Dans un avis communiqué au gouvernement en 2007, qu’elle vient de rendre public, la CNIL avait émis plusieurs critiques sur le projet de décret d’application de la LCEN, dont beaucoup n’ont pas été prises en compte dans la version finale. Mais elle n’avait strictement rien dit de l’obligation faite aux hébergeurs, FAI et éditeurs de services de conserver le mot de passe de leurs utilisateurs. Curieux…

Alors que le gouvernement ne l’a pas publié au Journal Officiel, la CNIL a décidé souverainement de publier mercredi sur son site internet l’avis qu’elle avait rendu en 2007 sur le projet de décret relatif à la conservation des données par les hébergeurs, éditeurs de services en ligne et FAI. Comme celui de l’ARCEP, qui avait été très critique, l’avis de la CNIL a été pour une large part ignoré par le gouvernement.

La Commission reprochait notamment au projet de décret le fait qu’il demande aux FAI de conserver un « identifiant de connexion« , ce qui est imprécis. Elle explique que «  » l’identifiant attribué par le FAI à l’abonné  » ne renverra pas aux mêmes types de données selon que l’on se trouve dans le cadre d’une connexion internet par ADSL ou par WIFI gratuit. De même,  » l’identifiant du terminal utilisé pour la connexion  » peut correspondre à des informations différentes en fonction de la nature du terminal utilisé (analogique ou numérique)« . Or ces termes ont été conservés dans le décret final, alors que « la Commission considère que le projet de décret doit indiquer explicitement la nature des identifiants concernés de façon à ce que les FAI mesurent précisément l’obligation qui leur est imposée dès lors que le non-respect de cette obligation est sanctionnée pénalement d’un an d’emprisonnement et de 75 000 euros d’amende« .

Par ailleurs, « s’agissant des informations relatives au paiement, la Commission s’interroge sur la pertinence de la conservation du montant des transactions au regard de l’objet du II de l’article 6 de la LCEN dans la mesure où cette donnée ne permet pas, a priori, de procéder à l’identification d’une personne ayant contribué à la création de contenus« . Mais le décret final, là aussi, demande toujours à ce que cette information soit conservée.

Enfin, la CNIL reprochait au gouvernement de ne pas préciser les conditions techniques de sécurisation des données, et d’en référer uniquement aux termes génériques de la loi. Or le décret final n’est pas plus précis sur ce point.

Il est étonnant cependant qu’au contraire de celui de l’ARCEP, l’avis de la CNIL ne parle à aucun moment de la question très polémique de la conservation des mots de passe, qui pourront être obtenus notamment dans le cadre d’enquêtes policières sur l’anti-terrorisme. La Commission, dont le président Alex Türk a remporté un Big Brother Award pour sa grande souplesse à l’égard de l’intrusion de la vie privée, a fait totalement l’impasse sur ce point. Il est paradoxal que ça soit l’ARCEP qui note que « certaines données (à conserver) n’ont que peu de rapport ou même aucun avec l’identification de la personne ayant créé un contenu« , alors que la CNIL n’en pipe pas mot.

La même CNIL qui, s’agissant de la loi Hadopi, a donné son accord à la collecte des adresses IP malgré un rapport interne accablant, et qui estime que le public n’a pas à savoir pourquoi.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.