(verbatim)
Attention à ce que vous écrivez sur Internet : on veille sur vous !
Décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne
JORF n°0050 du 1 mars 2011 page 3643
texte n° 32
DECRET
Décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne
NOR: JUSD0805748D
Le Premier ministre,
Sur le rapport du garde des sceaux, ministre de la justice et des libertés, du ministre de l'intérieur, de l'outre-mer, des collectivités territoriales et de l'immigration et de la ministre de l'économie, des finances et de l'industrie,
Vu le code pénal ;
Vu le code de procédure pénale ;
Vu le code des postes et des communications électroniques ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu la loi n° 2004-575 du 21 juin 2004 modifiée pour la confiance dans l'économie numérique, et notamment ses articles 6, 57 et 58 ;
Vu la loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers, notamment son article 33 ;
Vu l'avis de la Commission nationale de contrôle des interceptions de sécurité en date du 22 novembre 2007 ;
Vu l'avis de la Commission nationale de l'informatique et des libertés en date du 20 décembre 2007 ;
Vu l'avis de l'Autorité de régulation des communications électroniques et des postes du 13 mars 2008 ;
Le Conseil d'Etat (section de l'intérieur) entendu,
Décrète :
CHAPITRE IER : DISPOSITIONS RELATIVES AUX REQUISITIONS JUDICIAIRES PREVUES PAR LE II DE L'ARTICLE 6 DE LA LOI N° 2004 575 DU 21 JUIN 2004
Article 1
Les données mentionnées au II de l'article 6 de la loi du 21 juin 2004 susvisée, que les personnes sont tenues de conserver en vertu de cette disposition, sont les suivantes :
1° Pour les personnes mentionnées au 1 du I du même article et pour chaque connexion de leurs abonnés :
a) L'identifiant de la connexion ;
b) L'identifiant attribué par ces personnes à l'abonné ;
c) L'identifiant du terminal utilisé pour la connexion lorsqu'elles y ont accès ;
d) Les dates et heure de début et de fin de la connexion ;
e) Les caractéristiques de la ligne de l'abonné ;
2° Pour les personnes mentionnées au 2 du I du même article et pour chaque opération de création :
a) L'identifiant de la connexion à l'origine de la communication ;
b) L'identifiant attribué par le système d'information au contenu, objet de l'opération ;
c) Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus ;
d) La nature de l'opération ;
e) Les date et heure de l'opération ;
f) L'identifiant utilisé par l'auteur de l'opération lorsque celui-ci l'a fourni ;
3° Pour les personnes mentionnées aux 1 et 2 du I du même article, les informations fournies lors de la souscription d'un contrat par un utilisateur ou lors de la création d'un compte :
a) Au moment de la création du compte, l'identifiant de cette connexion ;
b) Les nom et prénom ou la raison sociale ;
c) Les adresses postales associées ;
d) Les pseudonymes utilisés ;
e) Les adresses de courrier électronique ou de compte associées ;
f) Les numéros de téléphone ;
g) Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour ;
4° Pour les personnes mentionnées aux 1 et 2 du I du même article, lorsque la souscription du contrat ou du compte est payante, les informations suivantes relatives au paiement, pour chaque opération de paiement :
a) Le type de paiement utilisé ;
b) La référence du paiement ;
c) Le montant ;
d) La date et l'heure de la transaction.
Les données mentionnées aux 3° et 4° ne doivent être conservées que dans la mesure où les personnes les collectent habituellement.
Article 2
La contribution à une création de contenu comprend les opérations portant sur :
a) Des créations initiales de contenus ;
b) Des modifications des contenus et de données liées aux contenus ;
c) Des suppressions de contenus.
Article 3
La durée de conservation des données mentionnées à l'article 1er est d'un an :
a) S'agissant des données mentionnées aux 1° et 2°, à compter du jour de la création des contenus, pour chaque opération contribuant à la création d'un contenu telle que définie à l'article 2 ;
b) S'agissant des données mentionnées au 3°, à compter du jour de la résiliation du contrat ou de la fermeture du compte ;
c) S'agissant des données mentionnées au 4°, à compter de la date d'émission de la facture ou de l'opération de paiement, pour chaque facture ou opération de paiement.
Article 4
La conservation des données mentionnées à l'article 1er est soumise aux prescriptions de la loi du 6 janvier 1978 susvisée, notamment les prescriptions prévues à l'article 34, relatives à la sécurité des informations.
Les conditions de la conservation doivent permettre une extraction dans les meilleurs délais pour répondre à une demande des autorités judiciaires.
