CNIL, Délibération du 7 octobre 2021, n° 2021-115
Résumé de la juridiction
Délibération n° 2021-115 du 7 octobre 2021 portant avis sur un projet de décret relatif à la conservation des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne, pris en application du II de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (demande d’avis n° 21016517)
Commentaire • 0
Sur la décision
| Référence : | CNIL, délib. n° 2021-115, 7 oct. 2021 |
|---|---|
| Numéro : | 2021-115 |
| Nature de la délibération : | Avis |
| État : | VIGUEUR |
| Identifiant Légifrance : | CNILTEXT000044231736 |
Texte intégral
La Commission nationale de l’informatique et des libertés,
Saisie par le Secrétaire général de la défense et de la sécurité nationale (SGDSN) d’une demande d’avis concernant un projet de décret relatif à la conservation des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne, pris en application du II de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;
Après avoir entendu le rapport de Mme Sophie LAMBREMON, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l’avis suivant :
La loi n° 2021-998 du 30 juillet 2021 relative à la prévention d’actes de terrorisme et au renseignement a modifié l’encadrement de la conservation des données de connexion par les opérateurs de communications électroniques, les fournisseurs d’accès à Internet et les hébergeurs.
Cette évolution visait pour l’essentiel à tenir compte de la décision French Data Network et autres du Conseil d’Etat statuant au contentieux le 21 avril 2021 (n° 393099, 394922, 397844, 397851, 424717, 424718). La Commission souligne que cette décision, faisant suite à une saisine de la Cour de justice de l’Union européenne (CJUE) d’une question préjudicielle, est porteuse d’enjeux significatifs tant en matière de libertés publiques, et notamment de préservation de la vie privée des personnes, que d’effectivité de l’action publique pour garantir les intérêts fondamentaux de la Nation, la sécurité publique et la répression des infractions.
Dans sa décision, le Conseil d’Etat a notamment enjoint au Premier ministre de procéder à l’abrogation dans un délai de six mois de l’article R. 10-13 du code des postes et des communications électroniques (CPCE) ainsi que du décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne. C’est dans ce contexte que la Commission a été saisie par le Secrétariat général de la défense et de la sécurité nationale (SGDSN) du présent projet de décret.
Le projet de décret est pris en application du II de l’article 6 de la loi pour la confiance dans l’économie numérique (LCEN), dans sa rédaction modifiée par l’article 17 de la loi du 30 juillet précitée. Il précise les catégories de données mentionnées à l’article L. 34-1 du CPCE (identité civile, informations relatives au paiement, données de connexion et de localisation) et devant être conservées par les personnes visées aux 1 et 2 du I de l’article 6 de la LCEN, à savoir les fournisseurs d’accès à des services de communication au public en ligne et les fournisseurs de services d’hébergement de contenus en ligne (ci-après les fournisseurs ).
De manière générale, la Commission considère que le projet de décret, en ce qu’il fait application de dispositions législatives sur lesquelles elle s’est prononcée dans son avis du 3 mai 2021, n’appelle pas d’observations substantielles.
Si elle relève que le projet de décret détermine les données devant être conservées par les fournisseurs, conformément à l’article 17 de la loi du 30 juillet 2021, la Commission s’interroge néanmoins sur la possibilité de conserver certaines d’entre elles et estime, en outre, que des précisions devraient être apportées concernant certaines des catégories d’informations afin d’améliorer la lisibilité du décret et de clarifier les obligations incombant aux fournisseurs.
Dans ces conditions, la Commission formule les observations suivantes.
Observations générales
L’article 7 du projet de décret prévoit que les données mentionnées aux articles 1 à 5 ne doivent être conservées que dans la mesure où elles sont collectées par les personnes mentionnées aux 1 et 2 du I de l’article 6 de la loi du 21 juin 2004 susvisée lorsqu’elles assurent la mise en œuvre des services de communication au public en ligne, et que ces données sont pertinentes au regard des finalités poursuivies par la loi .
La Commission relève que les obligations des fournisseurs portent uniquement sur la conservation de certaines catégories de données qu’ils détiennent au titre de la fourniture des services qu’ils proposent, les textes ne leur imposant pas de conserver des données qu’ils n’auraient pas préalablement collectées. La Commission rappelle que le principe de minimisation impose de limiter cette conservation aux données strictement nécessaires au regard des finalités posées par la loi.
La Commission insiste également sur la nécessité d’employer, au sein du projet de décret, les termes les plus précis possibles pour encadrer les données conservées et ce, afin de limiter tout risque de collecte excessive.
Sur les informations relatives à l’identité civile de l’utilisateur
L’article L. 34-1 II bis 1°) prévoit désormais que les opérateurs de communications électroniques sont tenus de conserver des informations relatives à l’identité civile de l’utilisateur jusqu’à l’expiration d’un délai de cinq ans à compter de la fin de validité de son contrat . L’article 1er du projet de décret prévoit que ces données sont : les nom et prénoms ou la raison sociale ; la ou les adresses postales associées ; les date et lieu de naissance ; les adresses de courrier électronique ou de compte associées et le ou les numéros de téléphone.
