Décret LCEN - La CNIL publie son avis sur le décret relatif à la conservation d’informations par les hébergeurs et les Fournisseurs d’Accès Internet (FAI)

Informations pour votre compte
Authentification
Visiteurs : 3057 (2 par jour)
Info Vie Pratique N°797-2020

Décret LCEN - La CNIL publie son avis sur le décret relatif à la conservation d’informations par les hébergeurs et les Fournisseurs d’Accès Internet (FAI)

Commentaires

Le décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne a été publié hier au Journal Officiel sans l’avis de la CNIL rendu le 20 décembre 2007. Cet avis a été rendu sur le fondement de l’article 11-4°a) de la loi informatique et libertés. Dans ce cas, l’avis de la CNIL n’est pas systématiquement publié. Notre Commission a décidé de publier cet avis sur son site.

Intéressant que la Cnil décide de publier son avis sur son site…

Cf Décret LCEN sur les logs services Internet - La question du stockage des mots de passe fait débat


Spécificités

  • Observations préliminaires
    • « Alors que, selon le principe de finalité, les catégories de données collectées et leur durée de conservation doivent être justifiées par l’objectif poursuivi par le responsable de traitement et pour ce seul traitement, le II de l’article 6 de la LCEN, permet d’y déroger : en effet, il introduit un principe général de rétention des données aux fins exclusives de permettre l’identification par l’autorité judiciaire des personnes ayant contribué à la création d’un contenu mis en ligne. Le II bis étend cette possibilité aux services de police et de gendarmerie nationales en charge de la lutte contre le terrorisme. »
    • « De même, la Commission relève que les FAI sont soumis à une double obligation de rétention des données d’une part, au titre du II de l’article 6 de la LCEN, d’autre part, au titre de l’article L. 34-1 du Code des postes et des communications électroniques en tant qu’opérateurs de communications électroniques. »
    • « Enfin, la Commission observe que tant les textes législatifs que les débats parlementaires ou la jurisprudence ne permettent pas d’établir une définition claire des catégories de personnes soumises à l’obligation de rétention des données prévue par la LCEN et le Code des postes et des communications électroniques. Il résulte de cette situation une insécurité juridique préjudiciable à la protection de la vie privée et des données à caractère personnel des internautes. »
  • Sur les catégories de données à conserver (article 1er du projet de décret)
    • "Le rapport au Premier ministre accompagnant le projet de décret comporte une étude d’impact qui indique que les données devant être conservées « ne doivent porter que sur les personnes physiques ou morales ayant contribué à la création d’un contenu mis en ligne par un fournisseur ou un hébergeur d’accès Internet, à l’exclusion de toute information relative aux contenus eux-mêmes ».
      La Commission estime essentiel que cette garantie soit reprise en l’état dans le texte du projet de décret."
    • « La notion « d’identifiant » utilisée est imprécise. Dans chacun des cas envisagés par le projet de décret la nature des données qui seront associées à ce terme peut varier en fonction des éléments de contexte techniques. »
    • « La Commission considère que le projet de décret doit indiquer explicitement la nature des identifiants concernés de façon à ce que les FAI mesurent précisément l’obligation qui leur est imposée dès lors que le non-respect de cette obligation est sanctionnée pénalement d’un an d’emprisonnement et de 75 000 euros d’amende en application du 2°) du VI de l’article 6 de la LCEN. »
    • « La Commission prend acte de l’engagement du ministère de la justice à modifier le projet de décret de façon à ce qu’il précise que les fournisseurs d’hébergement ne devront conserver l’identifiant utilisé par l’auteur de l’opération que si celui-ci en a fourni un. »
    • "S’agissant des informations relatives au paiement, la Commission s’interroge sur la pertinence de la conservation du montant des transactions au regard de l’objet du II de l’article 6 de la LCEN dans la mesure où cette donnée ne permet pas, a priori, de procéder à l’identification d’une personne ayant contribué à la création de contenus.
      La Commission souhaite également préciser qu’en aucun cas le numéro de carte bancaire n’est susceptible d’être utilisé pour servir de référence. Elle rappelle à cet égard que, conformément à la position exprimée dans sa délibération n° 03-034 du 19 juin 2003 portant adoption d’une recommandation relative au stockage et à l’utilisation du numéro de carte bancaire dans le secteur de la vente à distance, la durée de conservation d’un numéro de carte bancaire ne saurait excéder le délai nécessaire à la réalisation de la transaction."
  • Sur les modalités de conservation des données (article 3 du projet de décret)
    • « En l’état, les dispositions de l’article 3 du projet de décret apparaissent insuffisantes et source d’insécurité juridique pour les FAI et fournisseurs d’hébergement. »
  • Sur le traitement des demandes par le ministère de l’intérieur
    • « La Commission rappelle qu’un dossier de formalités préalables, relatif à la mise en œuvre de ces traitements, devra lui être adressé. »
  • Sur les modalités de transmission des données
    • « La Commission souhaite que le projet de décret précise que les données seront transmises par des employés individuellement désignés et appartenant aux services en charge des demandes de communication de données des prestataires concernés. »

Coordonnées pour contact

Contact CNIL

Lien proposé : Délibération n°2007-391 du 20 décembre 2007 portant avis sur le projet de décret pris pour l’application de l’article 6 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, et relatif à la conservation des donn

par Redaction Wirkers le 5 mars 2011
Suite à donner
    Laisser un commentaire