CHAPITRE II : DISPOSITIONS RELATIVES AUX DEMANDES ADMINISTRATIVES PREVUES PAR LE II BIS DE L'ARTICLE 6 DE LA LOI N° 2004 575 DU 21 JUIN 2004
Article 5
Les agents mentionnés au premier alinéa du II bis de l'article 6 de la loi du 21 juin 2004 susvisée sont désignés par les chefs des services de police et de gendarmerie nationales chargés des missions de prévention des actes de terrorisme, dont la liste est fixée par l'arrêté prévu à l'article 33 de la loi du 23 janvier 2006 susvisée. Ils sont habilités par le directeur général ou central dont ils relèvent.
Article 6
Les demandes de communication de données d'identification, conservées et traitées en application du II bis de l'article 6 de la loi du 21 juin 2004 susvisée, comportent les informations suivantes :
a) Le nom, le prénom et la qualité du demandeur, ainsi que son service d'affectation et l'adresse de celui-ci ;
b) La nature des données dont la communication est demandée et, le cas échéant, la période intéressée ;
c) La motivation de la demande.
Article 7
Les demandes sont transmises à la personnalité qualifiée instituée à l'article L. 34-1-1 du code des postes et des communications électroniques.
Ces demandes ainsi que les décisions de la personnalité qualifiée sont enregistrées et conservées pendant une durée maximale d'un an dans un traitement automatisé mis en œuvre par le ministère de l'intérieur.
Article 8
Les demandes approuvées par la personnalité qualifiée sont adressées, sans les éléments mentionnés aux a et c de l'article 6, par un agent désigné dans les conditions prévues à l'article 5 aux personnes mentionnées aux 1 et 2 du I de l'article 6 de la loi du 21 juin 2004 susvisée, lesquelles transmettent sans délai les données demandées à l'auteur de la demande.
Les transmissions prévues à l'alinéa précédent sont effectuées selon des modalités assurant leur sécurité, leur intégrité et leur suivi, définies par une convention conclue avec le prestataire concerné ou, à défaut, par un arrêté conjoint du ministre de l'intérieur et du ministre chargé de l'industrie.
Les données fournies par les personnes mentionnées aux 1 et 2 du I de l'article 6 de la loi du 21 juin 2004 susvisée sont enregistrées et conservées pendant une durée maximale de trois ans dans des traitements automatisés mis en œuvre par le ministère de l'intérieur et le ministère de la défense.
Article 9
Une copie de chaque demande est transmise, dans un délai de sept jours à compter de l'approbation de la personnalité qualifiée, à la Commission nationale de contrôle des interceptions de sécurité. Un arrêté du ministre de l'intérieur, pris après avis de celle-ci, définit les modalités de cette transmission.
La commission peut, en outre, à tout moment, avoir accès aux données enregistrées dans les traitements automatisés mentionnés aux articles 7 et 8. Elle peut également demander des éclaircissements sur la motivation des demandes approuvées par la personnalité qualifiée.
Article 10
Les surcoûts identifiables et spécifiques supportés par les personnes mentionnées aux 1 et 2 du I de l'article 6 de la loi du 21 juin 2004 susvisée pour la fourniture des données prévue par l'article II bis du même article font l'objet d'un remboursement par l'Etat par référence aux tarifs et selon des modalités fixés par un arrêté conjoint du ministre de l'intérieur et du ministre chargé du budget.
CHAPITRE III : DISPOSITIONS DIVERSES
Article 11
A l'article R. 10-19 du code des postes et des communications électroniques, les mots : « sans leur motivation » sont remplacés par les mots : « sans les éléments mentionnés aux a et c de l'article R. 10-17 ».
Article 12
Les dispositions du présent décret sont applicables sur tout le territoire de la République à l'exception des dispositions des articles 1er à 4, 10 et 11 qui ne sont pas applicables dans les Terres australes et antarctiques françaises.
Article 13
Le garde des sceaux, ministre de la justice et des libertés, le ministre de l'intérieur, de l'outre-mer, des collectivités territoriales et de l'immigration, la ministre de l'économie, des finances et de l'industrie et le ministre du budget, des comptes publics, de la fonction publique et de la réforme de l'Etat, porte-parole du Gouvernement, sont chargés, chacun en ce qui le concerne, de l'exécution du présent décret, qui sera publié au Journal officiel de la République française.
Fait le 25 février 2011.