En premier lieu, la Commission invite le SGDSN à modifier le projet de décret s’agissant des adresses de courrier électronique ou de compte associées, afin d’inclure, au même titre que les adresses postales et les numéros de téléphone, la possibilité de la collecte d’une seule de ces informations, le cas échéant. La Commission estime qu’une telle modification serait de nature à éviter une conservation systématique de plusieurs données lorsqu’une seule apparaît suffisante au regard des finalités poursuivies. Elle prend acte de l’engagement du SGDSN de modifier le projet de décret en ce sens.
En second lieu, concernant la conservation de la raison sociale, la Commission prend acte de l’engagement du SGDSN de préciser lorsque le compte est ouvert au nom d’une société , ce qui permet de clarifier l’obligation des fournisseurs.
Sur la conservation du lieu de la transaction
Le projet de décret prévoit que les informations relatives au paiement sont conservées par les fournisseurs à l’occasion de chaque opération de paiement . Ces informations portent sur le type de paiement utilisé , la référence de paiement , le montant et la date, heure et lieu de la transaction .
Le SGDSN a précisé que le lieu de la transaction correspond à la localisation géographique de l’utilisateur lors de la souscription du contrat.
Si le SGDSN s’est engagé à préciser au sein du décret qu’il s’agit du lieu en cas de transaction physique , la Commission est en tout état de cause réservée quant à la conservation de cette donnée par les opérateurs. Elle relève en effet que sa conservation est une obligation nouvelle introduite par le projet de décret et considère que la seule justification apportée par le SGDSN à savoir que que ces données pourraient s’avérer utiles dans le cadre de réquisitions judiciaires par exemple, n’est pas suffisante pour démontrer la nécessité de leur conservation.
Sur les autres informations fournies par l’utilisateur lors de la souscription d’un contrat ou de la création d’un compte
Conformément à l’article L. 34-1 II bis 2°) du CPCE, le projet de décret précise les autres informations fournies par l’utilisateur lors de la souscription d’un contrat ou de la création d’un compte conservées par les personnes visées aux 1 et 2 du I de l’article 6 de la LCEN.
En premier lieu, concernant les pseudonymes utilisés , la Commission prend acte de l’engagement du SGDSN de modifier la rédaction à cet égard en précisant le ou les pseudonymes utilisés , dans la mesure où l’utilisateur n’en définit pas systématiquement plusieurs.
En second lieu , en ce qui concerne les données permettant de vérifier le mot de passe ou de le modifier, le cas échéant par l’intermédiaire d’un double système d’identification de l’utilisateur, dans leur dernière version mise à jour , la Commission relève que cette catégorie est nouvelle et ne faisait pas l’objet d’une conservation dans la cadre du décret n° 2011-219 du 25 février 2011. Elle considère que ce libellé et les données qu’il recouvre ne sont pas suffisamment explicites.
En effet, cette rédaction ne permet pas aux fournisseurs d’identifier avec précision les données qu’ils sont tenus de conserver. Au contraire, cette notion peut porter à confusion et les conduire à conserver des données relatives aux techniques d’authentification, dont l’accès pourrait permettre d’usurper l’identité des abonnés. Or, le SGDSN a précisé que seuls étaient visés les canaux de communication déclarés au préalable par la personne pour permettre la récupération de comptes (adresse électronique alternative, numéro de téléphone d’un proche, etc.). A cet égard, la Commission accueille favorablement la proposition du SGDSN de viser les moyens fournis par l’utilisateur pour le joindre afin de vérifier le mot de passe ou de le modifier, le cas échéant par l’intermédiaire d’un double système d’identification de l’utilisateur, dans leur dernière version mise à jour .
Sur les données techniques permettant d’identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés
L’article L. 34-1 II bis 3°) du CPCE prévoit que pour les besoins de la lutte contre la criminalité et la délinquance grave, de la prévention des menaces graves contre la sécurité publique et de la sauvegarde de la sécurité nationale, les données techniques permettant d’identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés sont conservées. Le projet de décret précise les données visées et qui devront être conservées par les personnes visées aux 1 et 2 du I de l’article 6 de la LCEN.
La Commission relève que le terme identifiant de la connexion utilisé au a) du 1°) de l’article 4 du projet de décret n’est pas clair, et paraît redondant avec le terme adresse IP attribuée à la source de la connexion et le port associé visé au c) du 1° du même article, celui-ci étant un cas spécifique d’identifiant de connexion. La Commission invite le SGDSN à clarifier le projet de décret sur ce point, par exemple en regroupant ces libellés sous le même terme, faisant de l’adresse IP un cas particulier d’identifiant de connexion. A cet égard, si elle prend acte de la proposition du SGDSN de remplacer la notion d’identifiant de connexion par l’expression identifiant utilisé , elle considère que ce terme n’apporte pas de clarification suffisante.
La Présidente
Marie-Laure DENIS
Textes cités dans la décision
- Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
- Loi n° 2004-575 du 21 juin 2004
- Loi n° 78-17 du 6 janvier 1978
- Décret n°2011-219 du 25 février 2011
- LOI n°2021-998 du 30 juillet 2021
- Code de procédure civile
- Code des postes et des communications électroniques