Conformément à la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN), les personnes offrant un accès à des services de communication au public en ligne ou assurant le stockage de contenu fourni par les destinataires de ces services doivent détenir et conserver les données de nature à permettre l’identification de quiconque a contribué à la création du contenu des services dont elles sont prestataires.
Cette obligation de conservation vise principalement à permettre à l’autorité judiciaire de requérir communication de ces données auprès des hébergeurs.
Un décret publié le 30 mars 2012 est venu restreindre les données de connexion que les hébergeurs sont tenus de conserver aux « données permettant de vérifier le mot de passe ou de le modifier, dans leur dernière version mise à jour », supprimant ainsi l’obligation de conserver le mot de passe lui-même. En pratique, sont essentiellement concernées par cette obligation de conservation les questions secrètes et leurs réponses associées.
Le législateur n’a donc pas répondu aux attentes du Conseil National du Numérique (CNN), consulté sur le projet de décret. Dans son avis du 21 novembre 2011, le CNN recommandait en effet la suppression totale de l’obligation de conserver les données relatives au mot de passe, y compris les données permettant de le vérifier ou de le modifier.
Le CNN soulignait qu’une telle obligation avait pour effet la conservation de données sensibles sous forme non cryptée, mais aussi que la communication de ces données à l’autorité judiciaire était susceptible de porter atteinte au respect de la vie privée, les éléments collectés par les hébergeurs (notamment via les questions/réponses secrètes) étant potentiellement hors du périmètre des données de nature à permettre l’identification d’une personne.