François Fillon
Par le Premier ministre :
Le garde des sceaux,
ministre de la justice et des libertés,
Michel Mercier
Le ministre de l'intérieur,
de l'outre-mer, des collectivités territoriales
et de l'immigration,
Brice Hortefeux
La ministre de l'économie,
des finances et de l'industrie,
Christine Lagarde
Le ministre du budget, des comptes publics,
de la fonction publique et de la réforme de l'Etat,
porte-parole du Gouvernement,
François Baroin
Délibération n°2007-391 du 20 décembre 2007 portant avis sur le projet de décret pris pour l’application de l’article 6 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, et relatif à la conservation des données de nature à permettre l’identification de toute personne physique ou morale ayant contribué à la création d’un contenu mis en ligne
20 Décembre 2007 - Thème(s) : Internet
(saisine n°07021634)
La Commission nationale de l’informatique et des libertés ;
Saisie pour avis par le ministère de la justice d’un projet de décret en Conseil d’Etat pris pour l’application de l’article 6 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, et relatif à la conservation des données de nature à permettre l’identification de toute personne physique ou morale ayant contribué à la création d’un contenu mis en ligne ;
Vu la Convention n°108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée ;
Vu la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique ;
Vu la loi n°2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifié par le décret n°2007-451 du 25 mars 2007 ;
Vu le décret n°2006-1651 du 22 décembre 2006 pris pour l'application du I de l'article 6 de la loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers ;
Vu la délibération n°2006-219 de la CNIL du 28 septembre 2006 portant avis sur le projet de décret pris pour l’application des I et II de l’article 6 de la loi n°2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers ;
Après avoir entendu M. Didier GASSE, commissaire, en son rapport, et Mme Pascale COMPAGNIE, commissaire du Gouvernement, en ses observations ;
Emet l’avis suivant :
Le ministère de la justice a saisi pour avis la Commission nationale de l’informatique et des libertés, le 24 septembre 2007, d’un projet de décret pris pour l’application des II et II bis de l’article 6 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN).
Les dispositions des II et II bis de l'article 6 de la LCEN prévoient deux types d'obligations :
*Au titre du II, l’obligation pour les fournisseurs d’accès à internet et les fournisseurs d’hébergement de détenir, conserver les données de nature à permettre l’identification de toute personne physique ou morale ayant contribué à la création d’un contenu mis en ligne ;
*Au titre du II bis, l'obligation de mise à disposition de ces données aux agents individuellement désignés et dûment habilités des services de police et de gendarmerie nationales en charge de la lutte contre le terrorisme.
Elles renvoient à un décret les modalités d'application de ces obligations. C'est l'objet du projet de décret, qui reprend les deux points ci-dessus dans ses deux premiers chapitres :
-le chapitre 1er définit les données permettant l’identification des personnes ayant contribué à la création d’un -contenu mis en ligne et détermine la durée ainsi que les modalités de leur conservation ;
-le chapitre 2nd fixe les modalités de mise à disposition de ces données aux autorités en charge de la lutte contre le terrorisme.
Observations préliminaires
Alors que, selon le principe de finalité, les catégories de données collectées et leur durée de conservation doivent être justifiées par l’objectif poursuivi par le responsable de traitement et pour ce seul traitement, le II de l'article 6 de la LCEN, permet d’y déroger : en effet, il introduit un principe général de rétention des données aux fins exclusives de permettre l’identification par l’autorité judiciaire des personnes ayant contribué à la création d’un contenu mis en ligne. Le II bis étend cette possibilité aux services de police et de gendarmerie nationales en charge de la lutte contre le terrorisme.
De même, la Commission relève que les FAI sont soumis à une double obligation de rétention des données d’une part, au titre du II de l’article 6 de la LCEN, d’autre part, au titre de l’article L. 34-1 du Code des postes et des communications électroniques en tant qu’opérateurs de communications électroniques.
Enfin, la Commission observe que tant les textes législatifs que les débats parlementaires ou la jurisprudence ne permettent pas d’établir une définition claire des catégories de personnes soumises à l’obligation de rétention des données prévue par la LCEN et le Code des postes et des communications électroniques. Il résulte de cette situation une insécurité juridique préjudiciable à la protection de la vie privée et des données à caractère personnel des internautes.
Observations relatives à la définition des données permettant l’identification des personnes et aux modalités de leur conservation (chapitre 1er du projet de décret - application du II de l'article 6 de la LCEN)
Sur les catégories de données à conserver (article 1er du projet de décret)
Le rapport au Premier ministre accompagnant le projet de décret comporte une étude d’impact qui indique que les données devant être conservées « ne doivent porter que sur les personnes physiques ou morales ayant contribué à la création d’un contenu mis en ligne par un fournisseur ou un hébergeur d’accès Internet, à l’exclusion de toute information relative aux contenus eux-mêmes ».
