Au sommaire :
Références
NOR : CNIX2235060V
Source : JORF n°0290 du 15 décembre 2022, texte n° 101
En-tête
La Commission nationale de l’informatique et des libertés,
Saisie par le ministère de la justice d’une demande d’avis concernant un projet de décret relatif à la conservation des contenus retirés ou rendus inaccessibles par les opérateurs de plateforme en ligne soumis à des obligations renforcées en matière de lutte contre la diffusion publique de contenus illicites ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données, ci-après « RGPD ») ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;
Vu l’article 6-4 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique ;
Article
Sur la proposition de M. Bertrand du MARAIS, commissaire, et après avoir entendu les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l’avis suivant :
L’article 6-4 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN), dans sa rédaction résultant de l’article 42 de la loi n° 2021-1109 du 24 août 2021 confortant le respect des principes de la République, introduit une obligation pour les opérateurs de plateforme en ligne de concourir à la lutte contre la diffusion publique des contenus illicites.
Les contenus illicites sont définis au troisième alinéa du 7° du I de l’article 6 de la LCEN ainsi qu’aux troisième et quatrième alinéas de l’article 33 de la loi du 29 juillet 1881 sur la liberté de la presse : il s’agit notamment des contenus à caractère terroriste, raciste, homophobe et/ou pédopornographique.
A cette fin, les opérateurs de plateforme en ligne ayant une activité de stockage de contenus doivent conserver temporairement les contenus qui leur ont été signalés comme illicites et qu’ils ont retirés ou rendus inaccessibles, aux fin de les mettre à la disposition de l’autorité judiciaire pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales.
L’article 6-4-1°-c de la LCEN prévoit que la durée et les modalités de conservation de ces contenus sont définies par un décret en Conseil d’Etat, pris après avis de la
Commission nationale de l’informatique et des libertés (ci-après « la Commission »).
C’est dans ce contexte que la Commission a été saisie par le ministère de la justice du présent projet de décret.
Sur la durée de conservation :
L’article 1er du projet de décret prévoit que la durée de conservation des contenus signalés comme illicites est de six mois à compter de la date à laquelle ils ont été retirés ou rendus inaccessibles.
Le ministère a fait correspondre cette durée de conservation avec celle fixée pour les contenus à caractère terroriste qui ont été retirés ou auxquels l’accès a été bloqué conformément au règlement (UE) 2021/784 du Parlement européen et du Conseil du 29 avril 2021 relatif à la lutte contre la diffusion des contenus à caractère terroriste en ligne entré en application le 7 juin 2022. En effet, l’article 6 de ce règlement dispose que les fournisseurs de services d’hébergement conservent les contenus à caractère terroriste qui ont été retirés ou auxquels l’accès a été bloqué pendant six mois à compter du retrait ou du blocage.
La Commission prend acte des précisions du ministère selon lesquelles le délai de conservation des contenus illicites est nécessaire et suffisant pour permettre à l’autorité judiciaire d’accéder aux contenus pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales.
La Commission considère que les contenus retirés ou rendus inaccessibles par les opérateurs de plateforme en ligne sont conservés pendant une durée qui n’excède pas la durée nécessaire compte tenu des finalités pour lesquels ils sont stockés, conformément à l’article 5-1-e du règlement général sur la protection des données (RGPD).
Sur les modalités de conservation des contenus retirés ou rendus inaccessibles :
L’article 2 du projet de décret indique que les modalités de conservation des contenus doivent s’effectuer :
– dans le respect des prescriptions relatives à la sécurité des informations prévues à l’article 4-6° de la loi du 6 janvier 1978 modifiée et à l’article 32 du RGPD ;
– dans les conditions garantissant une extraction dans les meilleurs délais pour répondre à une demande des autorités judiciaires.
La Commission considère que la simple référence à la nécessité de respecter le cadre légal relatif à la protection des données à caractère personnel et de garantir une extraction rapide des données ne permet pas de satisfaire aux exigences de l’article 6-4-1°-c de la LCEN qui prévoit que les modalités de conservation de ces contenus sont définies par décret. Ainsi, en l’état, les dispositions de l’article 2 du projet de décret apparaissent insuffisantes.
Il appartient aux opérateurs de plateforme en ligne de veiller à ce que les contenus conservés fassent l’objet de garanties techniques et organisationnelles appropriées. Ces garanties doivent permettre que les contenus conservés ne soient mis à disposition qu’aux seules fins prévues à l’article 6-4-1°-c de la LCEN et que la protection des données à caractère personnel concernées bénéficie d’un haut niveau de sécurité.
La Commission invite donc le ministère à compléter le projet de décret afin de préciser que les opérateurs de plateforme doivent conserver séparément les contenus retirés ou rendus inaccessibles des autres données dont ils disposent et qui sont de nature à permettre l’identification des utilisateurs qui ont mis en ligne ces contenus, dans une base dédiée à laquelle seules les personnes spécifiquement habilitées pourront accéder. Elle demande également au ministère de préciser dans le projet de décret qu’il appartient aux opérateurs de plateforme d’assurer une traçabilité des accès et des actions des personnes habilitées.
Date et signature(s)
La présidente,
M.-L. Denis