Hébergeurs – Obligation de conservation de données

Fiche juridique

Cette fiche est destinée à tout hébergeur français soucieux de respecter tant le droit que la vie privée de ses utilisateurs et utilisatrices face aux obligations de conservation de données de connexion. « Hébergeur » désigne ici toute personne qui, sur Internet, met à disposition du public des contenus (texte, vidéo, programmes…) que des utilisateurs tiers lui ont fournis (ce qui exclut les services de courriel, notamment).

La loi pour la confiance dans l’économie numérique ¹⁾ prévoit que, chaque fois qu’un utilisateur publie, modifie ou supprime un contenu, l’hébergeur doit conserver pendant un an :

• l’adresse IP de l’utilisateur, et l’identifiant (pseudo, login…) éventuellement utilisé ;
• le type, la date et l’heure de l'opération ;
• les types de protocoles utilisés pour la connexion au service et le transfert du contenu ;
• l'identifiant attribué au contenu par l’hébergeur.

Cette obligation est sanctionnée d’une peine maximale d’un an d’emprisonnement et de 75 000 € d’amende (375 000 € pour les personnes morales) ²⁾.

Lorsqu’un utilisateur crée un compte, et si l’hébergeur a l’habitude de les collecter, il doit conserver pendant un an :

• l’adresse IP de l’utilisateur au moment de créer le compte ;
• les noms et pseudonymes qu’il a indiqués ;
• les adresses postales et électroniques et les numéros de téléphone indiqués ;
• le mot de passe, ainsi que les données permettant de le vérifier ou de le modifier ;
• le type, la référence, le montant, la date et l’heure de chaque paiement qui serait survenu.

Les hébergeurs qui ne collectent pas ces données n'ont pas à les conserver ni à les transmettre aux autorités qui en feraient la demande.

Cette obligation est sanctionnée d’une peine maximale d’un an d’emprisonnement et de 75 000 € d’amende (375 000 € pour les personnes morales).

La Cour de justice de l’Union européenne (UE) considère ³⁾ que la Charte des droits fondamentaux de l’Union européenne interdit aux États de l’UE d’adopter une loi qui :

• impose « une conservation généralisée et indifférenciée de l’ensemble des données […] de tous les abonnés et utilisateurs » ;
• « oblige les fournisseurs de services […] à conserver ces données de manière systématique et continue » ;
• « s’applique donc même à des personnes pour lesquelles il n’existe aucun indice de nature à laisser croire que leur comportement puisse avoir un lien, même indirect ou lointain, avec des infractions pénales graves » ;
• « ne requiert aucune relation entre les données dont la conservation est prévue et une menace pour la sécurité publique ».

Nous considérons donc que l’obligation de conservation imposée aux hébergeurs français est contraire à la Charte de l’UE. ⁴⁾ Cette Charte étant hiérarchiquement supérieure aux lois françaises, les hébergeurs français ne devraient être obligés de conserver aucune donnée : or, conserver des données personnelles sans justification valide est puni d’une amende de 3 millions €. ⁵⁾

En conséquence, tant pour respecter le droit que les personnes qui utilisent leurs services, nous recommandons aux hébergeurs d'appliquer le droit européen.

Cependant, un hébergeur peut avoir un besoin légitime de conserver pendant une certaine durée, pour des raisons techniques et de sécurité, l'adresse IP depuis laquelle des contenus ont été publiés ou modifiés. Nous prenons comme référence de durée 14 jours. C'est ce qui a été retenu par la communauté Debian lors du passage à la version 8 de la distribution en avril 2015 comme durée par défaut de conservation des données techniques traitées par le serveur Apache.

Il y est donc autorisé, et doit alors respecter les exigences applicables en matière de protection des données. Principalement, il s'agit informer les utilisateurs de la conservation réalisée et de mettre en place les mesures techniques garantissant que les données ne soient pas accessibles par des tiers ou pour d'autres raisons que l'administration du service.