La Commission estime essentiel que cette garantie soit reprise en l’état dans le texte du projet de décret.
Les obligations afférentes aux catégories de données à conserver diffèrent selon qu’il s’agit des fournisseurs d’accès à internet ou des hébergeurs.
Aux termes du 1°) de l’article 1 du projet de décret, les fournisseurs d’accès à internet (FAI) doivent conserver pour chaque connexion de l’abonné à l’origine de la création des contenus :
-l’identifiant de la connexion ;
-l’identifiant attribué par le FAI à l’abonné ;
-l’identifiant du terminal utilisé pour la connexion ;
-les dates et heure de début et de fin de la connexion ;
-les caractéristiques de la ligne de l’abonné.
La notion « d’identifiant » utilisée est imprécise. Dans chacun des cas envisagés par le projet de décret la nature des données qui seront associées à ce terme peut varier en fonction des éléments de contexte techniques. Ainsi, « l’identifiant attribué par le FAI à l’abonné » ne renverra pas aux mêmes types de données selon que l’on se trouve dans le cadre d’une connexion internet par ADSL ou par WIFI gratuit. De même, « l’identifiant du terminal utilisé pour la connexion » peut correspondre à des informations différentes en fonction de la nature du terminal utilisé (analogique ou numérique). Il en résulte que la transposition à divers scénarios des notions d’identifiant employées risque de générer des ambiguïtés ou des redondances avec d’autres termes utilisés par les fournisseurs d’accès à internet.
La Commission considère que le projet de décret doit indiquer explicitement la nature des identifiants concernés de façon à ce que les FAI mesurent précisément l'obligation qui leur est imposée dès lors que le non-respect de cette obligation est sanctionnée pénalement d'un an d'emprisonnement et de 75 000 euros d'amende en application du 2°) du VI de l’article 6 de la LCEN.
Aux termes du 2°) de l’article 1, les fournisseurs d'hébergement doivent conserver pour chaque opération de création de contenus :
-l’identifiant de la connexion à l’origine de la communication ;
-l’identifiant attribué par le système d’information au contenu, objet de l’opération ;
-la mention du type de protocoles utilisés pour la connexion au service et pour le transfert des contenus ;
-la nature de l’opération ;
-les date et heure de l’opération ;
-l’identifiant utilisé par l’auteur de l’opération.
La Commission observe que de très nombreux services d’édition de contenu en ligne ne nécessitent pas de procéder à l’identification préalable de l’auteur pour lui permettre d’accéder aux prestations proposées. Il en résulte qu’en pratique la catégorie de donnée relative à « l’identifiant utilisé par l’auteur de l’opération » n’existe pas toujours. C’est le cas par exemple, des commentaires laissés sur une page personnelle ou un forum de discussion qui peuvent s’effectuer de manière anonyme.
La Commission prend acte de l’engagement du ministère de la justice à modifier le projet de décret de façon à ce qu’il précise que les fournisseurs d’hébergement ne devront conserver l’identifiant utilisé par l’auteur de l’opération que si celui-ci en a fourni un.
Enfin les 3°) et 4°) de l’article 1 définissent les informations devant être conservées par les FAI et les fournisseurs d’hébergement lors de la souscription d’un contrat par un utilisateur ou lors de la création d’un compte. Ces mêmes dispositions déterminent les informations relatives au paiement devant être conservées lorsque le service est payant (type de paiement, référence du paiement, montant ainsi que date et heure). A cette occasion, le projet indique que ces informations ne doivent être conservées que dans la mesure où elles sont habituellement collectées par les FAI et les fournisseurs d'hébergement.
S’agissant des informations relatives au paiement, la Commission s’interroge sur la pertinence de la conservation du montant des transactions au regard de l’objet du II de l’article 6 de la LCEN dans la mesure où cette donnée ne permet pas, a priori, de procéder à l’identification d’une personne ayant contribué à la création de contenus.
La Commission souhaite également préciser qu’en aucun cas le numéro de carte bancaire n’est susceptible d’être utilisé pour servir de référence. Elle rappelle à cet égard que, conformément à la position exprimée dans sa délibération n° 03-034 du 19 juin 2003 portant adoption d'une recommandation relative au stockage et à l’utilisation du numéro de carte bancaire dans le secteur de la vente à distance, la durée de conservation d’un numéro de carte bancaire ne saurait excéder le délai nécessaire à la réalisation de la transaction.
