Texte du projet de décret organisant la rétention des données informatiques par les opérateurs Internet et de téléphonie mobile

Projet de décret portant application de l’article 6 de la loi n° 2004-575 du 21 juin 2004 et rappel du contenu de l’article 6 de cette même loi LCEN

Mercredi 25 avril 2007, par Emmanuel Barthe // L’édition juridique

Projet de décret portant application de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique

Version DACG du 19/04/2007 [1]

Le Premier ministre,

Sur le rapport du ministre d’Etat, ministre de l’intérieur et de l’aménagement du territoire, de la ministre de la défense, du ministre de l’économie, des finances et de l’industrie, et du garde des sceaux, ministre de la justice,

Vu le code pénal ;

Vu le code de procédure pénale ;

Vu le code des postes et des communications électroniques ;

Vu la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, et notamment ses articles 6, 57 et 58 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;

Vu l’avis de la Commission nationale de l’informatique et des libertés du ... ;

Vu l’avis de la Commission supérieure du service public des postes et télécommunications du ... ;

Vu l’avis de la Commission consultative des réseaux et services de communications électroniques du ... ;

Vu l’avis de l’Autorité de régulation des communications électroniques et des postes du ... ;

Vu l’avis de la Commission nationale de contrôle des interceptions de sécurité du ... ;

Le Conseil d’Etat (section de l’intérieur) entendu,

DÉCRÈTE :

CHAPITRE 1ER : DISPOSITIONS RELATIVES A LA CONSERVATION DES DONNEES ET PORTANT APPLICATION DU II DE L’ARTICLE 6 DE LA LOI DU 21 JUIN 2004

Article 1er

Pour l’application des dispositions du II de l’article 6 de la loi du 21 juin 2004 pour la confiance en l’économie numérique, les personnes mentionnées aux 1 et 2 du I de cet article sont tenues de détenir et de conserver l’ensemble des données suivantes, de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont les prestataires techniques :

1°) pour les personnes mentionnées au 1 du I de l’article susvisé [il s’agit ici des fournisseurs d’accès à Internet (FAI) et des opérateurs de téléphonie mobile] et pour chaque connexion de leurs abonnés, les données permettant d’identifier l’origine de la création des contenus :

  • l’identifiant de la connexion,
  • l’identifiant attribué par le système d’information à l’abonné,
  • les date et heure de début et de fin de la connexion,
  • les caractéristiques de la ligne de l’abonné ;

2°) pour les personnes mentionnées au 2 du I de l’article susvisé [il s’agit des hébergeurs Internet] et pour chaque opération de création, les données permettant d’identifier l’origine de la création des contenus :

  • l’identifiant de la connexion à l’origine de la communication,
  • l’identifiant attribué par le système d’information au contenu, objet de l’opération,
  • l’identifiant attribué par le système d’information à la connexion,
  • le type de protocole ou de réseau utilisé,
  • la nature de l’opération,
  • les date et heure de l’opération,
  • les pseudonymes utilisés ;

3°) pour les personnes mentionnées aux 1 et 2 du I [FAI, opérateurs mobiles et hébergeurs, donc] de l’article susvisé, les informations fournies lors de la souscription d’un contrat par un utilisateur ou lors de la création d’un compte :

  • nom et prénom ou raison sociale,
  • adresses postales associées,
  • pseudonymes utilisés,
  • adresses de courrier électronique associées,
  • numéros de téléphone,
  • mot de passe et informations associées ;

4°) pour les personnes mentionnées aux 1 et 2 du I de l’article susvisé [idem], lorsque la souscription du contrat ou du compte est payante, les informations relatives au paiement :

  • type de paiement utilisé,
  • montant,
  • numéro de référence du moyen de paiement,
  • date et heure de la transaction.

Les données mentionnées aux 3°) et 4°) ne doivent être conservées que dans la mesure où les personnes mentionnées aux 1 et 2 du I de l’article susvisé les collectent habituellement.

La contribution à une création de contenu comprend les opérations portant sur :

  • des créations initiales de contenus,
  • des modifications des contenus eux-mêmes,
  • des modifications de données liées aux contenus,
  • des suppressions de contenus.

Article 2

La durée de conservation des données mentionnées à l’article 1er est d’un an à compter du jour de la création des contenus, pour chaque opération contribuant à la création d’un contenu telle que définie à cet article.

Article 3

La conservation s’effectue dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment en ce qui concerne la sécurité des informations.

