Début mars, on évoquait la parution au Journal Officiel d'un décret mettant à jour la Loi de 2004 pour pour la confiance dans l'économie numérique (LCEN). Ce décret «relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne» Un nombre impressionnant, voire effrayant, de données personnelles (mots de passe, identifiant de connexion, adresse IP, pseudos, etc.) devenaient dès lors exploitables par un panel d'autorités (gendarmerie, police...).
Pour ce faire, les hébergeurs et fournisseurs de service se voyaient contraints de les stocker pendant un an minimum : ces données devant être conservées «à compter du jour de la création des contenus» , on imagine aisément que certaines informations puissent être gardées longtemps, d'autant qu'elles ne peuvent être supprimées définitivement qu'un an après la fermeture du compte de l'internaute sur telle ou telle plateforme.
Si les fournisseurs de services conservent déjà certains types de données, le plus souvent entre 6 et 12 mois, les exigences de la loi vont bien au delà des actions habituellement entreprises par les sociétés françaises. Dès la publication du décret, l'Association françaises des Services Internet communautaires (Asic), qui compte notamment parmi ses membres Facebook, Dailymotion, Priceminister, Deezer, et autre Google, signalait son mécontentement et se réservait le droit de déposer un recours en annulation devant le Conseil d'Etat. Demain, ce sera chose faite, a-t-on appris aujourd'hui à la suite d'une conférence de presse de l'Asic dont l'intitulé semblait fort à propos : les plates-formes d'expression sur internet : une espèce en danger ?
L'Asic déposera demain mercredi ce recours devant la plus haute juridiction administrative en France. Son secrétaire général Benoît Tabaka, par ailleurs Directeur des affaires juridiques et réglementaires de PriceMinister, a ainsi déclaré que «plusieurs éléments posent problème. Par exemple, il n'y a pas eu de consultation de la Commission européenne» . Principal grief adressé à la mesure, l'obligation de conserver les mots de passe pour les transmettre à la police, d'autant que les passwords sont automatiquement cryptés par sécurité, et qu'ils ne constituent pas en soi une donnée apte à permettre l'identification d'un utilisateur.
Contacté par Ecrans, Benoît Tabaka confirme ainsi qu'une société comme Google n'aurait aucun moyen de fournir aux autorités françaises le mot de passe d'un utilisateur de Gmail, par exemple. Théoriquement, les sociétés non domiciliées en France (comme Facebook, par exemple) ne peuvent répondre aux demandes des autorités que sur commission rogatoire internationale. Mondialisation de l'activité oblige, la pratique est toutefois différente dans les faits d'après Tabaka : «lorsqu'il est question de droit de communication, l'antenne française d'une société internationale va traiter le problème selon la loi du pays, elle sera donc directement impactée par le décret» . La procédure engagée par l'Asic pourrait durer entre neuf mois et un an.