Sur les modalités de conservation des données (article 3 du projet de décret)
Le projet de décret indique que les modalités de conservation des données doivent s’effectuer :
-dans le respect des dispositions de la loi du 6 janvier 1978 modifiée en août 2004, et notamment son article 34 relatif à la sécurité des données ;
-dans les conditions garantissant une extraction dans les meilleurs délais pour répondre à une demande des autorités judiciaires.
La Commission relève qu’une simple référence à la nécessité de respecter la loi « informatique et libertés » et de garantir une extraction rapide des données ne permet pas de satisfaire aux exigences du II de l’article 6 de la LCEN qui prévoit que les modalités de conservation des données sont définies par décret.
De même, elle s’interroge sur la portée d'une obligation qui tend à imposer aux FAI et aux hébergeurs de mettre en œuvre des mesures garantissant une extraction des données « dans les meilleurs délais ».
En l'état, les dispositions de l'article 3 du projet de décret apparaissent insuffisantes et source d'insécurité juridique pour les FAI et fournisseurs d'hébergement.
Observations relatives aux modalités de mise à disposition des données aux autorités en charge de la lutte contre le terrorisme (chapitre II du projet de décret - application du II bis de l'article 6 de la LCEN)
Sur le traitement des demandes par le ministère de l’intérieur
L’article 6 du projet de décret dispose, , que les demandes administratives sont transmises à la personnalité qualifiée placée auprès du ministère de l’intérieur et désignée par la Commission nationale de contrôle des interceptions de sécurité (CNIS) conformément à l’article L. 34-1-1 du Code des postes et des communications électroniques (CPCE).
Il prévoit également que les demandes et les décisions de la personnalité qualifiée précitée seront enregistrées et conservées pendant une durée maximale d’un an dans un traitement automatisé mis en œuvre par le ministère de l’intérieur.
La Commission rappelle qu’un dossier de formalités préalables, relatif à la mise en œuvre de ces traitements, devra lui être adressé.
Sur les modalités de transmission des données
L’article 7 du projet de décret dispose que les demandes approuvées par la personnalité qualifiée sont adressées aux FAI et aux hébergeurs, sans les éléments relatifs à l’identité du demandeur (nom, prénom et qualité du demandeur, service d’affectation et adresse).
Cet article dispose également que les données sont transmises selon des modalités assurant leur sécurité, leur intégrité et leur suivi, définies par une convention conclue avec le prestataire concerné ou, à défaut, par un arrêté.
La Commission prend acte que, comme s’y est engagé le ministère de la justice, le dispositif permettant la transmission des demandes :
-d’une part, permettra aux FAI et hébergeurs de s’assurer que la requête qui leur est transmise a bien été approuvée par la personnalité qualifiée visée à l’article L. 34-1-1 du CPCE ;
-d’autre part, garantira l’authenticité des approbations ainsi que leur intégrité.
De même, il conviendrait d’indiquer que seuls les employés individuellement désignés des services en charge de ces demandes chez les FAI et les hébergeurs ont accès aux demandes administratives de communication des données.
En outre, s’agissant de la nature du texte dans lequel devraient être fixées les modalités de sécurisation des transmissions, si la voie réglementaire devait être retenue, la Commission demande à en être de nouveau saisie pour avis. Si, en revanche, était confirmé le renvoi à une convention entre le ministère de l’intérieur et les prestataires, opérateurs ou fournisseurs d’accès du soin de déterminer des éléments aussi importants que la définition des mesures de sécurité appliquées au traitement de données concerné, la Commission demande que le projet de convention, et non sa copie déjà signée, lui soit soumis pour avis, en même temps que le dossier de formalités préalables afférent.
La Commission souhaite que le projet de décret précise que les données seront transmises par des employés individuellement désignés et appartenant aux services en charge des demandes de communication de données des prestataires concernés.
Enfin, l’article 7 dispose que les données transmises seront enregistrées et conservées pendant une durée de trois ans dans des traitements automatisés mis en œuvre par le ministère de l’intérieur et le ministère de la défense.
La Commission rappelle qu’un dossier de formalités préalables, relatif à la mise en œuvre de ces traitements, devra lui être adressé et demande que le projet de décret précise que :
le ministère de l’intérieur et le ministère de la défense ne seront destinataires et ne conserveront dans les traitements précités que des données correspondant aux demandes qu’ils auront respectivement introduites ;
le traitement des données communiquées par les FAI et hébergeurs aura pour unique objet la conservation et la consultation et ne sera par interconnecté ou rapproché avec d’autres traitements y compris ceux résultant du décret n° 2006-1651 du 22 décembre.
Le président,
Alex TÜRK
