Conservation des données de connexion
La décision rendue par le Conseil d’État le 21 avril dernier avait été largement commentée, notamment car elle remettait en cause le principe de conservation généralisée des données de connexion par les hébergeurs notamment.
Cette décision était attendue suite aux arrêts rendus par la CJUE le 6 octobre 2020.
La CJUE fixait des limites à la conservation de ces données, relatives notamment :
– à la durée de leur conservation devant être limitée au strict nécessaire ;
– au motif de leur conservation;
– à la nécessité d’un contrôle effectif par une juridiction ou une autorité administrative indépendante.
C’est dans ce contexte qu’ont été publiés, le 21 octobre 2021, les décrets fixant les nouvelles règles de conservation des données de connexion.
Les hébergeurs doivent désormais conserver :
- pendant une durée de cinq ans « à compter de la fin de validité du contrat de l’utilisateur », les informations relatives à l’identité civile de l’utilisateur ;
- pendant une durée d’un an « à compter de la fin de validité du contrat de l’utilisateur ou de la clôture de son compte », les « autres informations fournies par l’utilisateur lors de la souscription d’un contrat ou de la création d’un compte » ;
- les informations de paiement « jusqu’à l’expiration d’un délai d’un an à compter de la fin de validité du contrat de l’utilisateur ou de la clôture de son compte »;
- les « données techniques permettant d’identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés » jusqu’à l’expiration d’un délai d’un an « à compter de la connexion ou de l’utilisation des équipements terminaux » ;
- et les « données de trafic et de localisation » pendant une durée d’un an.