Table des matières

Hébergeurs – Obligation de conservation de données

Fiche juridique

Cette fiche est destinée à tout hébergeur français soucieux de respecter tant le droit que la vie privée de ses utilisateurs et utilisatrices face aux obligations de conservation de données de connexion. « Hébergeur » désigne ici toute personne qui, sur Internet, met à disposition du public des contenus (texte, vidéo, programmes…) que des utilisateurs tiers lui ont fournis (ce qui exclut les services de courriel, notamment).

A. Le droit français

La loi pour la confiance dans l’économie numérique 1) prévoit que, chaque fois qu’un utilisateur publie, modifie ou supprime un contenu, l’hébergeur doit conserver pendant un an :

Cette obligation est sanctionnée d’une peine maximale d’un an d’emprisonnement et de 75 000 € d’amende (375 000 € pour les personnes morales) 2).

Lorsqu’un utilisateur crée un compte, et si l’hébergeur a l’habitude de les collecter, il doit conserver pendant un an :

Les hébergeurs qui ne collectent pas ces données n'ont pas à les conserver ni à les transmettre aux autorités qui en feraient la demande.

Cette obligation est sanctionnée d’une peine maximale d’un an d’emprisonnement et de 75 000 € d’amende (375 000 € pour les personnes morales).

B. Le droit de l’Union européenne

La Cour de justice de l’Union européenne (UE) considère 3) que la Charte des droits fondamentaux de l’Union européenne interdit aux États de l’UE d’adopter une loi qui :

Nous considérons donc que l’obligation de conservation imposée aux hébergeurs français est contraire à la Charte de l’UE. 4) Cette Charte étant hiérarchiquement supérieure aux lois françaises, les hébergeurs français ne devraient être obligés de conserver aucune donnée : or, conserver des données personnelles sans justification valide est puni d’une amende de 3 millions €. 5)

En conséquence, tant pour respecter le droit que les personnes qui utilisent leurs services, nous recommandons aux hébergeurs d'appliquer le droit européen.

C. Recommandation pour les hébergeurs

Cependant, un hébergeur peut avoir un besoin légitime de conserver pendant une certaine durée, pour des raisons techniques et de sécurité, l'adresse IP depuis laquelle des contenus ont été publiés ou modifiés. Nous prenons comme référence de durée 14 jours. C'est ce qui a été retenu par la communauté Debian lors du passage à la version 8 de la distribution en avril 2015 comme durée par défaut de conservation des données techniques traitées par le serveur Apache.

Il y est donc autorisé, et doit alors respecter les exigences applicables en matière de protection des données. Principalement, il s'agit informer les utilisateurs de la conservation réalisée et de mettre en place les mesures techniques garantissant que les données ne soient pas accessibles par des tiers ou pour d'autres raisons que l'administration du service.

1)
L’obligation de conservation est prévue à l’article 6, II, de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN) ; elle est précisée par le décret n° 2011-219 du 25 février 2011.
2)
Article VI.-1 de la LCEN.
3)
Arrêt Tele2 Sverige (C-203/15) de la Cour de justice de l’Union européenne du 21 décembre 2016, dont sont ici cités les paragraphes 97, 105, 106 et 108.
4)
La Cour de justice de l’UE n’a eu l’occasion de déclarer l’obligation de conservation contraire au droit européen que lorsque celle-ci s’imposait aux opérateurs téléphoniques et fournisseur d’accès à Internet. Toutefois, les considérations de la Cour étant si fortes et claires, nous considérons qu’elles s’appliquent aussi et à l’identique, sans aucun débat possible, aux obligations qui viseraient des hébergeurs.
5)
Article 47 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.