Transposition du nouveau cadre réglementaire européen des communications électroniques

Un décret, paru le 30 mars 2012, vient compléter sur de nombreux points la transposition du « paquet Télécom » initiée par l'ordonnance du 24 août 2011. Le texte contient diverses dispositions concernant les obligations des opérateurs télécom, notamment celle de notifi cation à la CNIL des violations de données personnelles faisant l'objet d'un traitement dans le cadre de services de communications électroniques. Le décret procède en outre à plusieurs séries d'ajustements des dispositions du Code des postes et des communications électroniques relatives à l'Agence nationale des fréquences et à l'attribution et à la gestion des noms de domaine, ainsi que des dispositions du décret du 25 février 2011 relatif à la conservation et à la communication des données permettant d'identifi er toute personne ayant contribué à la création de contenus en ligne. Parmi ces données devant être conservées par les hébergeurs aux fi ns de répondre aux réquisitions judiciaires, fi gurait l'obligation de conservation du « mot de passe ainsi que les données permettant de les vérifi er ». Souhaitée par les services d'enquête, cette obligation de conservation avait été critiquée par plusieurs acteurs de l'internet et associations de défense des libertés. Le décret du 30 mars 2012 supprime pour les hébergeurs la conservation du mot de passe mais maintient, en dépit de recommandations du CNNum, l'obligation de conservation des « données permettant de vérifi er le mot de passe ». Or, pour le Conseil, cette donnée de « vérifi cation » ne permet en aucun cas d'identifi er la personne elle-même voire relève de la vie privée, et permet alors d'accéder et/ou modifi er le mot de passe et donc de pouvoir accéder à des informations en dehors du cadre légal approprié.