La LCEN qui traite de la "confiance dans l'économie numérique" fait couler beaucoup d'encre depuis l'annonce de sa création.

Adoptée par le Sénat le 8 avril dernier, son objectif est d'instaurer une "République Numérique" en France.

Afin d'apréhender de quoi l'Internet Français de demain sera composé suite à l'application de cette loi, Maître Ballet, avocat au sein du Cabinet Alain Bensoussan Avocats s'exprime sur les tenants et aboutissants de la LCEN.

Le décret d'application de l'article 6-II de la loi du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN) prévoyant la liste des données devant être conservées par les hébergeurs de données pourrait paraître avant la fin de l'année. Le moins que l'on puisse dire, c'est que ce décret se fait attendre. En effet, l'exigence de conservation des données de connexion, par les hébergeurs, remonte à la loi du 1er août 2000 (art. 43-9), aujourd'hui abrogée sur ce point par la LCEN. Le décret d'application de l'article L. 34-1 du Code des postes et des communications électroniques du 24 mars 2006 (codifié aux articles R. 10-12 et suivants du CPCE) ne s'applique qu'aux opérateurs de communications électroniques, c'est-à-dire les FAI et opérateurs de téléphonie, largement définis, puisque également applicable aux " personnes qui, au titre d'une activité professionnelle principale ou accessoire, offrent au public une connexion "à Internet, visant ainsi, notamment, les cybercafés. Toutefois, ce décret ne s'applique pas aux hébergeurs.

L'article 1er du projet de décret d'application de l'article 6 II de la LCEN distingue les données de connexions devant être conservées par les FAI de celles devant l'être par les hébergeurs. Surtout, il prévoit que les FAI et hébergeurs conservent et détiennent les données portant sur l'identification des clients ou utilisateurs. La durée de conservation est, sans surprise, fixée encore à 1 an, même si les pratiques développées sous l'égide de l'AFA fixent cette même durée à 3 mois. Cette durée est néanmoins conforme à la directive 2006/24/CE, qui harmonise la durée de conservation, en prévoyant une durée minimum de 6 mois et une durée maximum de 24 mois. Les modalités de stockage doivent être conformes aux " normes techniques en vigueur ", qui pourraient viser ainsi implicitement la norme NF Z 42-013, actuellement en cours de révision à l'ISO, afin d'intégrer les WORM logiques. Le même projet prévoit que les modalités de transmission aux autorités compétentes et à la demande de ces dernières doivent être réalisées " selon des modalités assurant leur sécurité, leur intégrité et leur suivi ", modalités définies par convention ou, à défaut, par arrêté ministériel.

A l'instar du décret précité du 24 mars 2006, le Gouvernement n'a prévu de mécanisme d'indemnisation des FAI et des hébergeurs que dans le cadre des demandes de communication des données de connexion et d'identification. Inversement, rien n'est prévu, s'agissant des dépenses d'investissement, que les FAI et hébergeurs devront supporter pour faire face à ces " nouvelles " exigences et ce, en dépit du recours en annulation actuellement pendant devant le Conseil d'Etat, à l'encontre du décret du 24 mars 2006, pour ce même motif ( www.afa.org ). En outre, il y a lieu de se demander si un tel projet de décret, dès lors qu'il concerne les hébergeurs, ne devrait pas faire l'objet d'une notification à la Commission Européenne et d'un statu quo, en application de la directive n°98/48 et ce, sous peine d'inopposabilité, conformément à la jurisprudence européenne CIA Security International (CJCE 30 avril 1996). En effet, la directive 2006/24/CE du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, ne concerne pas les hébergeurs, mais uniquement la téléphonie, l'accès à l'internet et le courrier électronique.

Il ne peut donc être exclu que le projet de décret soit promis au même sort que le décret 24 mars 2006 et que le régime " définitif " de la conservation des données d'identification des auteurs de contenus doive encore attendre, avec les incertitudes juridiques qui pèsent sur les opérateurs, d'autant que l'absence de conservation des données précitées est sévèrement sanctionnée par une amende de 75 000 € et 1 an d'emprisonnement. Le projet de décret doit encore recueillir les avis consultatifs de la Cnil et de l'Arcep, avant d'être adopté en Conseil d'Etat.


Philippe Ballet
Avocat, Directeur du département Internet
Cabinet Alain Bensoussan Avocats