La loi pour la confiance dans l’économie numérique (LCEN) et le code des postes et des communications électroniques (CPCE) prévoient, à la charge des fournisseurs d’accès et d’hébergement et des opérateurs, l’obligation de conserver les données de connexion et de les communiquer à l’autorité judiciaire, sur demande de cette dernière. Conformément au décret du 24 mars 2006, la durée de conservation est fixée à un an, délai au-delà duquel elles devront être anonymisées.
La loi du 23 janvier 2006 sur la lutte contre le terrorisme précise que sont concernées par cette obligation, « les personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit » (CPCE, art. L. 34-1, I, al. 2). Tout manquement à cette obligation expose à une peine de prison d’un an et à 75000 euros d’amende, le quintuple pour les personnes morales.
La notion d’activité principale vise les propriétaires des cybercafés, mais également les « personnes qui offrent à leurs clients, dans un cadre public, ou à des visiteurs une connexion en ligne, tels les hôtels, les compagnies aériennes… » et les «fournisseurs d’accès à des réseaux de communications électroniques accessibles via une borne WIFI » que ce soit à titre payant ou non. La notion d’activité à titre accessoire vise quant à elle les opérateurs non pas en raison de leur appartenance à une profession ou d’une désignation par la loi, mais sur la seule base de leur activité, dès lors qu’ils offrent au public un accès au réseau permettant une communication en ligne.
La CNIL, dans une délibération n° 2005-208 du 10 octobre 2005 portant avis sur le projet de loi relatif à la lutte contre le terrorisme, a considéré que les entreprises ou administrations qui offrent un accès au réseau à leurs seuls salariés ou agents ne sont pas concernées par l’obligation de conservation des données. Mais cette délibération s’inscrit en contradiction avec un arrêt de la cour d’appel du 4 février 2005 qui, procédant à une application extensive de l’obligation de conservation, a considéré qu’une banque est un « prestataire technique », « tenue (…) de détenir et de conserver les données de nature à permettre l’identification de toute personne ayant contribué à la création d’un contenu des services dont elle est prestataire et d’autre part, à communiquer ces données sur réquisitions judiciaires ».
On doit logiquement déduire de cette décision qu’une personne morale ou physique qui dispose d’un site internet et qui gère « des flux de navigation » est tenue de stocker les données de connexion pendant une durée d’un an afin d’être en mesure de les communiquer aux autorités judiciaires et, dorénavant, aux agents en charge de la lutte contre le terrorisme.
