Décret du 30 mars 2012 relatif aux communications électroniques : aspects concernant les données personnelles

Le décret n°2012-436 du 30 mars 2012 porte transposition du nouveau cadre règlementaire européen des communications électroniques.

Ce décret est principalement relatif à la régulation du secteur, mais il contient également des dispositions relatives aux données personnelles.

Ces dispositions concernent notamment l’obligation d’identification des individus créateurs de contenu sur internet et les violations de données personnelles faisant l’objet d’un traitement.

– Une des dispositions du décret du 30 mars 2012 est relative à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne.

Selon les termes de l’article 6 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique, les fournisseurs d’accès et les hébergeurs ont obligation de détenir et conserver les données permettant l’identification de toute personne ayant contribué à la création d’un contenu sur internet afin de pouvoir les communiquer sur réquisitions judicaires ou sur demandes administratives.

Le décret du 25 février 2011 fixe la liste des données concernées. Initialement, l’article 1 § III dudit décret prévoyait la conservation, en sus notamment de l’identifiant de connexion, des dates et heures de l’opération, des pseudonymes utilisés, la conservation du « mot de passe ainsi que des données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour ». Le décret du 30 mars 2012 revient sur ce dernier élément et prévoit la conservation des « données permettant de vérifier le mot de passe ou de le modifier, dans leur dernière version mise à jour ».

L’obligation de détention et de conservation du mot de passe est donc supprimée et seule subsiste l’obligation de conserver et de communiquer les informations permettant de vérifier ce dernier. Par conséquent, en pratique, seules seraient conservées les informations relatives aux « questions secrètes » et aux réponses qui y sont associées.

Cependant, comme le relève l’avis du Conseil National du Numérique en date du 21 novembre 2011 préconisant la suppression de toute référence à la conservation du mot de passe et des données s’y rattachant, le mot de passe et a fortiori les informations permettant de retrouver ce dernier sont potentiellement des éléments de la vie privée de la personne physique. Pourtant, ceux-ci ne permettent pas de procéder à l’identification de l’individu-ci mais se rattachent seulement à un compte. L’avis souligne ainsi le risque de voir le destinataire des données pouvoir accéder et/ou modifier le mot de passe d’un utilisateur et donc, potentiellement, d’accéder à des informations en dehors du cadre légal approprié.

– Le décret du 30 mars 2012 contient également des dispositions relatives à la procédure de notification des violations de données à caractère personnel à la Commission Nationale de l’Informatique et des Libertés (CNIL).

L’article 34 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés impose au responsable de traitement de prendre « toutes précautions utiles » afin de protéger la sécurité des données à caractère personnel recueillies. L’article 34 bis de cette même loi prévoit qu’en cas de violation de ces données, le fournisseur de services de communications électroniques avertisse sans délai la CNIL de l’incident et dans certains cas, la personne physique concernée.

Le décret du 30 mars 2012 vient préciser les modalités de ces différentes notifications.
Ainsi, la notification effectuée à la CNIL doit comprendre la nature et les conséquences de la violation des données, les mesures prises pour y remédier ainsi que les personnes référentes détentrices d’informations supplémentaires sur l’incident.
La notification à l’intéressé n’est pas nécessaire si la CNIL considère que des mesures de protection appropriées ont été mises en œuvre par le fournisseur.

Le décret du 30 mars 2012 vient préciser cette notion et la définit comme « toute mesure technique efficace destinée à rendre les données incompréhensibles à toute personne qui n’est pas autorisée à y avoir accès ».

La CNIL dispose d’un délai de deux mois pour vérifier si de telles mesures ont été mises en œuvre et une absence de réponse dans ce délai vaut constat de non-application des mesures et impose au fournisseur de procéder à la notification à l’intéressé. La CNIL peut également mettre en demeure le fournisseur de procéder à la notification à la personne physique lorsqu’elle considère que la violation de données à caractère personnel est grave.