Conservation des données de connexion (décret du 25 février 2011)

Le décret du 25 février 2011 est venu préciser quelles types d’informations doivent être conservées par les hébergeurs (de sites ou de contenus) et par les fournisseurs d’accès internet.

L’article 6 de la loi pour la confiance dans l’économie numérique (LCEN) du 21 juin 2004 prévoit en effet que fournisseurs d’accès et d’hébergement doivent détenir et conserver :

« les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires ».

Ces données doivent être conservées pendant un an pour communication à l’autorité judiciaire sur requête de celle-ci, ainsi qu’à des services de police spécialisés dans le terrorisme.

Qui doit conserver les données de connexion ?

Sont concernés par cette obligation :

les personnes « dont l’activité est d’offrir un accès à des services de communication au public en ligne », comme les fournisseurs d’accès à internet,
les personnes « qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services », comme les hébergeurs de sites ou de contenus.

L’obligation de conservation s’impose donc aux prestataires de services d’hébergement au sens courant du terme, mais aussi aux éditeurs de sites participatifs ou collaboratifs du web 2.0 sur lesquels les internautes peuvent publier des contenus, aux plateformes de blogs, réseaux sociaux, etc.

Quelles données de connexion doivent être conservées ?

Selon le décret du 25 février 2011, les données qui doivent être conservées par les personnes qui stockent et diffusent sur internet du contenu mis en ligne par des utilisateurs de leurs services sont notamment les suivantes :

Pour chaque opération de création de contenu (création initiale, modification ou suppression) :

L’identifiant de la connexion à l’origine de la communication ;
L’identifiant attribué par le système d’information au contenu, objet de l’opération ;
Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus ;
La nature de l’opération ;
Les date et heure de l’opération ;
L’identifiant utilisé par l’auteur de l’opération lorsque celui-ci l’a fourni ;

Dans la mesure où les prestataires les collectent habituellement, ils doivent également conserver certaines informations fournies par les utilisateurs lors de la souscription d’un contrat ou lors de la création d’un compte, ainsi que celles relatives au paiement si le contrat ou l’ouverture du compte est payant.

Ces informations pouvant constituer des données à caractère personnel, les opérations de collecte, enregistrement, conservation, etc. portant sur ces données doivent faire l’objet d’une déclaration à la CNIL, comme les fichiers « logs » contenant des adresses IP.

*** A noter : Le décret du 25 février 2011 a été abrogé par le décret n° 2021-1362 du 20 octobre 2021, qui fixe les nouvelles obligations relatives à la conservation des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne, pris en application du II de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique.