Un décret risquant de limiter les libertés sur la Toile

La publication d'un décret d'application de la loi pour la confiance dans l'économie numérique (LCEN) pourrait, dans les prochains jours, venir préciser les obligations des acteurs de l'Internet en matière de rétention des données. La version de travail, que Le Monde a pu consulter, fédère contre elle les associations de défense des libertés et les industriels du secteur (fournisseurs d'accès et hébergeurs de contenus numériques).


Les prestataires techniques devront notamment conserver pendant un an les données permettant "l'identification de quiconque a contribué à la création (d'un) contenu". Le projet de texte va en réalité plus loin, dénoncent les associations de défense des libertés. Selon l'association Iris, il "prévoit la conservation de données qui vont bien au-delà de cet objectif, comme par exemple le mot de passe fourni lors de la souscription d'un contrat d'abonnement ou lors de la création d'un compte". De même, les données relatives au paiement (type de paiement, montant, date et heure de la transaction) d'un service devront être conservées un an par les prestataires techniques.

En l'état, le texte semble trop vague aux acteurs économiques du secteur, qui redoutent d'avoir à conserver l'intégralité des modifications apportées à un contenu. "Nous souhaitons une clarification sur la nature des données que les opérateurs devront conserver, au risque d'engager leur propre responsabilité sur le plan pénal, en cas de décision judiciaire concluant à la violation du principe du droit à la vie privée, dit Dahlia Kownator, déléguée générale de l'Association française des fournisseurs d'accès et de services Internet (AFA-France). Vu l'accumulation des textes réglementaires sur cette question, tant au niveau national que communautaire, en particulier s'agissant des fournisseurs d'accès, une harmonisation entre tous ces textes est absolument nécessaire, à commencer par l'emploi d'une terminologie commune."

"UN MOYEN SCÉLÉRAT"

Autre point de discorde, la prise en charge des coûts engendrés par la rétention de ces données. "Pour l'heure, l'Etat propose une indemnisation forfaitaire, ce qui ne correspond malheureusement pas, et de très loin, à la réalité des frais qui devront être engagés", ajoute Mme Kownator.

Le décret encadre également les conditions de transmission de ces données aux services de police et de gendarmerie, de même que les conditions de leur conservation par ces services. "Les données fournies (...) sont enregistrées et conservées pendant une durée maximale de trois ans", dans des fichiers "mis en oeuvre par les ministères de l'intérieur et de la défense". L'association Iris rappelle que ces données peuvent être demandées dans le cadre "d'enquêtes administratives et non judiciaires" - c'est-à-dire menées hors du contrôle d'un magistrat. "Ce projet de décret constitue en réalité un moyen scélérat d'étendre la durée de rétention de données au-delà de ce que permettent les législations française et européenne, déjà bien trop étendues", ajoute l'association.

Interrogés jeudi 19 avril, les services de la Commission nationale de l'informatique et des libertés (CNIL) disaient ne pas avoir encore été formellement saisis pour avis.