Au sommaire :
Références
NOR : CNIX2235060V
Source : JORF n°0290 du 15 décembre 2022, texte n° 101
En-tĂȘte
La Commission nationale de l’informatique et des libertĂ©s,
Saisie par le ministĂšre de la justice d’une demande d’avis concernant un projet de dĂ©cret relatif Ă la conservation des contenus retirĂ©s ou rendus inaccessibles par les opĂ©rateurs de plateforme en ligne soumis Ă des obligations renforcĂ©es en matiĂšre de lutte contre la diffusion publique de contenus illicites ;
Vu le rĂšglement (UE) 2016/679 du Parlement europĂ©en et du Conseil du 27 avril 2016 relatif Ă la protection des personnes physiques Ă l’Ă©gard du traitement des donnĂ©es Ă caractĂšre personnel et Ă la libre circulation de ces donnĂ©es, et abrogeant la directive 95/46/CE (rĂšglement gĂ©nĂ©ral sur la protection des donnĂ©es, ci-aprĂšs « RGPD ») ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiĂ©e relative Ă l’informatique, aux fichiers et aux libertĂ©s ;
Vu l’article 6-4 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’Ă©conomie numĂ©rique ;
Article
Sur la proposition de M. Bertrand du MARAIS, commissaire, et aprĂšs avoir entendu les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l’avis suivant :
L’article 6-4 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’Ă©conomie numĂ©rique (LCEN), dans sa rĂ©daction rĂ©sultant de l’article 42 de la loi n° 2021-1109 du 24 aoĂ»t 2021 confortant le respect des principes de la RĂ©publique, introduit une obligation pour les opĂ©rateurs de plateforme en ligne de concourir Ă la lutte contre la diffusion publique des contenus illicites.
Les contenus illicites sont dĂ©finis au troisiĂšme alinĂ©a du 7° du I de l’article 6 de la LCEN ainsi qu’aux troisiĂšme et quatriĂšme alinĂ©as de l’article 33 de la loi du 29 juillet 1881 sur la libertĂ© de la presse : il s’agit notamment des contenus Ă caractĂšre terroriste, raciste, homophobe et/ou pĂ©dopornographique.
A cette fin, les opĂ©rateurs de plateforme en ligne ayant une activitĂ© de stockage de contenus doivent conserver temporairement les contenus qui leur ont Ă©tĂ© signalĂ©s comme illicites et qu’ils ont retirĂ©s ou rendus inaccessibles, aux fin de les mettre Ă la disposition de l’autoritĂ© judiciaire pour les besoins de la recherche, de la constatation et de la poursuite des infractions pĂ©nales.
L’article 6-4-1°-c de la LCEN prĂ©voit que la durĂ©e et les modalitĂ©s de conservation de ces contenus sont dĂ©finies par un dĂ©cret en Conseil d’Etat, pris aprĂšs avis de la
Commission nationale de l’informatique et des libertĂ©s (ci-aprĂšs « la Commission »).
C’est dans ce contexte que la Commission a Ă©tĂ© saisie par le ministĂšre de la justice du prĂ©sent projet de dĂ©cret.
Sur la durée de conservation :
L’article 1er du projet de dĂ©cret prĂ©voit que la durĂ©e de conservation des contenus signalĂ©s comme illicites est de six mois Ă compter de la date Ă laquelle ils ont Ă©tĂ© retirĂ©s ou rendus inaccessibles.
Le ministĂšre a fait correspondre cette durĂ©e de conservation avec celle fixĂ©e pour les contenus Ă caractĂšre terroriste qui ont Ă©tĂ© retirĂ©s ou auxquels l’accĂšs a Ă©tĂ© bloquĂ© conformĂ©ment au rĂšglement (UE) 2021/784 du Parlement europĂ©en et du Conseil du 29 avril 2021 relatif Ă la lutte contre la diffusion des contenus Ă caractĂšre terroriste en ligne entrĂ© en application le 7 juin 2022. En effet, l’article 6 de ce rĂšglement dispose que les fournisseurs de services d’hĂ©bergement conservent les contenus Ă caractĂšre terroriste qui ont Ă©tĂ© retirĂ©s ou auxquels l’accĂšs a Ă©tĂ© bloquĂ© pendant six mois Ă compter du retrait ou du blocage.
La Commission prend acte des prĂ©cisions du ministĂšre selon lesquelles le dĂ©lai de conservation des contenus illicites est nĂ©cessaire et suffisant pour permettre Ă l’autoritĂ© judiciaire d’accĂ©der aux contenus pour les besoins de la recherche, de la constatation et de la poursuite des infractions pĂ©nales.
La Commission considĂšre que les contenus retirĂ©s ou rendus inaccessibles par les opĂ©rateurs de plateforme en ligne sont conservĂ©s pendant une durĂ©e qui n’excĂšde pas la durĂ©e nĂ©cessaire compte tenu des finalitĂ©s pour lesquels ils sont stockĂ©s, conformĂ©ment Ă l’article 5-1-e du rĂšglement gĂ©nĂ©ral sur la protection des donnĂ©es (RGPD).
Sur les modalités de conservation des contenus retirés ou rendus inaccessibles :
L’article 2 du projet de dĂ©cret indique que les modalitĂ©s de conservation des contenus doivent s’effectuer :
– dans le respect des prescriptions relatives Ă la sĂ©curitĂ© des informations prĂ©vues Ă l’article 4-6° de la loi du 6 janvier 1978 modifiĂ©e et Ă l’article 32 du RGPD ;
– dans les conditions garantissant une extraction dans les meilleurs dĂ©lais pour rĂ©pondre Ă une demande des autoritĂ©s judiciaires.
La Commission considĂšre que la simple rĂ©fĂ©rence Ă la nĂ©cessitĂ© de respecter le cadre lĂ©gal relatif Ă la protection des donnĂ©es Ă caractĂšre personnel et de garantir une extraction rapide des donnĂ©es ne permet pas de satisfaire aux exigences de l’article 6-4-1°-c de la LCEN qui prĂ©voit que les modalitĂ©s de conservation de ces contenus sont dĂ©finies par dĂ©cret. Ainsi, en l’Ă©tat, les dispositions de l’article 2 du projet de dĂ©cret apparaissent insuffisantes.
Il appartient aux opĂ©rateurs de plateforme en ligne de veiller Ă ce que les contenus conservĂ©s fassent l’objet de garanties techniques et organisationnelles appropriĂ©es. Ces garanties doivent permettre que les contenus conservĂ©s ne soient mis Ă disposition qu’aux seules fins prĂ©vues Ă l’article 6-4-1°-c de la LCEN et que la protection des donnĂ©es Ă caractĂšre personnel concernĂ©es bĂ©nĂ©ficie d’un haut niveau de sĂ©curitĂ©.
La Commission invite donc le ministĂšre Ă complĂ©ter le projet de dĂ©cret afin de prĂ©ciser que les opĂ©rateurs de plateforme doivent conserver sĂ©parĂ©ment les contenus retirĂ©s ou rendus inaccessibles des autres donnĂ©es dont ils disposent et qui sont de nature Ă permettre l’identification des utilisateurs qui ont mis en ligne ces contenus, dans une base dĂ©diĂ©e Ă laquelle seules les personnes spĂ©cifiquement habilitĂ©es pourront accĂ©der. Elle demande Ă©galement au ministĂšre de prĂ©ciser dans le projet de dĂ©cret qu’il appartient aux opĂ©rateurs de plateforme d’assurer une traçabilitĂ© des accĂšs et des actions des personnes habilitĂ©es.
Date et signature(s)
La présidente,
M.-L. Denis