Fiche juridique
Cette fiche est destinée à tout hébergeur français soucieux de respecter tant le droit que la vie privée de ses utilisateurs et utilisatrices face aux obligations de conservation de données de connexion. « Hébergeur » désigne ici toute personne qui, sur Internet, met à disposition du public des contenus (texte, vidéo, programmes…) que des utilisateurs tiers lui ont fournis (ce qui exclut les services de courriel, notamment).
La loi pour la confiance dans l’économie numérique 1) prévoit que, chaque fois qu’un utilisateur publie, modifie ou supprime un contenu, l’hébergeur doit conserver pendant un an :
Cette obligation est sanctionnée d’une peine maximale d’un an d’emprisonnement et de 75 000 € d’amende (375 000 € pour les personnes morales) 2).
Lorsqu’un utilisateur crée un compte, et si l’hébergeur a l’habitude de les collecter, il doit conserver pendant un an :
Les hébergeurs qui ne collectent pas ces données n'ont pas à les conserver ni à les transmettre aux autorités qui en feraient la demande.
Cette obligation est sanctionnée d’une peine maximale d’un an d’emprisonnement et de 75 000 € d’amende (375 000 € pour les personnes morales).
La Cour de justice de l’Union européenne (UE) considère 3) que la Charte des droits fondamentaux de l’Union européenne interdit aux États de l’UE d’adopter une loi qui :
Nous considérons donc que l’obligation de conservation imposée aux hébergeurs français est contraire à la Charte de l’UE. 4) Cette Charte étant hiérarchiquement supérieure aux lois françaises, les hébergeurs français ne devraient être obligés de conserver aucune donnée : or, conserver des données personnelles sans justification valide est puni d’une amende de 3 millions €. 5)
En conséquence, tant pour respecter le droit que les personnes qui utilisent leurs services, nous recommandons aux hébergeurs d'appliquer le droit européen.
Cependant, un hébergeur peut avoir un besoin légitime de conserver pendant une certaine durée, pour des raisons techniques et de sécurité, l'adresse IP depuis laquelle des contenus ont été publiés ou modifiés. Nous prenons comme référence de durée 14 jours. C'est ce qui a été retenu par la communauté Debian lors du passage à la version 8 de la distribution en avril 2015 comme durée par défaut de conservation des données techniques traitées par le serveur Apache.
Il y est donc autorisé, et doit alors respecter les exigences applicables en matière de protection des données. Principalement, il s'agit informer les utilisateurs de la conservation réalisée et de mettre en place les mesures techniques garantissant que les données ne soient pas accessibles par des tiers ou pour d'autres raisons que l'administration du service.