Le décret n° 2021-1362 du 20 octobre 2021 relatif à la conservation des données permet d’identifier plus précisément toute personne ayant contribué à la création d’un contenu mis en ligne et met à la charge des FAI et des hébergeurs une obligation plus étendue de collecte et de conservation des données.
Le décret abroge et remplace le décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne. Il vise à préciser les catégories de données de connexion devant être conservées par les opérateurs.
Il détermine ainsi les informations relatives à l’identité civile de l’utilisateur, les informations fournies par l’utilisateur lors de la souscription d’un contrat et les informations relatives au paiement, les données techniques permettant d’identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés ainsi que les autres données de trafic et les données de localisation.
Sommaire
Loi n° 2021-998 du 30 juillet 2021 relative à la prévention d’actes de terrorisme
Pour mémoire, la loi n° 2021-998 du 30 juillet 2021 relative à la prévention d’actes de terrorisme et au renseignement a modifié l’encadrement de la conservation des données de connexion par les opérateurs de communications électroniques, les fournisseurs d’accès à Internet et les hébergeurs.
Cette évolution visait pour l’essentiel à tenir compte de la décision French Data Network et autres du Conseil d’Etat statuant au contentieux le 21 avril 2021 (n° 393099, 394922, 397844, 397851, 424717, 424718), cette décision, faisant suite à une saisine de la Cour de justice de l’Union européenne (CJUE) d’une question préjudicielle, est porteuse d’enjeux significatifs tant en matière de libertés publiques, et notamment de préservation de la vie privée des personnes, que d’effectivité de l’action publique pour garantir les intérêts fondamentaux de la Nation, la sécurité publique et la répression des infractions.
Dans sa décision, le Conseil d’Etat a notamment enjoint au Premier ministre de procéder à l’abrogation dans un délai de six mois de l’article R. 10-13 du code des postes et des communications électroniques (CPCE) ainsi que du décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne.
État civil du titulaire de l’accès
L’article L. 34-1 II bis 1°) du CPCE prévoit désormais que les opérateurs de communications électroniques sont tenus de conserver des informations relatives à l’identité civile de l’utilisateur jusqu’à l’expiration d’un délai de cinq ans à compter de la fin de validité de son contrat. Ces données sont : les nom et prénoms ou la raison sociale ; la ou les adresses postales associées ; les date et lieu de naissance ; les adresses de courrier électronique ou de compte associées et le ou les numéros de téléphone.
Le décret précise les catégories de données mentionnées à l’article L. 34-1 du CPCE (identité civile, informations relatives au paiement, données de connexion et de localisation) devant être conservées par les FAI et les hébergeurs.
Les obligations des opérateurs portent uniquement sur la conservation de certaines catégories de données qu’ils détiennent au titre de la fourniture des services qu’ils proposent, le décret ne leur imposant pas de conserver des données qu’ils n’auraient pas préalablement collectées.
Conservation du lieu de la transaction
Le décret prévoit également que les informations relatives au paiement sont conservées par les FAI à l’occasion de chaque opération de paiement. Ces informations portent sur le type de paiement utilisé, la référence de paiement, le montant et la date, heure et lieu de la transaction. Le lieu de la transaction correspond à la localisation géographique de l’utilisateur lors de la souscription du contrat.
Conformément à l’article L. 34-1 II bis 2°) du CPCE, le décret précise les autres informations fournies par l’utilisateur lors de la souscription d’un contrat ou de la création d’un compte (pseudonyme, mot de passe …).
Conservation des données techniques
L’article L. 34-1 II bis 3°) du CPCE prévoit également que pour les besoins de la lutte contre la criminalité et la délinquance grave, de la prévention des menaces graves contre la sécurité publique et de la sauvegarde de la sécurité nationale, les données techniques permettant d’identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés sont conservées.