Réunis au sein de l'Association des services Internet communautaires ( ASIC ), des acteurs du Web en France saisissent le Conseil d'État à propos d'un décret portant sur la conservation des données personnelles des internautes.
Près de sept ans après la publication de la loi pour la confiance dans l'économie numérique de juin 2004 ( LCEN ), un décret est venu préciser l'un des ses articles. Paru début mars au Journal officiel, il est relatif à la " conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne ".Ce décret précise les modalités que doivent respecter les hébergeurs ( ainsi que les FAI ) dans la conservation de certaines données de contributeurs par exemple. Le cas échéant, ces données pourront être communiquées à l'autorité judiciaire dans le cadre d'une enquête.
Parmi ces données, les nom et prénom, l'identifiant de connexion, les date et heure d'une opération, la nature de l'opération, les adresses postales et électroniques associées, les numéros de téléphone ou encore le mot de passe ou données permettant de le vérifier ou de le modifier. À conserver pendant un an. Si une donnée est modifiée pendant ce délai, la nouvelle donnée doit alors être conservée un an.
L'ASIC - qui réunit des acteurs du Web en France comme Google, Facebook Dailymotion, PriceMinister, Microsoft, Yahoo !, eBay, Deezer... - a décidé de déposer un recours en annulation de ce décret auprès du Conseil d'État.
La mesure avait déjà été critiquée pour les coûts que cela engendrerait. Selon des propos rapportés par l'AFP, le secrétaire général de l'ASIC s'est dit " choqué ", notamment pour " l'obligation de conservation des mots de passe et leur transmission aux services de police ". D'autant que cela soulève des questions pour l'accès à des mots de passe en clair.
La procédure risque d'être longue. De l'ordre d'un an. Parmi les problèmes évoqués, l'absence d'une consultation de la Commission européenne.
Hébergeurs : l'Asic attaque le décret sur la conservation des données
L'Association des services Internet communautaires va déposer un recours en annulation devant le conseil d'Etat après la récente publication d'un décret de la LCEN.
Publié le 05/04/2011
L'Association des services Internet communautaires (Asic) n'a pas digéré la publication, au début du mois de mars, d'un décret encadrant la conservation de données personnelles par les hébergeurs. L'association a annoncé mardi 5 avril qu'elle déposera mercredi un recours en annulation devant le Conseil d'Etat concernant ce texte. Plus de 20 entreprises du Web membres de l'Asic soutiennent cette démarche, dont Google, Facebook, PriceMinister, Dailymotion ou eBay. La procédure devrait prendre entre neuf mois et un an.
Publié le 1er mars au Journal officiel, ce décret est issu de la loi pour la confiance dans l'Economie numérique (LCEN), votée en 2004. Il oblige les hébergeurs à conserver pendant un an, à compter de chaque activité d'un utilisateur, l'identifiant de la connexion à l'origine de la communication, les nom, prénom, adresse postale, e-mail, numéro de téléphone et le mot de passe utilisés par les utilisateurs de leurs services. Police, gendarmerie, répression des fraudes, douanes, fisc ou Urssaf pourront avoir accès à ces données dans le cadre d'enquêtes.
Pour l'Asic, ce décret pose plusieurs problèmes. La durée de conservation est par exemple jugée trop longue et la mise en place du stockage de ces informations entraînera des coûts supplémentaires alors qu'aucune compensation financière n'est prévue. Surtout, l'obligation de transmission des mots de passe pose un problème de confidentialité des données personnelles. Transmise à des services de police, une telle information pourrait conduire à une surveillance sans contrôle des citoyens. D'autant que de nombreux internautes utilisent souvent les mêmes identifiants et mots de passe pour accéder à plusieurs services en ligne.
Pour appuyer son recours, l'Asic pointe plusieurs irrégularités. La Commission européenne n'a notamment pas été consultée avant la publication de ce décret. Or une directive européenne impose que Bruxelles puisse donner son avis sur les textes concernant la société de l'information. Par ailleurs, l'obligation de conserver des éléments qui vont au-delà de l'identification de l'internaute va plus loin que ce qu'imposait la LCEN. Un détail que le gouvernement aura probablement oublié, sept ans après le vote de la loi.
