Les hébergeurs ne sont tenus de conserver, pour les besoins des procédures pénales, que les informations relatives à l’identité civile de l’utilisateur et les autres informations fournies par lui lors de la souscription du contrat ou de la création du compte ainsi que les informations relatives au paiement – les premières pendant cinq ans, les secondes pendant un an -, à l’exclusion des données techniques permettant d’identifier la source de la connexion et de celles relatives aux équipements terminaux utilisés, notamment l’adresse IP

Lutte contre la criminalité

En effet, ces dernières données ne peuvent être conservées que pour les seuls besoins de la lutte contre la criminalité et la délinquance grave, de la prévention des menaces graves contre la sécurité publique et de la sauvegarde de la sécurité nationale et ce, pendant une durée d’un an.

Ces nouvelles dispositions légales et réglementaires ont été adoptées, à la suite de décisions de la Cour de justice de l’Union européenne ayant retenu que le droit de l’Union limitait la possibilité d’imposer aux opérateurs de communications électroniques, aux fournisseurs d’accès à internet et aux hébergeurs la conservation des données de connexion de leurs utilisateurs, que cette conservation ne pouvait être généralisée et indifférenciée et qu’elle devait être encadrée, l’encadrement variant selon la nature des données en cause, les finalités poursuivies et le type de conservation (CJUE, 6 octobre 2020, C-511/18, C-512/18, C-520/18, La Quadrature du Net et autres).

La conservation généralisée et indifférenciée des adresses IP

A la suite de ces décisions, le Conseil d’Etat a rappelé que, selon la jurisprudence de la CJUE, si la conservation généralisée et indifférenciée des adresses IP peut être imposée aux fournisseurs d’accès à internet et aux hébergeurs, pour une période limitée au strict nécessaire, dès lors qu’elle peut constituer le seul moyen d’investigation permettant l’identification d’une personne ayant commis une infraction en ligne, une telle conservation emporte une ingérence grave dans les droits fondamentaux des personnes concernées qui justifie qu’elle ne puisse avoir lieu qu’aux fins de lutte contre la criminalité grave, pour la prévention des menaces graves contre la sécurité publique et pour la sauvegarde de la sécurité nationale (CE, ass., 21 avril 2021, n° 393099, [I], point 33).

Ces décisions concernent la conservation des données.

Toutefois, la Cour de justice de l’Union européenne a également jugé que l’accès aux données n’était possible que pour la finalité ayant justifié la conservation : « S’agissant des conditions dans lesquelles l’accès aux données relatives au trafic et aux données de localisation conservées par les fournisseurs de services de communications électroniques peut, à des fins de prévention, de recherche, de détection et de poursuite d’infractions pénales, être accordé à des autorités publiques, en application d’une mesure prise au titre de l’article 15, paragraphe 1, de la directive 2002/58, la Cour a jugé qu’un tel accès ne peut être octroyé que pour autant que ces données aient été conservées par ces fournisseurs d’une manière conforme audit article 15, paragraphe 1 (voir, en ce sens, arrêt du 6 octobre 2020, La Quadrature du Net e.a., C-511/18, C-512/18 et C 520/18, EU:C:2020:791, point 167) » (CJUE, 2 mars 2021, C-746/18, H.K c/ Prokuratuur, point 29).

L’article 6, II, de la LCEN

L’article 6, II, de la LCEN, dans sa nouvelle rédaction, fait expressément référence aux conditions de conservation prévues par l’article L. 34-1 du code des postes et communications électroniques.

De même, le décret du 20 octobre 2021, qui abroge le décret n° 2011-219 du 25 février 2011, est expressément visé au dernier alinéa de l’article 6, II, de la LCEN.

Or, selon ce dernier alinéa, le décret « définit les données mentionnées au premier alinéa et détermine la durée et les modalités de leur conservation ». Il en résulte que « les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires » visées au premier alinéa de l’article 6, II, de la LCEN sont celles définies par le décret du 20 octobre 2021, avec les conditions et restrictions ci-dessus rappelées.

Dès lors, il résulte de la combinaison de ces dispositions légales et réglementaires que les hébergeurs ne sont tenus de communiquer, pour les besoins des procédures pénales, que les informations relatives à l’identité civile de l’utilisateur et les « autres informations fournies par lui lors de la souscription du contrat ou de la création du compte » ainsi que « les informations relatives au paiement », à l’exclusion des données techniques permettant d’identifier la source de la connexion ou de celles relatives aux équipements terminaux utilisés, notamment l’adresse IP.

Pour rappel, l’article 6, II, de la LCEN dispose, dans sa rédaction actuelle :

« Dans les conditions fixées aux II bis, III et III bis de l’article L. 34-1 du code des postes et des communications électroniques, les personnes mentionnées aux 1 et 2 du I du présent article détiennent et conservent les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires.

Elles fournissent aux personnes qui éditent un service de communication au public en ligne des moyens techniques permettant à celles-ci de satisfaire aux conditions d’identification prévues au III.

Un décret en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés, définit les données mentionnées au premier alinéa et détermine la durée et les modalités de leur conservation.

La nouvelle rédaction fait référence, à la différence de l’ancienne, aux conditions de détention et de conservation des données fixées aux II bis, III et III bis de l’article L. 34-1 du code des postes et des communications électroniques.