Les données doivent être conservées sur des supports et dans des formats d’enregistrement conformes aux normes techniques en vigueur. Cette conservation doit s’effectuer dans des conditions garantissant leur confidentialité et leur intégrité, et afin de permettre une extraction dans un bref délai pour répondre à une demande des autorités judiciaires.

Article 4

Le code de procédure pénale (deuxième partie : Décrets en Conseil d’Etat) est ainsi modifié :

1°) Après le 23° de l’article R.92, il est ajouté un 24° ainsi rédigé :
« 24° les frais correspondant à la fourniture des données conservées en application de l’article 6 II de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique. »

2°) Il est créé à la section 11 du chapitre II du titre X du livre V, un nouvel article R.213-2 ainsi rédigé :
« Art. R.213-2. - Les tarifs relatifs aux frais mentionnés au 24° de l’article R. 92 correspondant à la fourniture des données conservées en application de l’article 6 II de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, sont fixés par un arrêté du ministre de l’économie, des finances et de l’industrie et du garde des sceaux, ministre de la justice. Cet arrêté distingue les tarifs applicables selon les données requises, en tenant compte, le cas échéant, des surcoûts identifiables et spécifiques justifiés, supportés par les personnes visées aux 1 et 2 du I de l’article 6 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique requises par les autorités judiciaires pour la fourniture de ces données. »

CHAPITRE 2 : DISPOSITIONS RELATIVES AUX DEMANDES ADMINISTRATIVES ET PORTANT APPLICATION DU II BIS DE L’ARTICLE 6 DE LA LOI DU 21 JUIN 2004

Article 5

Les agents mentionnés au premier alinéa du II bis de l’article 6 de la loi du 21 juin 2004 sont désignés par les chefs des services de police et de gendarmerie nationales chargés des missions de prévention des actes de terrorisme, dont la liste est fixée par l’arrêté prévu à l’article 33 de la loi n° 2006-64 du 23 janvier 2006. Ils sont habilités par le directeur général ou central dont ils relèvent.

Article 6

Pour l’application du IIbis de l’article 6 de la loi n° 2004-575 du 21 juin 2004 susvisée, les demandes de communication de données d’identification, conservées et traitées en application du même article, comportent les informations suivantes :

  • le nom, le prénom et la qualité du demandeur, ainsi que son service d’affectation et l’adresse de celui-ci ;
  • la nature des données dont la communication est demandée et, le cas échéant, la période concernée ;
  • la motivation de la demande.

Article 7

Les demandes mentionnées à l’article 6 du présent décret sont transmises à la personnalité qualifiée mentionnée à l’article L. 34-1-1 du code des postes et des communications électroniques par un agent désigné dans les conditions prévues à l’article 5 du présent décret.

Ces demandes et les décisions de la personnalité qualifiée sont enregistrées et conservées pendant une durée maximale d’un an dans un traitement automatisé mis en oeuvre par le ministère de l’intérieur et de l’aménagement du territoire.

Article 8

Les demandes approuvées par la personnalité qualifiée sont adressées, sans leur motivation, par un agent désigné dans les conditions prévues à l’article 5 aux personnes mentionnées aux 1 et 2 du I de l’article 6 de la loi du 21 juin 2004, qui transmettent sans délai les données demandées à l’auteur de la demande.

Les transmissions prévues à l’alinéa précédent sont effectuées selon des modalités assurant leur sécurité, leur intégrité et leur suivi, définies par une convention conclue avec le prestataire concerné ou, à défaut, par un arrêté conjoint du ministre de l’intérieur et de l’aménagement du territoire et du ministre chargé des communications électroniques.

Les données fournies par les personnes mentionnées aux 1 et 2 du I de l’article 6 de la loi du 21 juin 2004 sont enregistrées et conservées pendant une durée maximale de trois ans dans des traitements automatisés mis en oeuvre par le ministère de l’intérieur et de l’aménagement du territoire et le ministère de la défense.

Article 9

Une copie de chaque demande est transmise, dans un délai maximal de sept jours à compter de l’approbation de la personnalité qualifiée, à la Commission nationale de contrôle des interceptions de sécurité. Un arrêté du ministre de l’intérieur et de l’aménagement du territoire, pris après avis de celle-ci, définit les modalités de cette transmission.

