dimanche 10 décembre 2017

Accueil du site > Technologie > Conservation des données : les entreprises soumises aux mêmes obligations (...)

Conservation des données : les entreprises soumises aux mêmes obligations que les FAI

Estelle Dumout, ZDNet France

jeudi 3 mars 2005, sélectionné par Spyworld

Selon la cour d’appel de Paris, les entreprises sont tenues, comme les FAI, de stocker les données de connexions de leurs employés et de les communiquer sur réquisition judiciaire. Problème : la durée légale de conservation des données reste floue.

Un arrêt de la cour d’appel de Paris (*), en date du 4 février, pourrait s’avérer lourd de conséquences pour un grand nombre d’entreprises. Les magistrats ont décidé qu’elles devaient être soumises aux mêmes règles que les fournisseurs d’accès, en ce qui concerne la conservation des données de connexion de leurs salariés et leur transmission sur réquisition judiciaire.

Au départ de la procédure, un litige entre la société World Press Online (WPO) et la banque BNP Paribas. Un e-mail mensonger sur cette société est envoyé fin 2003 à deux de ses partenaires commerciaux, à partir d’une adresse Yahoo.

L’adresse IP de l’expéditeur mène directement à un poste installé dans les locaux français de la BNP. WPO demande à plusieurs reprises à la banque de lui communiquer les informations pour identifier l’employé, qui se connecte sur le PC incriminé.

La BNP ne réagit pas, WPO intente alors une action en référé en juillet 2004 devant le tribunal de commerce de Paris. Lequel ordonne à la banque de transmettre, sous astreinte, les informations demandées. Elle fait appel de ce jugement, et est donc déboutée.

Dans leurs attendus, les juges ont apporté une précision importante : ils estiment que BNP Paribas « est tenue (...) d’une part de détenir et de conserver des données de nature à permettre l’identification de toute personne ayant contribué à la création d’un contenu des services dont elle est prestataire, et d’autre part à communiquer ces données sur réquisitions judiciaires ».

FAI, cybercafés et entreprises dans le même bateau

Ils s’appuient ainsi sur les définitions contenues dans les articles 43-7 et 43-9 de la loi sur la liberté de communication (votée en 1986, amendée en 2000). Ce sont, à l’origine, des dispositions qui s’appliquent aux fournisseurs d’accès internet. Elles ont été depuis reprises dans la loi pour la confiance dans l’économie numérique (LCEN), validée en juin 2004.

La cour d’appel fait référence à la loi de 1986, car les procédures entre BNP et Wolrd Press Online ont débuté avant l’adoption définitive de la LCEN, explique à ZDNet Benoît Tabaka, juriste et chargé de mission au Forum des droits sur l’internet (FDI).

Cet arrêt « ouvre la voie à ce que l’on envisageait déjà, [mais sans avoir de jurisprudence officielle] », poursuit-il. « Ces dispositions concernent toutes les personnes qui permettent d’accéder à l’internet, donc pas seulement les fournisseurs d’accès internet, mais aussi les cybercafés, les entreprises, et pourquoi pas les particuliers qui partagent à plusieurs une connexion Wi-Fi. »

En tout cas, « il s’agit de la première décision qui assimile aussi clairement que cela une entreprise à un fournisseurs d’accès internet », souligne le juriste. Cela signifie, selon lui, qu’il leur faudra mettre en place de nombreux éléments pour stocker l’ensemble de l’activité de leurs salariés. Une situation problématique autant pour les grandes entreprises, qui ont un nombre important d’employés, que pour les PME, qui ne disposent pas forcément des infrastructures techniques adéquates.

Toujours pas de décret sur la durée de stockage

Mais surtout, il va falloir combiner avec un flou juridique et législatif. Car les obligations qui pèsent sur les FAI en la matière ne sont toujours pas clairement définies. Petit retour en arrière : la loi sur la sécurité quotidienne, votée à l’automne 2001, a instauré un régime de base pour la conservation des données de connexion des clients des FAI.

Elle pose le principe de l’effacement automatique de ces données, à deux exceptions près : une conservation à des fins de facturation et une conservation pour répondre à une requête judiciaire. Dans les deux cas, la loi affirme que les données ne doivent pas être stokées au-delà d’un an.

Or la durée exacte et, surtout, la nature des données à conserver doivent être précisées par un décret d’application, qui n’a toujours pas été publié à ce jour. La loi précise juste que les contenus des pages visitées ou des e-mails envoyés ne peuvent pas être concernés par le stockage.

Ce décret n’est toujours pas paru car, entre-temps, un projet de décision-cadre a été soumis au Parlement européen, notamment sous l’impulsion de la France, pour modifier la réglementation européenne sur la conservation des données.

Selon ce texte, la durée de conservation des données devrait désormais être d’un an minimum. Il fait l’objet de débats houleux à Strasbourg, car aucune durée maximum de stockage n’est spécifiée.

(*) L’arrêt de la cour d’appel de Paris est consultable sur le site du FDI.


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :