Obligation de conservation des données pour les entreprises

Désormais les entreprises sont tenues de stocker les données de connexion comme les FAI. L’affaire a commencé par un litige entre la société World Press Online (WPO) et la banque BNP- Paribas concernant un e-mail mensonger sur la société WPO envoyé en 2003 à ses partenaires commerciaux.
Suite à une enquête, l’adresse IP de l’expéditeur mène à un ordinateur dans les locaux de la banque.
WPO demande à la BNP de communiquer des informations relatives à l’identification de l’employé. Cette dernière ne réagit pas.

Dans ce contexte d’ignorance, en juillet 2004 WPO intente une action en référé devant le tribunal de commerce de Paris qui ordonne à la banque de transmettre les informations demandées sous astreinte.
La banque fait appel et elle est déboutée de son appel.

En effet, la Cour d’appel de Paris par un arrêt en date du 4 février 2005 attribut à l’établissement bancaire BNP- Paribas la qualité de prestataire technique au sens de l’article 43-7 de la loi du 1er août 2000 qui a été repris dans la loi dans la confiance en l’économie numérique (LCEN) du 21 juin 2004.
Elle considère que la banque est tenue en application de l’article 43-9 de la loi du 1er août 2000 (La LCEN n’était pas encore entrée en vigueur) de détenir et de conserver les données permettant l’identification de toute personne qui a contribué à la création d’un contenu de services dont elle est prestataire, et à communiquer les données sur réquisitions judiciaires.

Les magistrats ont décidé que les entreprises doivent être soumises aux mêmes règles que les fournisseurs d’accès pour la conservation des données de connexion de leurs salariés et de la transmission sur réquisition judiciaire.

Dans son interprétation des dispositions applicables aux FAI, la Cour d’appel a considéré que le fait pour une entreprise de fournir un accès Internet à ses salariés est assimilé à la fourniture d’un accès Internet au public par un FAI.
Cette comparaison permet à un tiers d’obtenir judiciairement la communication de données à l’identification de l’auteur d’un message litigieux.

Cependant, un FAI est « une personne dont l’activité est d’offrir un accès à des services de communications au public en ligne ». Par cette définition, les entreprises n’ayant pas ce type d’activité sont exclues.

C’est la première décision qui assimile une entreprise à un FAI.

Des contraintes en découlent puisqu’en effet, les entreprises seraient de plus en plus sollicitées par des tiers afin d’obtenir des données techniques qu’elles n’ont pas la possibilité technique de conserver. De plus, le stockage et l’archivage poseront problème du fait de l’insuffisance des ressources techniques. De même, une information des salariés et des institutions représentatives sur l’enregistrement et la conservation des données devra être faite, et la déclaration auprès de la CNIL au sujet des traitements.

Cette décision ouvre un débat sur l’interprétation des dispositions de la LCEN relatives aux prestataires techniques et intermédiaires techniques.

Source : Journaldunet.com

Tweet about this on TwitterShare on Facebook

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.