La commission précitée peut, en outre, à tout moment, avoir accès aux données enregistrées dans les traitements automatisés mentionnés aux articles 7 et 8 du présent décret. Elle peut également demander des éclaircissements sur la motivation des demandes approuvées par la personnalité qualifiée.

Article 10

Les surcoûts identifiables et spécifiques supportés par les personnes mentionnées aux 1 et 2 du I de l’article 6 de la loi du 21 juin 2004 susvisée pour la fourniture des données prévue par l’article IIbis du même article font l’objet d’un remboursement par l’Etat par référence aux tarifs et selon des modalités fixées par un arrêté conjoint du ministre de l’intérieur et de l’aménagement du territoire et des ministres chargés du budget et des communications électroniques.


Loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique

Version consolidée au 7 mars 2007 [2]

[...]

Article 6

Modifié par Loi n°2007-297 du 5 mars 2007 art. 40 I (JORF 7 mars 2007).

I. - 1. Les personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne informent leurs abonnés de l’existence de moyens techniques permettant de restreindre l’accès à certains services ou de les sélectionner et leur proposent au moins un de ces moyens.

2. Les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services ne peuvent pas voir leur responsabilité civile engagée du fait des activités ou des informations stockées à la demande d’un destinataire de ces services si elles n’avaient pas effectivement connaissance de leur caractère illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces données ou en rendre l’accès impossible.

L’alinéa précédent ne s’applique pas lorsque le destinataire du service agit sous l’autorité ou le contrôle de la personne visée audit alinéa.

3. Les personnes visées au 2 ne peuvent voir leur responsabilité pénale engagée à raison des informations stockées à la demande d’un destinataire de ces services si elles n’avaient pas effectivement connaissance de l’activité ou de l’information illicites ou si, dès le moment où elles en ont eu connaissance, elles ont agi promptement pour retirer ces informations ou en rendre l’accès impossible.

L’alinéa précédent ne s’applique pas lorsque le destinataire du service agit sous l’autorité ou le contrôle de la personne visée audit alinéa.

4. Le fait, pour toute personne, de présenter aux personnes mentionnées au 2 un contenu ou une activité comme étant illicite dans le but d’en obtenir le retrait ou d’en faire cesser la diffusion, alors qu’elle sait cette information inexacte, est puni d’une peine d’un an d’emprisonnement et de 15 000 Euros d’amende.

5. La connaissance des faits litigieux est présumée acquise par les personnes désignées au 2 lorsqu’il leur est notifié les éléments suivants :

  • la date de la notification ;
  • si le notifiant est une personne physique : ses nom, prénoms, profession, domicile, nationalité, date et lieu de naissance ; si le requérant est une personne morale : sa forme, sa dénomination, son siège social et l’organe qui la représente légalement ;
  • les nom et domicile du destinataire ou, s’il s’agit d’une personne morale, sa dénomination et son siège social ;
  • la description des faits litigieux et leur localisation précise ;
  • les motifs pour lesquels le contenu doit être retiré, comprenant la mention des dispositions légales et des justifications de faits ;
  • la copie de la correspondance adressée à l’auteur ou à l’éditeur des informations ou activités litigieuses demandant leur interruption, leur retrait ou leur modification, ou la justification de ce que l’auteur ou l’éditeur n’a pu être contacté.

6. Les personnes mentionnées aux 1 et 2 ne sont pas des producteurs au sens de l’article 93-3 de la loi n° 82-652 du 29 juillet 1982 sur la communication audiovisuelle.

7. Les personnes mentionnées aux 1 et 2 ne sont pas soumises à une obligation générale de surveiller les informations qu’elles transmettent ou stockent, ni à une obligation générale de rechercher des faits ou des circonstances révélant des activités illicites.

Le précédent alinéa est sans préjudice de toute activité de surveillance ciblée et temporaire demandée par l’autorité judiciaire.

Compte tenu de l’intérêt général attaché à la répression de l’apologie des crimes contre l’humanité, de l’incitation à la haine raciale ainsi que de la pornographie enfantine, de l’incitation à la violence ainsi que des atteintes à la dignité humaine, les personnes mentionnées ci-dessus doivent concourir à la lutte contre la diffusion des infractions visées aux cinquième et huitième alinéas de l’article 24 de la loi du 29 juillet 1881 sur la liberté de la presse et aux articles 227-23 et 227-24 du code pénal.

