Décret sur la conservation des données de connexion

Le projet de décret élargissant le nombre de données liées aux contenus en ligne à conserver durant un an, est sur le point d'aboutir. Il s'appliquera à tous les acteurs de l'Internet et des mobiles : opérateurs, fournisseurs d'accès et hébergeurs.

Malgré la vive polémique déclenchée il y a un an par un premier projet de décret obligeant les opérateurs de communications électroniques, les fournisseurs d'accès à Internet (FAI) et les hébergeurs à conserver des données liées aux contenus, les ministères de la Justice et de l'Intérieur mettent la dernière main à une seconde mouture assez similaire. Au risque de déclencher à nouveau une levée de boucliers de tous les acteurs de l'Internet et des mobiles. Le nouveau texte, liste en effet toutes les données susceptibles d'identifier tout créateur de contenu en ligne que les acteurs de l'Internet devront conserver durant un an : adresse IP, mot de passe, login (nom de connexion), pseudonyme, terminal utilisé, coordonnées de la personne physique ou morale, ou encore les identifiants de contenus.

Par rapport à un précédent décret, paru le 26 mars 2006 au « Journal officiel », signé dans la foulée des lois « Economie numérique » de juin 2004 et « Lutte contre le terrorisme » de janvier 2006, ce nouveau projet ne se limite pas aux seules données de connexion - bien qu'il ne porte pas sur les contenus eux-mêmes - et ne s'adresse pas qu'aux opérateurs télécoms.

Le gouvernement n'attendrait plus que le feu vert du Conseil d'Etat puis les signatures de pas moins de cinq ministres (Intérieur, Défense, Justice, Economie, Budget), ainsi que celle du Premier ministre François Fillon, pour le publier au « Journal officiel ». Il a déjà été soumis aux autorités concernées pour avis : CNIL, Arcep, CNCIS ou encore CSSPPCE.

La Commission Supérieure du Service Public des Postes et Télécommunications, composée de parlementaires - a rendu le 24 octobre 2007 «un avis pour le moins réservé» , se faisant l'écho des inquiétudes des acteurs de l'Internet qui dénoncent l' «absence de lisibilité et de cohérence du périmètre des données à conserver» et les «conséquences de l'empilement des textes sur la lisibilité et la cohérence des obligations imposées». «La liste des données à conserver reste floue» , constate encore la CSSPPCE, d'autant qu'elle porte sur toutes celles qui permettent «l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services». Les hébergeurs disent ne conserver «aucune trace des modifications faites sur le contenu et, de manière générale, sur les contenus qui se succèdent sur un site».

La commission estime en outre que le mot de passe n'a pas à être pris en compte et s'interroge sur l'adresse IP (identifiant de connexion) que la CNIL considère comme une donnée à caractère personnel. Autre question qui fâche : puisqu'il faut stocker ces données de connexion, qui ne sont pas utiles aux opérateurs, mais lui incombent par délégation d'une opération de conservation : Qui paiera les coûts de stockage ? Selon les acteurs de l'Internet, cela «incombe à l'Etat ».

Par ailleurs, Michèle Alliot-Marie , la ministre de l'Intérieur, prépare aussi un autre décret sur la conservation des données de connexion (mais pas de contenus), afin d'élargir le champ du premier décret du 24 mars 2006 aux cybercafés par exemple, comme le prévoit la loi contre le terrorisme du 23 janvier 2006. «Il faut clarifier cette disposition pour qu'elle puisse être applicable à l'ensemble des acteurs de l'Internet - et non plus aux seuls opérateurs. Un décret détaillera pour chacun de ces acteurs la liste des catégories de données à conserver. Cette obligation pourra alors s'appliquer aux bornes d'accès Wi-Fi, aux éditeurs de messagerie électronique, aux points d'accès dans les lieux publics » , a expliqué la ministre lors de la présentation, le 14 février, de son plan de lutte contre la cybercriminalité.