Ces articles prévoient que :

« II bis.-Les opérateurs de communications électroniques sont tenus de conserver :

1° Pour les besoins des procédures pénales, de la prévention des menaces contre la sécurité publique et de la sauvegarde de la sécurité nationale, les informations relatives à l’identité civile de l’utilisateur, jusqu’à l’expiration d’un délai de cinq ans à compter de la fin de validité de son contrat ;

2° Pour les mêmes finalités que celles énoncées au 1° du présent II bis, les autres informations fournies par l’utilisateur lors de la souscription d’un contrat ou de la création d’un compte ainsi que les informations relatives au paiement, jusqu’à l’expiration d’un délai d’un an à compter de la fin de validité de son contrat ou de la clôture de son compte ;

3° Pour les besoins de la lutte contre la criminalité et la délinquance grave, de la prévention des menaces graves contre la sécurité publique et de la sauvegarde de la sécurité nationale, les données techniques permettant d’identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés, jusqu’à l’expiration d’un délai d’un an à compter de la connexion ou de l’utilisation des équipements terminaux.

III.-Pour des motifs tenant à la sauvegarde de la sécurité nationale, lorsqu’est constatée une menace grave, actuelle ou prévisible, contre cette dernière, le Premier ministre peut enjoindre par décret aux opérateurs de communications électroniques de conserver, pour une durée d’un an, certaines catégories de données de trafic, en complément de celles mentionnées au 3° du II bis, et de données de localisation précisées par décret en Conseil d’Etat.

L’injonction du Premier ministre, dont la durée d’application ne peut excéder un an, peut être renouvelée si les conditions prévues pour son édition continuent d’être réunies. Son expiration est sans incidence sur la durée de conservation des données mentionnées au premier alinéa du présent III.

III bis.-Les données conservées par les opérateurs en application du présent article peuvent faire l’objet d’une injonction de conservation rapide par les autorités disposant, en application de la loi, d’un accès aux données relatives aux communications électroniques à des fins de prévention et de répression de la criminalité, de la délinquance grave et des autres manquements graves aux règles dont elles ont la charge d’assurer le respect, afin d’accéder à ces données ».

Le décret n° 2021-1362 du 20 octobre 2021 relatif à la conservation des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne, pris en application du II de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique dispose que :

« Article 1:

Le présent décret précise les obligations de conservation de données qui, en vertu du II de l’article 6 de la loi du 21 juin 2004 susvisée, incombent aux personnes mentionnées aux 1 et 2 du I du même article, dans les conditions prévues aux II bis, III et III bis de l’article L. 34-1 du code des postes et communications électroniques.

Article 2 :

Les informations relatives à l’identité civile de l’utilisateur, au sens du 1° du II bis de l’article L. 34-1 du code des postes et des communications électroniques, que les personnes mentionnées à l’article 1er sont tenues de conserver jusqu’à l’expiration d’un délai de cinq ans à compter de la fin de validité du contrat de l’utilisateur, sont les suivantes :

1° Les nom et prénom, la date et le lieu de naissance ou la raison sociale, ainsi que les nom et prénom, date et lieu de naissance de la personne agissant en son nom lorsque le compte est ouvert au nom d’une personne morale ;

2° La ou les adresses postales associées ;

3° La ou les adresses de courrier électronique de l’utilisateur et du ou des comptes associés le cas échéant ;

4° Le ou les numéros de téléphone.

Article 3 :

Les autres informations fournies par l’utilisateur lors de la souscription d’un contrat ou de la création d’un compte, mentionnées au 2° du II bis de l’article L. 34-1 du code des postes et des communications électroniques, que les personnes mentionnées à l’article 1er sont tenues de conserver jusqu’à l’expiration d’un délai d’un an à compter de la fin de validité du contrat de l’utilisateur ou de la clôture de son compte, sont les suivantes :

1° L’identifiant utilisé ;

2° Le ou les pseudonymes utilisés ;

3° Les données destinées à permettre à l’utilisateur de vérifier son mot de passe ou de le modifier, le cas échéant par l’intermédiaire d’un double système d’identification de l’utilisateur, dans leur dernière version mise à jour.

Article 4 :

Les informations relatives au paiement, mentionnées au 2° du II bis de l’article L. 34-1 du code des postes et des communications électroniques, que les personnes mentionnées à l’article 1er sont tenues de conserver, pour chaque opération de paiement, jusqu’à l’expiration d’un délai d’un an à compter de la fin de validité du contrat de l’utilisateur ou de la clôture de son compte, sont les suivantes :

1° Le type de paiement utilisé ;

2° La référence du paiement ;

3° Le montant ;

4° La date, l’heure et le lieu en cas de transaction physique.

Article 5 :

Les données techniques permettant d’identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés, mentionnées au 3° du II bis de l’article L. 34-1 du code des postes et des communications électroniques, que les personnes mentionnées à l’article 1er sont tenues de conserver jusqu’à l’expiration d’un délai d’un an à compter de la connexion ou de l’utilisation des équipements terminaux, sont les suivantes :

1° Pour les personnes mentionnées au 1 du I de l’article 6 de la loi du 21 juin 2004 susvisée et pour chaque connexion de leurs abonnés :

a) L’identifiant de la connexion ;

b) L’identifiant attribué par ces personnes à l’abonné ;

c) L’adresse IP attribuée à la source de la connexion et le port associé ;

2° Pour les personnes mentionnées au 2 du I de l’article 6 de la loi du 21 juin 2004 susvisée et pour chaque opération de création d’un contenu telle que définie à l’article 6 :

a) L’identifiant de la connexion à l’origine de la communication ;

b) Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus.

Le délai mentionné au premier alinéa du présent article court à compter du jour de la connexion ou de la création d’un contenu, pour chaque opération contribuant à cette création ».

Laisser un commentaire

Your email address will not be published.

Please fill the required fields*