Le 21 juin 2004, la Loi sur la Confiance dans l’Economie Numérique (LCEN) entrait en vigueur. Un premier décret d’application du 16 février 2005 concernait l’archivage des contrats électroniques. Un second décret visant à préciser l’étendue et la nature des informations concernées par l’obligation de conservation des hébergeurs et des fournisseurs d’accès à Internet (article 6 II LCEN) était en préparation début 2007. Il vient enfin d’être publié.
Rappelons que l’article 6 II de la LCEN impose aux fournisseurs d’accès à Internet (FAI) et aux hébergeurs de détenir et conserver « les données de nature à permettre l’identification de quiconque ayant contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires ».
Le non-respect de l’obligation de conservation des données d’identification est sanctionné par une peine d’un an d’emprisonnement et d’une amende de 75 000 euros.
Dans les faits, il était délicat pour les juges du fond d’appliquer une loi dont l’étendue n’était pas encore définie. Face à l’absence pesante de décret, la Cour d’Appel de Paris rend ses décisions ainsi :
« Les éléments d’identification personnelle que l’hébergeant est susceptible de recueillir à l’occasion des mises en ligne ne font pas actuellement, en l’absence de décret d’application de la loi LCEN du 21 juin 2004 l’objet d’une communication susceptible d’être ordonnée ; qu’il n’apparaît pas au demeurant que le projet de décret fasse obligation à l’hébergeur de collecter les noms, prénoms, adresses et numéros de téléphone de l’éditeur du contenu ; (…) en conséquence que la communication sollicitée sera limitée aux documents proposés par la Sté Youtube; (…) ». CA Paris, 7 janvier 2009, Raphael M., Sté Troye dans l’Aube Prod, Christine E. c/ Sté Youtube Inc.
Désormais cette question est en passe d’être réglée, le second décret étant paru au Journal Officiel. Ce décret relatif à la conservation des données vise à apporter des clarifications sur le type de données que doivent conserver les hébergeurs et les FAI et à déterminer la durée et les modalités de conservation de ces données.
Le décret détaille le cadre des obligations des intermédiaires techniques :
1. Les FAI devront stocker pour chaque connexion de leurs abonnés et pendant un an :
- L’identifiant de la connexion ;
- L’identifiant attribué par ces personnes à l’abonné ;
- L’identifiant du terminal utilisé pour la connexion lorsqu’elles y ont accès ;
- Les dates et heure de début et de fin de la connexion ;
- Les caractéristiques de la ligne de l’abonné.
2. Les hébergeurs devront conserver pendant un an à compter de la création, modification ou suppression d’un contenu :
- L’identifiant de la connexion à l’origine de la communication ;
- L’identifiant attribué par le système d’information au contenu, objet de l’opération ;
- Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus ;
- La nature de l’opération ;
- Les date et heure de l’opération ;
- L’identifiant utilisé par l’auteur de l’opération lorsque celui-ci l’a fourni.
3. Les informations que les FAI et les hébergeurs sont tenus de détenir lors de la souscription d’un contrat par un utilisateur ou lors de la création d’un compte :
- Au moment de la création du compte, l’identifiant de cette connexion ;
- Les nom et prénom ou la raison sociale ;
- Les adresses postales associées ;
- Les pseudonymes utilisés ;
- Les adresses de courrier électronique ou de compte associées ;
- Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour.
4. Lorsque ces souscriptions (contrat ou création d’un compte) sont payantes, doivent également être conservées les données liées au paiement, pour chaque opération de paiement :
- Le type de paiement utilisé;
- La référence du paiement ;
- Le montant ;
- La date et l’heure de la transaction.
Notons que les informations au 3ème et 4ème point du décret ne doivent être conservées que dans la mesure où les personnes les collectent habituellement.
Le décret définit aussi la notion de création de contenu en ligne souvent au cœur des litiges contre hébergeurs ou éditeurs. La « création de contenu en ligne » comprend selon le décret : « les opérations de création initiale, de modification des contenus et des données liées aux contenus et de suppression de contenus ».
Le décret devrait finalement permettre l’harmonisation de la jurisprudence jusqu’ici nuancée au sujet des informations concernées par l’obligation de conservation. Dorénavant les juges du fond pourront faire une application plus précise de l’article 6 II de la LCEN à la lecture de ce texte.
Une question subsiste cependant lorsqu’on lit les différentes informations requises dans les quatre premiers paragraphes du décret. Que faut-il entendre par « identifiant de la connexion » ? S’agirait-il de la fameuse adresse IP ? Et dans cette hypothèse se repose la question de la définition et surtout du régime juridique de l’adresse IP ? Entre-elle dans le champ des informations du décret d’application de la LCEN?
Le Tribunal de grande instance de Paris a pour sa part répondu par l’affirmative dans une ordonnance de référé du 5 mars 2009, Roland Magdane et autres c/ YouTube, suivant les conclusions de l’hébergeur, « l’adresse IP (…) permet d’identifier une personne en indiquant sans aucun doute possible un ordinateur précis et (…) établit la correspondance entre l’identifiant attribué lors de la connexion et l’identité de l’abonné ».
En conséquence, dans cette affaire opposant YouTube à l’humoriste Roland Magdane (à propos de la mise en ligne non autorisée de ses sketches), le juge a décidé qu’« en détenant et en conservant l’email ainsi que l’adresse IP des éditeurs », données « qui sont de nature à permettre leur identification », YouTube avait bien rempli l’obligation de conservation que lui impose l’article 6-II de la LCEN.
Pour en savoir plus :
http://www.voxpi.info/category/actualite-du-cabinet/
Sources :
Article rédigé par Andréa MARINETTI, stagiaire au département Multimédia du Cabinet Meyer & Partenaires.
