Avocat associé, Clifford Chance |
|
|
|
Depuis l'adoption de la Loi pour la Confiance dans l'Economie Numérique (LCEN) le 21 juin 2004, un seul décret d'application relatif à l'archivage des contrats électroniques a été adopté. Le décret du 16 février 2005 prévoit en effet que les contrats électroniques d'un montant supérieur ou égal à 120 euros devront être conservés pendant dix ans. Un second décret, en cours de préparation, précisera les contours de l'obligation des fournisseurs d'accès à Internet et d'hébergement de détenir et conserver les données d'identification et de connexion des "créateurs de contenu" faisant appel à leurs services.
Cette obligation est née de la volonté
du législateur d'enrayer l'augmentation des
infractions commises sur Internet n'ayant pas donné
lieu à des poursuites du fait de l'anonymat
de leur auteur favorisé par ce nouveau médium.
La loi du 1er août 2000 avait ainsi introduit
un nouvel article 43-9 dans la loi du 30 septembre
1986 relative à la liberté de la communication,
imposant aux fournisseurs d'accès à
Internet et d'hébergement de détenir
et de conserver les données permettant l'identification
de toute personne ayant contribué à
la création d'un contenu ou de l'un des contenus
des services dont ils sont prestataires. Cette obligation
a été reprise à l'article 6
II de la LCEN.
Aux termes de cet article, les fournisseurs d'accès Internet et d'hébergement doivent mettre en place les moyens techniques permettant aux personnes qui éditent un service de communication en ligne de s'identifier. Cet article prévoit également que l'autorité judiciaire peut requérir la communication de ces données. L'objet du projet de décret est donc de définir quelles données doivent être conservées et pour quelle durée.
Ce projet prévoit que les données que les fournisseurs d'accès à Internet et d'hébergement doivent conserver sont les nom, prénom, numéro de téléphone, adresse, adresse de courrier électronique et "adresses associées" ainsi que le mot de passe et toutes les "informations associées", les adresses IP de création et de modification des contenus, les date et heure de création et de modification des contenus et, enfin, le mode de paiement pour les souscriptions payantes. Ces données devront être conservées pour une durée d'un an dans des conditions conformes aux dispositions de la loi n°78-17 du 6 janvier 1978 modifiée, "Informatique et Libertés".
Des interrogations soulevées
Ce projet de décret, et plus largement l'article
6 II de la LCEN, suscitent plusieurs interrogations.
1. Quels sont exactement les fournisseurs d'accès et d'hébergement visés par ce texte ? Ces fonctions font actuellement l'objet d'une interprétation assez extensive. Un arrêt du 4 février 2005 de la Cour d'Appel de Paris a, par exemple, considéré qu'une entreprise fournissant des services Internet à ses salariés, en l'espèce une banque, pouvait être qualifiée de fournisseur d'accès à Internet.
2. A ce stade, le projet ne fait aucune distinction entre le type de données devant être conservées par les FAI, d'une part, et les hébergeurs, d'autre part. Or, il est évident que l'ensemble des données visées par ce texte ne sont pas accessibles par chacun d'entre eux.
3. Certains termes du projet de décret mériteraient d'être clarifiés, notamment en ce qui concerne les informations que les prestataires devraient fournir. Il est en effet prévu à l'article 1-3 que soient conservées toutes "adresses associées" et "informations associées". Que recouvrent-elles exactement ?
4. Certaines données devant être conservées aux termes de ce projet (pour les prestataires concernés) semblent se recouper avec celles du décret du 16 février 2005 (par exemple, pour les souscriptions payantes). Il conviendra donc d'être vigilant sur l'articulation de ces différents textes.
5. Bien que l'obligation de conservation des données ne soit pas nouvelle, la durée de conservation n'est pas nécessairement aujourd'hui d'un an chez les prestataires techniques. Ce décret entraînera donc pour eux une augmentation des coûts (nouveaux serveurs, développements informatiques, etc.). Qui les supportera ? Est-ce aux prestataires de supporter cette surenchère sécuritaire ?
6. L'entrée en vigueur d'un décret étant immédiate au jour de sa publication au Journal Officiel, ces entreprises risquent de ne pas pouvoir s'adapter à temps. Le rajout d'un article prévoyant une date d'entrée en vigueur différée ne serait-il pas opportun ?
La fin de l'anonymat sur Internet est ainsi annoncée.
Ce débat ne doit pas faire oublier celui
du caractère exploitable des données
recueillies et conservées. Les fournisseurs
d'accès à Internet et d'hébergement
doivent-ils s'assurer de l'exactitude des données
fournies par les créateurs de contenu ? Dans
un arrêt récent du 16 février
2005, le TGI de Paris semble répondre positivement
à cette question. En effet, un hébergeur
a été condamné à verser
des dommages-intérêts pour ne pas avoir
respecté l'obligation de détenir et
conserver des données permettant d'identifier
le créateur d'un contenu utilisant ses service,s
car les informations obtenues étaient fantaisistes
et, partant, inexploitables. Une obligation supplémentaire
de vigilance se profile donc pour les prestataires
techniques.
Pour conclure, bien que ce texte s'inscrive dans la lignée d'un projet de Décision cadre au niveau communautaire, il n'est pas étonnant qu'il suscite aujourd'hui autant de débats.
|
|