Concernant ces dispositions précises, la Cnil vient de publier sa délibération de 2007 sur son site. Elle estime que « les catégories de données collectées et leur durée de conservation doivent être justifiées par l'objectif poursuivi par le responsable de traitement et pour ce seul traitement ». Aucune mention n'est donc faite à une éventuelle collecte automatisée.
La Cnil avait fait le choix dans un premier temps de ne pas rendre cet avis public. Elle modifie donc son comportement. Elle considérait à l'époque que la LCEN « introduit un principe général de rétention des données aux fins exclusives de permettre l'identification par l'autorité judiciaire des personnes ayant contribué à la création d'un contenu mis en ligne ». Selon ses propres mots, « Il résulte de cette situation une insécurité juridique préjudiciable à la protection de la vie privée et des données à caractère personnel des internautes ».
Les critiques de la commission contenues dans ce document sont très ciblées et sont le signe qu'elle voyait ces dispositions plutôt d'un mauvais œil. Une position qui fait dire à certains qu'elle pourrait prochainement attaquer le décret devant le Conseil d'Etat...
L'Arcep donne aussi son avis
En parallèle, c'est l'avis de l'Arcep qui a été publié au Journal Officiel. Un avis qui a été rendu en 2008 mais seulement diffusé ce 1er mars au J.O. Le régulateur estime que les hébergeurs chargés de conserver ces données devront « conserver une quantité exponentiellement croissante de données, ce qui risque de rendre les dispositions de ce projet de décret difficilement applicables tant pour des raisons techniques que financières ».
L'Arcep précise par contre qu'elle ne voit pas l'intérêt de conserver des données comme les caractéristiques de la ligne de l'abonné, le mot de passe ou données permettant de le vérifier ou de le modifier, ou encore certaines données relatives au paiement. Autant de points critiqués qui ont pourtant été adoptés dans le décret final...