A ce titre, elles doivent mettre en place un dispositif facilement accessible et visible permettant à toute personne de porter à leur connaissance ce type de données. Elles ont également l’obligation, d’une part, d’informer promptement les autorités publiques compétentes de toutes activités illicites mentionnées à l’alinéa précédent qui leur seraient signalées et qu’exerceraient les destinataires de leurs services, et, d’autre part, de rendre publics les moyens qu’elles consacrent à la lutte contre ces activités illicites.

Compte tenu de l’intérêt général attaché à la répression des activités illégales de jeux d’argent, les personnes mentionnées aux 1 et 2 mettent en place, dans des conditions fixées par décret, un dispositif facilement accessible et visible permettant de signaler à leurs abonnés les services de communication au public en ligne tenus pour répréhensibles par les autorités publiques compétentes en la matière. Elles informent également leurs abonnés des risques encourus par eux du fait d’actes de jeux réalisés en violation de la loi.

Tout manquement aux obligations définies aux quatrième et cinquième alinéas est puni des peines prévues au 1 du VI. ;

8. L’autorité judiciaire peut prescrire en référé ou sur requête, à toute personne mentionnée au 2 ou, à défaut, à toute personne mentionnée au 1, toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d’un service de communication au public en ligne.

II. - Les personnes mentionnées aux 1 et 2 du I détiennent et conservent les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires.

Elles fournissent aux personnes qui éditent un service de communication au public en ligne des moyens techniques permettant à celles-ci de satisfaire aux conditions d’identification prévues au III.

L’autorité judiciaire peut requérir communication auprès des prestataires mentionnés aux 1 et 2 du I des données mentionnées au premier alinéa.

Les dispositions des articles 226-17, 226-21 et 226-22 du code pénal sont applicables au traitement de ces données.

Un décret en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés, définit les données mentionnées au premier alinéa et détermine la durée et les modalités de leur conservation.

II bis (1). - Afin de prévenir [Dispositions déclarées non conformes à la Constitution par la décision du Conseil constitutionnel n° 2005-532 DC du 19 janvier 2006] les actes de terrorisme, les agents individuellement désignés et dûment habilités des services de police et de gendarmerie nationales spécialement chargés de ces missions peuvent exiger des prestataires mentionnés aux 1 et 2 du I la communication des données conservées et traitées par ces derniers en application du présent article.

Les demandes des agents sont motivées et soumises à la décision de la personnalité qualifiée instituée par l’article L. 34-1-1 du code des postes et des communications électroniques selon les modalités prévues par le même article. La Commission nationale de contrôle des interceptions de sécurité exerce son contrôle selon les modalités prévues par ce même article.

Les modalités d’application des dispositions du présent II bis sont fixées par décret en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés et de la Commission nationale de contrôle des interceptions de sécurité, qui précise notamment la procédure de suivi des demandes et les conditions et durée de conservation des données transmises.

III. - 1. Les personnes dont l’activité est d’éditer un service de communication au public en ligne mettent à disposition du public, dans un standard ouvert :

a) S’il s’agit de personnes physiques, leurs nom, prénoms, domicile et numéro de téléphone et, si elles sont assujetties aux formalités d’inscription au registre du commerce et des sociétés ou au répertoire des métiers, le numéro de leur inscription ;

b) S’il s’agit de personnes morales, leur dénomination ou leur raison sociale et leur siège social, leur numéro de téléphone et, s’il s’agit d’entreprises assujetties aux formalités d’inscription au registre du commerce et des sociétés ou au répertoire des métiers, le numéro de leur inscription, leur capital social, l’adresse de leur siège social ;

c) Le nom du directeur ou du codirecteur de la publication et, le cas échéant, celui du responsable de la rédaction au sens de l’article 93-2 de la loi n° 82-652 du 29 juillet 1982 précitée ;

d) Le nom, la dénomination ou la raison sociale et l’adresse et le numéro de téléphone du prestataire mentionné au 2 du I.

2. Les personnes éditant à titre non professionnel un service de communication au public en ligne peuvent ne tenir à la disposition du public, pour préserver leur anonymat, que le nom, la dénomination ou la raison sociale et l’adresse du prestataire mentionné au 2 du I, sous réserve de lui avoir communiqué les éléments d’identification personnelle prévus au 1.

Les personnes mentionnées au 2 du I sont assujetties au secret professionnel dans les conditions prévues aux articles 226-13 et 226-14 du code pénal, pour tout ce qui concerne la divulgation de ces éléments d’identification personnelle ou de toute information permettant d’identifier la personne concernée. Ce secret professionnel n’est pas opposable à l’autorité judiciaire.

