A l’origine obligation contextuelle liée aux conséquences du 11 septembre 2001, la conservation des logs est devenue aujourd’hui une obligation permanente. Établie par la Loi sur la Sécurité Quotidienne de 2001, l’obligation de conservation des logs ne concernait originellement que les FAI pour une période d’une année, soumise à l’anonymisation des données relatives à la communication. Les fournisseurs d’accès à Internet pouvaient être soumis à l’obligation de les mettre à disposition de l’autorité judiciaire.
De temporaire, cette mesure, après avoir été prolongée jusqu’à fin 2005, grâce au projet de Loi sur la Sécurité Intérieure, a été rendue pérenne par la Loi Pour la Sécurité intérieure adoptée le 18 mars 2003. D’autre part, l’amendement Estrosi et la loi du 23 janvier 2006 relative à la Lutte contre le Terrorisme, ont permis aux services de police d'avoir accès aux logs de connexion, sans contrôle judiciaire. Dans le même temps, la loi pour la confiance dans l’économie numérique (2004) obligeait à conserver les informations permettant d’identifier le déposeur d’un contenu.
Cette évolution des règles juridiques en la matière s’est accompagnée d’une extension des personnes concernées :
Alors qu’en 2001, il ne s’agissait que des opérateurs de telecommunication, aujourd’hui sont concernés tous les fournisseurs d’accès à des services de communication tels que des cybercafés, hotels, bibliothèques, et connexions wifi.
Dans les enterprises, la CNIL a considéré en 2005, que les services fournis pour les seuls salariés de l’Entreprise n’étaient pas assujetis à la conservation des logs, sauf dans le cas des accès fournis à des filiales. L’arrêt de la cour d’appel de Paris du 4 février 2005, représente cependant une jurisprudence isolée dans laquelle BNP Paribas a été tenue de fournir ce type d'informations.
Depuis 2006, obligation est faite tout FAI, y compris une entreprise fournissant un accès internet à ses salariés, de conserver les données techniques dans une finalité de recherche, poursuite et infraction pénales qui peut faire l’objet d’une requisition des services de police sans autorisation judiciaire.
Une non-conservation impliquerait des sanctions pénales, tout comme un non-respect de la durée minimale de conservation (qui varie en fonction des finalités), où encore de l’anonymisation des données. On s’aperçoit ainsi que la France a devancé les USA en matière de possibilité de réquisition des informations de connexion. Les coûts de fourniture de logs sont pris en charge par la justice ou la police, sur présentation des factures.
Synthèse réalisée dans le cadre d'un séminaire organisé par Wallix avec Maître MURIEL ARTIS
Avocat à la Cour.
