le cas échéant, à la Cour de Cassation, des motifs suffisants, légaux et légitimes, pour geler une condamnation. Celui-ci en particulier : http://www.numerama.com/magazine/18194-un-bug-dans-le-decret-lcen-sur-la-conservation-des-donnees.html
Ce point n'est certainement pas une exception au sein de l'écheveau juridique et technique du décret. Se pose de plus un problème sur les mots de passe à conserver "en l'état", dans la forme sous laquelle le FAI ou hébergeur les conservent habituellement (littéralement, si le MDP est crypté, il faut le fournir aux services judiciaires sous cette forme ...)
J'ai trouvé initialement ce sujet d'actualité sur le site de RMC. Il n'y ait guère resté très longtemps. Suffisamment pour soulever un tollé colossal sur les forums. Christine Lagarde, cosignataire et rapport du présent décret, était invitée dans une émission sur cette même chaîne de radio. J'ai manifesté mon souhait que la ministre nous éclaire davantage sur les modalités d'application. Ma demande (et celle des dizaines d'autres internautes) est restée lettre morte. Quoi qu'il en soit, il semblerait que le délai supérieur à 6 ans témoigne d'une réticence politique (si tel est le cas, les internautes peuvent, une fois n'est pas coutume, en être gréés à nos dirigeants) à transposer cette directive européenne dans notre réglementation nationale. Un internaute a expliqué l'urgence à l'appliquer aujourd'hui par deux raisons 1) éviter une sanction financière européenne, 2) devancer la création de la Commission Nationale du Numérique. Stéphane.
Enregistrer un commentaire