Les intermédiaires ont une obligation de conservation des données de connexion des internautes et utilisateurs de leurs services, afin de pouvoir les communiquer aux magistrats ou aux services enquêteurs ou de renseignement compétents.
Les nouvelles règles de conservation des données de connexion résultent de trois décrets datés du 20 octobre 2021 :
- 2021-1361 relatif aux catégories de données conservées par les opérateurs de communications électroniques, dont le contenu est rattaché aux dispositions de l’article L.34-1 du CPCE ;
- 2021-1362 relatif à la conservation des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne, dont les dispositions vise les règles prévues par l’article 6 de la LCEN, loi pour la confiance dans l’économie numérique ;
- 2021-1363 portant injonction, au regard de la menace grave et actuelle contre la sécurité nationale, de conservation pour une durée d’un an de certaines catégories de données de connexion
Les arrêts de la CJUE du 6 octobre 2020 sur la conservation des données de connexion
La publication de ces décrets s’inscrit dans le prolongement des arrêts de la CJUE du 6 octobre 2020 (affaires jointes C-511/18, C-512/18, C-520/18, et affaire C-623/17 ).
La CJUE y précise que l’obligation de conservation des données de manière généralisée n’est admise que si elle est cumulativement :
- temporellement limitée au strict nécessaire ;
- justifiée par une menace grave pour la sécurité nationale, qui s’avère réelle, actuelle ou prévisible ;
- opérée sous le contrôle effectif d’une juridiction ou d’une autorité administrative indépendante, dont la décision est dotée d’un effet contraignant.
La décision du Conseil d’État du 21 avril 2021
La question de la conservation de ces données, a également fait l’objet d’une décision du Conseil d’État du 21 avril 2021, qui s’articule autour de cinq éléments :
- le niveau actuel de menace pour la sécurité nationale, qui justifie la conservation généralisée et indifférenciée des données de connexion ;
- le réexamen périodique de cette menace par le Gouvernement, sous le contrôle du juge administratif ;
- la conservation généralisée des données (autres que celles sur l’identité), considérée illégale pour tout autre type de menaces ;
- la prise en considération du niveau de gravité des infractions ;
- enfin, le Conseil d’État proposait une réforme de la législation française, visant un contrôle par une autorité indépendante.
Les nouvelles règles visant les données des utilisateurs de réseaux et services
Le décret 2021-1361 concerne la conservation des données de connexion dans le cadre des dispositions de l’article L.34-1 du CPCE.
Son article 2 précise que les « données de trafic et de localisation » « s’entendent des informations rendues disponibles par les procédés de communication électronique, susceptibles d’être enregistrées par l’opérateur à l’occasion des communications électroniques dont il assure la transmission ».
L’article 3 fournit la liste des informations relatives à l’identité civile de l’utilisateur que les opérateurs doivent conserver. Il modifie en ce sens le texte de l’article R10-13 du CPCE.
Outre les coordonnées de l’utilisateur, le décret vise notamment :
- les pseudonymes ;
- les données destinées à permettre à l’utilisateur de vérifier son mot de passe ou de le modifier, le cas échéant par l’intermédiaire d’un double système d’identification de l’utilisateur ;
- les informations relatives aux paiements qu’il réalise ;
- l’adresse IP attribuée à la source de la connexion et le port associé ;
- les opérations effectuées à l’aide de téléphones mobiles, les données permettant d’identifier la localisation de la communication.
Les nouvelles règles visant les données de toute personne ayant contribué à la création d’un contenu en ligne
Le décret 2021-1362 concerne la conservation des données de connexion dans le cadre de l’article 6 de la LCEN.
Ce décret précise que la « contribution à une création de contenu » comprend les opérations relatives à la :
- création initiale d’un contenu,
- modification de contenu ou des données qui y sont rattachées,
- suppression des contenus.
Il précise que les intermédiaires techniques doivent conserver :
- pendant une durée de cinq ans « à compter de la fin de validité du contrat de l’utilisateur », les informations relatives à l’identité civile de l’utilisateur ;
- pendant une durée d’un an « à compter de la fin de validité du contrat de l’utilisateur ou de la clôture de son compte », les « autres informations fournies par l’utilisateur lors de la souscription d’un contrat ou de la création d’un compte » ;
- pour chaque opération de paiement, « jusqu’à l’expiration d’un délai d’un an à compter de la fin de validité du contrat de l’utilisateur ou de la clôture de son compte », les informations relatives au paiement ;
- jusqu’à l’expiration d’un délai d’un an « à compter de la connexion ou de l’utilisation des équipements terminaux », les « données techniques permettant d’identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés » ;
- pendant une durée d’un an « en cas d’injonction du Premier ministre » les « catégories de données de trafic et de localisation ».
Le décret dresse la liste détaillée des données, comprise dans chacune des sous catégories de données ci-dessus énumérées.
Les nouvelles règles visant la conservation des données de connexion au regard de la sécurité nationale
Le décret 2021-1363 concerne la conservation des données aux fins de la sauvegarde de la sécurité nationale.
A cette fin, le décret enjoint aux opérateurs et intermédiaires de conserver durant un an, les données de trafic et de localisation des utilisateurs et internautes.
Nos avocats peuvent vous accompagner, n’hésitez pas à nous contacter : paris@lexing.law.
Frédéric Forster
Lexing Pôle Télécoms
Raphaël Liotier
Lexing Contentieux numérique