IV. - Toute personne nommée ou désignée dans un service de communication au public en ligne dispose d’un droit de réponse, sans préjudice des demandes de correction ou de suppression du message qu’elle peut adresser au service, [Dispositions déclarées non conformes à la Constitution par décision du Conseil constitutionnel n° 2004-496 DC du 10 juin 2004].

La demande d’exercice du droit de réponse est adressée au directeur de la publication ou, lorsque la personne éditant à titre non professionnel a conservé l’anonymat, à la personne mentionnée au 2 du I qui la transmet sans délai au directeur de la publication. Elle est présentée au plus tard dans un délai de trois mois à compter de [Dispositions déclarées non conformes à la Constitution par décision du Conseil constitutionnel n° 2004-496 DC du 10 juin 2004] la mise à disposition du public du message justifiant cette demande.

Le directeur de la publication est tenu d’insérer dans les trois jours de leur réception les réponses de toute personne nommée ou désignée dans le service de communication au public en ligne sous peine d’une amende de 3 750 Euros, sans préjudice des autres peines et dommages-intérêts auxquels l’article pourrait donner lieu.

Les conditions d’insertion de la réponse sont celles prévues par l’article 13 de la loi du 29 juillet 1881 précitée. La réponse sera toujours gratuite.

Un décret en Conseil d’Etat fixe les modalités d’application du présent IV.

V. - Les dispositions des chapitres IV et V de la loi du 29 juillet 1881 précitée sont applicables aux services de communication au public en ligne et la prescription acquise dans les conditions prévues par l’article 65 de ladite loi [Dispositions déclarées non conformes à la Constitution par décision du Conseil constitutionnel n° 2004-496 DC du 10 juin 2004].

[Dispositions déclarées non conformes à la Constitution par décision du Conseil constitutionnel n° 2004-496 DC du 10 juin 2004]

VI. - 1. Est puni d’un an d’emprisonnement et de 75 000 Euros d’amende le fait, pour une personne physique ou le dirigeant de droit ou de fait d’une personne morale exerçant l’une des activités définies aux 1 et 2 du I, de ne pas satisfaire aux obligations définies aux quatrième et cinquième alinéas du 7 du I, de ne pas avoir conservé les éléments d’information visés au II ou de ne pas déférer à la demande d’une autorité judiciaire d’obtenir communication desdits éléments.

Les personnes morales peuvent être déclarées pénalement responsables de ces infractions dans les conditions prévues à l’article 121-2 du code pénal. Elles encourent une peine d’amende, suivant les modalités prévues par l’article 131-38 du même code, ainsi que les peines mentionnées aux 2° et 9° de l’article 131-39 de ce code. L’interdiction mentionnée au 2° de cet article est prononcée pour une durée de cinq ans au plus et porte sur l’activité professionnelle dans l’exercice ou à l’occasion de laquelle l’infraction a été commise.

2. Est puni d’un an d’emprisonnement et de 75 000 Euros d’amende le fait, pour une personne physique ou le dirigeant de droit ou de fait d’une personne morale exerçant l’activité définie au III, de ne pas avoir respecté les prescriptions de ce même article.

Les personnes morales peuvent être déclarées pénalement responsables de ces infractions dans les conditions prévues à l’article 121-2 du code pénal. Elles encourent une peine d’amende, suivant les modalités prévues par l’article 131-38 du même code, ainsi que les peines mentionnées aux 2° et 9° de l’article 131-39 de ce code. L’interdiction mentionnée au 2° de cet article est prononcée pour une durée de cinq ans au plus et porte sur l’activité professionnelle dans l’exercice ou à l’occasion de laquelle l’infraction a été commise.

NOTA (1) : Loi 2006-64 du 23 janvier 2006 art. 32 : Les dispositions de l’article 6 sont en vigueur jusqu’au 31 décembre 2008.

[...]

Notes de bas de page

[1Ce texte est la version HTML du fichier PDF publié sur le site web de l’association IRIS. Les gras sont de nous. Ils visent à souligner les points principaux du projet de décret et à illustrer notre article : Les traces de vos faits et gestes sur Internet, conservées un an par les RG et la DST et jusqu’à quatre ans par la Police et la Gendarmerie. Les liens et les précisions entre crochets sont aussi de nous.

[2Extrait de la base LEGI de Legifrance.

Répondre à cet article