Décret n° 2021-1361 du 20 octobre 2021 relatif aux catégories de données conservées par les opérateurs de communications électroniques et décret n° 2021-1362 du 20 octobre 2021 relatif à la conservation des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne

Paru dans le N°327 - 4 novembre 2021
Numérique

L’article L. 34-1 du code des postes et des télécommunications(1) précise le régime de traitement applicable aux données à caractère personnel détenues par les opérateurs de communications électroniques, et notamment par les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne (réseaux sociaux).

Si les opérateurs de communications électroniques sont tenus d’effacer ou d’anonymiser les données personnelles relatives aux communications électroniques, il existe toutefois certaines réserves.

En effet, pour les besoins des procédures pénales, de la prévention des menaces contre la sécurité publique et de la sauvegarde de la sécurité nationale mais aussi pour les besoins de la lutte contre la criminalité et la délinquance grave, les opérateurs de communications électroniques sont tenus de conserver certaines catégories de données précisées par décret.

Par une décision n°424717 du 21 avril 2021(2 et 3), le Conseil d’Etat a enjoint au Gouvernement de modifier dans un délai de six mois, pour respecter la jurisprudence européenne, le cadre réglementaire national. Il a en effet considéré que l’obligation de conservation généralisée et indifférenciée des données de trafic et de localisation (autres que les données d’identification, les données contractuelles, les données de paiement et les adresses IP) ne se limitait pas à la sauvegarde de la sécurité nationale et qu’il ne prévoyait pas un réexamen périodique de l’existence d’une menace grave, réelle et actuelle ou prévisible pour la sécurité nationale.

Le décret n°2021-1361(4) modifie le code des postes et télécommunications électroniques pour préciser les données qui doivent être conservées par les opérateurs en application de l’article L. 34-1 du même code. Il s’agit :
  • des données de trafic et de localisation des utilisateurs ;
  • des informations relatives à l'identité civile de l'utilisateur telles que les nom et prénom, la date et le lieu de naissance ou la raison sociale, la ou les adresses postales associées, le ou les numéros de téléphone ;
  • des informations relatives au paiement telles que le type de paiement utilisé, la référence du paiement, le montant, la date, l'heure et le lieu en cas de transaction physique ;
  • des données techniques permettant d'identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés (adresse IP, numéros d’identification de l’utilisateur, du terminal, le numéro de téléphone à l'origine de la communication, …).
En complément et pour les mêmes besoins, le décret n° 2021-1362 du 20 octobre 2021(5) précise les catégories de données devant être conservées afin de permettre l'identification de toute personne ayant contribué à la création d'un contenu mis en ligne.

Conformément à l’article 7 du décret du 20 octobre 2021, la création d’un contenu s’entend comme toutes opérations allant de la création initiale de contenus à leur suppression, en passant par la modification des contenus et de données liées aux contenus.

En application de ces nouvelles dispositions, les informations relatives à l'identité civile de l'utilisateur (telles que les nom et prénom, la date et le lieu de naissance ou la raison sociale, les adresses postales associées, les adresses de courrier électronique de l'utilisateur et des comptes associés, les numéros de téléphone) sont conservées jusqu'à l'expiration d'un délai de cinq ans à compter de la fin de validité du contrat de l'utilisateur.

Les autres informations fournies par l'utilisateur lors de la souscription d'un contrat ou de la création d'un compte (l'identifiant utilisé ou le ou les pseudonymes utilisés), les informations relatives au paiement (type de paiement, référence et montant), les données techniques permettant d'identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés sont conservées jusqu'à l'expiration d'un délai d'un an à compter de la fin de validité du contrat de l'utilisateur, de la clôture de son compte ou de la connexion ou de l’utilisation des équipements terminaux.

Enfin, les données de trafic et de localisation (les dates et heure de début et de fin de la connexion, les caractéristiques de la ligne de l'abonné, l'identifiant attribué par le système d'information au contenu, la nature de l'opération, …) sont conservées par les opérateurs de communications électroniques pour une durée d'un an en cas d'injonction du Premier ministre.

Le décret n°2021-1363 du 20 octobre 2021(6), enjoint aux opérateurs de communications électroniques, "vu la menace grave et actuelle contre la sécurité nationale", de conserver les données de trafic et de localisation énumérées par les deux autres décrets du même jour pour une durée d’un an.

Informations légales | Données personnelles