Question de : M. Lionel Tardy
Haute-Savoie (2e circonscription) - Les Républicains

M. Lionel Tardy interroge M. le ministre de l'intérieur sur le périmètre des obligations pesant sur les exploitants de sites et services Internet au titre de la conservation des données de connexion. À la suite d'une erreur humaine ayant eu lieu le 17 octobre 2016, des clients de l'opérateur Orange souhaitant accéder aux services de Google, Wikipedia ou hébergés par la société OVH se sont vus redirigés vers le dispositif de blocage mis en place au titre du décret n° 2015-125 du 5 février 2015. Leurs adresses IP ont ainsi été enregistrées, conformément à la réponse formulée par M. le ministre à la question écrite n° 74166 qui, pour autant, n'a pas totalement levé toutes les incertitudes sur le périmètre des données traitées (c'est ainsi que le ministre n'a pas répondu sur la conservation ou non de l'URL complète émise par le navigateur de l'Internaute et qui figure dans la requête HTTP traitée par le serveur de renvoi). Dans un communiqué en date du 18 octobre 2016, le ministère a indiqué avoir demandé à son prestataire technique opérant le serveur d'information vers lequel sont renvoyés les internautes souhaitant accéder à des contenus faisant l'objet de mesures de blocage, de procéder à l'effacement des adresses IP ainsi collectées. À cet égard, dans son avis (délibération n° 2015-001 du 15 janvier 2015) relatif au décret précité, la CNIL relevait que le cadre juridique actuel ne permet ni la collecte ni l'exploitation, par l'OCLCTIC, des données de connexion des internautes qui seraient redirigés vers la page d'information du ministère de l'intérieur. Si dans un arrêt en date du 19 octobre 2016 la Cour de justice de l'Union européenne a reconnu la légitimité pour un exploitant d'un site Internet de conserver les adresses IP de ses visiteurs à des fins de lutte contre les cyberattaques, elle n'en a pas moins rappelé qu'une telle possibilité doit être explicitement prévue par le droit positif national. Or s'il existe bien une obligation de conservation des données d'identification relatives aux opérations de création et de modification des contenus sur Internet (décret n° 2011-219 du 25 février 2011), il n'existe à ce jour aucune obligation spécifique de conservation à la charge d'un exploitant de service Internet de l'adresse IP de ses visiteurs ou utilisateurs. Dès lors, et compte tenu de la divergence d'interprétation entre les juridictions de l'ordre administratif et celles de l'ordre judiciaire, et des récentes divergences au sein de ce même ordre judiciaire, il souhaite obtenir une clarification quant à la portée des obligations de conservation des données de connexion pour les exploitants de sites Internet, et savoir si l'adresse IP des visiteurs fait partie des données devant être conservées. En outre, il souhaite savoir si le traitement opéré au titre de l'exploitation du serveur d'information vers lequel sont redirigés les contenus faisant l'objet d'une mesure de blocage administratif a bien fait l'objet d'un examen préalable par la CNIL, et dans l'affirmative quelles sont les raisons qui motivent l'absence de publication de l'avis.

Question retirée le 20 juin 2017
Cause : Fin de mandat
Données clés

Auteur : M. Lionel Tardy

Type de question : Question écrite

Rubrique : Télécommunications

Ministère interrogé : Intérieur

Ministère répondant : Intérieur

Date :
Question publiée le 1er novembre 2016

Date de cloture : 20 juin 2017
Fin de mandat

partager