Luigi Vincent est étudiant dans le cadre du cours DRT 6929-O.

Les principaux acteurs de l’Internet en France ont déposé, mercredi 6 avril, un recours en annulation devant le conseil d’Etat, contre un décret « les obligeant à conserver pendant un an les données personnelles de l’internaute ». Le recours a été initié par Google, Facebook ou Dailymotion en autres, mais PriceMinister ou eBay y sont également parties prenantes. Au total, ce sont près de 20 sociétés qui participent à cette action, par l’intermédiaire de l’Association Française des services internet communautaires (Asic).

Le décret relatif à la conservation des données de connexion est paru au journal officiel le 1ier mars 2011 dans le cadre de la Loi pour la confiance dans l’économie numérique (LCEN). Dans le paragraphe relatif au contexte juridique, il est ainsi précisé qu’ « Aux termes des articles 6-II et 6-II bis de la loi n° 2004-575 du 21 juin 2004, « L’autorité judiciaire peut requérir communication auprès des prestataires mentionnés aux 1 et 2 du I des données mentionnées au premier alinéa » du même article, tout comme « les agents individuellement désignés et dûment habilités des services de police et de gendarmerie nationales » spécialement chargés de la lutte contre le terrorisme ». De ce fait, et si l’on se base sur un article du Monde paru le 5 avril, « il oblige sites d’e-commerce, plateformes de vidéos, de musique en ligne, ou les gestionnaires de boîtes e-mail à conserver "les nom et prénom", "les adresses postales associées", "les pseudonymes utilisés", "les adresses de courrier électronique ou de compte associées", "les numéros de téléphone" de leurs clients, et surtout "le mot de passe ainsi que les données permettant de le vérifier ou de le modifier" ». Ces différentes informations peuvent être demandées par la Gendarmerie, la douane, la répression des fraudes ou encore le fisc et l’Urssaf dans le cadre d’enquêtes de la police. La durée prévue pour la conservation de ces données est normalement d’une année.

Plusieurs problèmes se posent cependant. Tout d’abord, aucune consultation de la commission européenne n’a été réalisée. En effet, comme l’explique Jean Bergevin , chef d’unité à la direction générale du marché intérieur de la commission européenne, « si ce décret comporte des clauses spécifiques en rapport avec les nouvelles lois sur les services de la sécurité de l’information, que ce soit des services électroniques ou à distance, la directive 98/48 de la Commission européenne oblige un Etat membre à le notifier ». D’autre part, des craintes se font aussi sentir quant à la durée du stockage des données. Le décret stipule ainsi que lorsqu’une modification est apportée à une donnée précise, le délai se proroge automatiquement d’un an. Dès lors, il se peut évidemment que certaines données soient conservées indéfiniment. En plus de cela, « la durée de conservation des données susceptibles d’être conservées coïncide exactement avec celle rendue obligatoire en application de l’article L. 34-1 du code des postes et des communications électroniques ». Dans un troisième temps, on peut mettre en avant des problèmes très clairs au niveau de la définition de certains termes. Par exemple, dans le décret portant application de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique et relatif à la conservation des données, il est bien souligné dans cette dernière, que « les personnes mentionnées aux 1 et 2 du I détiennent et conservent les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires. [...] ». Les deux derniers termes ne sont nullement définis en réalité. La responsabilité de la mise en place d’une définition précise appartiendra aux individus chargés précisément de la conservation de ces données. Dans un dernier temps, certaines critiques liées au partage des coûts et au montant des rémunérations ont aussi vu le jour. De ce fait, les opérateurs et les hébergeurs ont mis en avant que les coûts relatifs à la sauvegarde de l’ordre public ne pouvaient leur incomber entièrement, «  dès lors que les dépenses qui en résultent sont étrangères à l’activité d’exploitation des réseaux et de fourniture de services ». Concernant les rémunérations, aucune disposition ne permet de connaitre les modalités qui pourraient s’appliquer aux différents opérateurs, notamment au niveau des surcoûts éventuels, « selon que les données dont la communication est requise sont conservées par les personnes concernées au titre de la relation contractuelle avec son client ou selon qu’elles sont conservées pour satisfaire aux prescriptions exigées par les dispositions de l’article L. 6 de la loi précitée ». Les prestataires de services sont par ailleurs obligés de suivre leurs clients à la trace, cela va d’une banale publication d’un commentaire ou d’un article sur un blog à l’enregistrement de l’adresse IP ou des différents moyens de paiement utilisés pour l’achat en ligne.

Ce décret s’inscrit en fait, selon certains, dans la continuité de ce qui existe déjà à différents niveaux. On peut citer notamment loi Hadopi ou encore la loi Loppsi 1 et 2. En ce sens, et selon Jérémie Zimmermann, porte-parole de la Quadrature du Net, « (…)on n’est pas dans la simple collecte de données mais dans la surveillance et l’intrusion dans la vie personnelle. Il y a une présomption de culpabilité pour chaque citoyen internaute ». Cela apparait d’autant plus clair que la France fait désormais partie, selon la liste de Reporters sans frontières, des pays sous surveillance en matière de liberté d’expression sur Internet.