Télécharger la recommandation :
La Loi sur la Sécurité Quotidienne (LSQ) a été promulguée le 15 novembre dernier. Cette loi pose un principe d’effacement ou d’anonymisation des données relatives à une communication électronique, tout en prévoyant deux exceptions à cet effacement : pour les besoins de facturation des opérateurs, d’une part, et à des fins de poursuite des infractions pénales, d’autre part. La loi limite ces exceptions, puisqu’elle précise que les données conservées ne peuvent « en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit. »
- au format PDF (149 Ko)
Deux décrets doivent préciser ces exceptions tant sur la nature des données conservées que sur leur durée de conservation [1].
Devant la rapidité d’adoption de ce texte au niveau législatif, certains acteurs ont eu le sentiment que le débat sur ces mesures importantes avait été trop limité. Le Forum des droits sur l’internet s’est donc saisi de cette question afin de mener, dans le cadre de la préparation de ces décrets, une concertation large et ouverte. Il a ainsi mené deux actions parallèles :
l’organisation d’une discussion multilatérale ouverte entre les représentants des entreprises les plus directement concernées, les forces de sécurité et les associations de défense des droits des internautes, afin que l’ensemble des points de vue et des problématiques puissent être exprimés ;
l’organisation et l’animation d’un forum de discussion sur son site internet afin que l’ensemble des intervenants intéressés puissent contribuer utilement à ce débat. Ce forum s’est tenu du 5 au 30 novembre 2001.
Il a également participé aux débats en cours sur ce point au plan européen et international, conscient que l’efficacité d’une telle mesure ne peut s’envisager que dans le cadre d’une coopération internationale.
Rappel des termes du débat
Les forces de sécurité ont relevé que les dispositions en préparation étaient indispensables à la bonne conduite de leurs missions, non seulement en ce qui concerne le développement d’une criminalité spécifique sur l’internet (la « cybercriminalité »), mais également dans le cadre d’enquêtes portant sur une criminalité traditionnelle et ayant recours à l’internet pour faciliter ses actions.
Elles ont également souligné la nécessité d’avoir une durée de conservation d’au moins un an pour permettre un bon déroulement des procédures d’enquête, en particulier dans le cas d’enquêtes internationales.
Enfin, elles ont indiqué la nécessité de disposer de données suffisamment détaillées pour mener à bien ces enquêtes.
Les entreprises ont souligné, quant à elles, la nécessité que le décret puisse évoluer facilement en ce qui concerne la liste des données nécessaires à la facturation : figer les données conservables à des fins de facturation risque d’handicaper le développement de nouveaux services nécessitant d’autres données pour leur facturation.
Elles se sont inquiétées de l’absence, dans le texte de loi, de dispositions leur permettant de conserver et d’utiliser des données afin d’assurer la sécurité et la qualité de service de leurs réseaux.
Elles ont rappelé que les coûts nécessaires à la conservation et aux traitement des données nécessaires aux forces de sécurité étaient à la charge de l’Etat, à la suite de la décision du Conseil constitutionnel du 28 décembre 2000. Ces coûts doivent couvrir non seulement le stockage, mais également l’accès à l’information pertinente, la formation des personnels, etc.
Elles ont enfin insisté sur la nécessité d’une harmonisation européenne sur ces questions, un risque important de distorsion de concurrence existant si chaque Etat membre est libre de définir ces questions comme il l’entend.
Les associations de défense des droits des internautes ont, quant à elles, rappelé la forte imbrication, dans le cadre de l’internet, entre les données nécessaires à l’établissement de la communication, d’une part, et les données portant sur le contenu des communications, d’autre part. Il s’avère ainsi difficile de séparer clairement ces deux types de données.
Elles ont également souligné que certaines données techniques pouvaient être considérées comme des données donnant des indications sur le comportement de l’internaute.
Elles ont par ailleurs exprimé les craintes d’un recours possible, par les forces de sécurité, à des traitements automatisés sur les données stockées, traitements qui pourraient s’assimiler à une surveillance a priori des citoyens.
Elles se sont interrogées sur la nature exacte des entreprises et des services visés.
Elles ont enfin milité pour une durée de conservation courte (moins de trois mois), garante à leurs yeux d’un respect de la vie privée.
Recommandations
Le Forum des droits sur l’internet [2] souscrit à l’approche générale du texte qui vise à définir précisément, et de manière restrictive, les données conservées tout en assujettissant à cette mesure des entreprises de nature variée (opérateurs télécoms, fournisseurs d’accès, fournisseurs de services de télécommunications, etc.), créant ainsi une chaîne de responsabilité. Il lui apparaît en effet qu’une telle démarche est préférable à une conservation, par quelques intermédiaires, d’une masse importante de données variées.
Il constate qu’il existe aujourd’hui différentes pratiques de conservation des données par les entreprises visées. