Un hébergeur doit donc garder, entre autres, des informations comme l'identifiant de la connexion, l'identifiant du terminal utilisé pour la connexion lorsqu'elles y ont accès ou encore les dates et heure de début et de fin de la connexion. Du contenu qui pourra être stocké en clair ou non.
D'autres données sont également recueillies lors de la création d'un compte comme les nom et prénom, les adresses postales associées, les pseudonymes, les numéros de téléphone. Plus grave, le décret indique que « le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour » doit être conservé. Pour une souscription payante, le montant, type de paiement et la date de la transaction devront figurer.
Ces données sont ensuite communicables sur demande d'un juge s'il estime que ces informations sont nécessaires dans le cadre d'une enquête ou d'un procès. Voilà pour le principe. Dans la réalité, le décret 2011-219 renvoie ensuite vers une loi de 2004 qui précise les personnes qui peuvent faire une demande d'accès à ce type de données. Désormais, les « chefs des services de police et de gendarmerie nationales chargés des missions de prévention des actes de terrorisme » pourront donc y accéder.
Si ce texte paraît très large et permet aux forces de police de pouvoir accéder à n'importe quelle donnée, reste à connaître l'application qui en sera faite...