Le décret publié mardi sur la conservation des données fait obligation aux fournisseurs d’accès de conserver pendant un an les données de connexion. Mais il leur demande aussi de conserver ces données un an après la création, la modification ou la suppression d’un contenu par leur abonné. Des actions dont le FAI n’a pourtant pas à avoir connaissance.

Puisqu’il était attendu depuis sept ans, on pouvait légitimement s’attendre à ce que le décret « relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne » soit rédigé de la manière la plus limpide possible. Or c’est loin d’être le cas, et l’on se demande même pourquoi le texte est publié dans la plus grande précipitation, alors qu’il semble très proche du projet qu’avait fortement critiqué l’Arcep en 2008. A moins qu’il s’agisse de précéder l’arrivée du Conseil National du Numérique, qui devra être consulté sur tous les textes réglementaires liés au numérique…

A titre d’illustration des difficultés d’interprétation du décret, intéressons-nous à l’article 3 qui fixe les différents points de départ de la durée d’un an de conservation des données. Attention, il faut suivre avec le texte sous les yeux.

Il est précisé à l’article 3 que « la durée de conservation des données mentionnées à l’article 1er est d’un an s’agissant des données mentionnées aux 1° et 2°, à compter du jour de la création des contenus, pour chaque opération contribuant à la création d’un contenu telle que définie à l’article 2 » (c’est-à-dire aussi la modification des contenus ou des données qui y sont liées, ou la suppression du contenu).

Puisqu’il s’agit de savoir quand un contenu est créé ou modifié, il paraît logique que seul l’hébergeur ou l’éditeur d’un service en ligne soit concerné par ce point de départ. Sauf qu’en parlant des données mentionnées mentionnées au 1° de l’article 1er, l’article 3 renvoie aux « personnes mentionnées au 1 du I » de l’article 6 de la loi LCEN du 21 juin 2004 (courage). Lequel concerne « les personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne« , c’est-à-dire essentiellement les fournisseurs d’accès à Internet.

Faut-il donc que les FAI surveillent et conservent pendant un an les actions de chacun de leurs abonnés lorsqu’ils visent à créer, modifier ou supprimer des contenus ? Ce serait titanesque (sans même parler des problèmes de vie privée), comme l’a indiqué l’ARCEP au sujet des hébergeurs. L’autorité remarquait que le décret amenait à « conserver une quantité exponentiellement croissante de données, ce qui risque de rendre les dispositions de ce projet de décret difficilement applicables tant pour des raisons techniques que financières« .

Ca n’est heureusement pas la volonté du gouvernement d’imposer la conservation d’un log des actions en plus d’un log des connexions. D’ailleurs, l’article 1er 1° dispose que les FAI doivent conserver les données « pour chaque connexion de leurs abonnés« , contrairement aux hébergeurs (article 1er 2°) qui doivent conserver les données « pour chaque opération de création« . Mais dans ce cas, pourquoi l’article 3 vise-t-il les « données mentionnées au 1°« , donc les données que doivent conserver les FAI, lorsqu’il place le point de départ de conservation des données sur la création, la modification ou la suppression du contenu ?

De l’aspirine ?


Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !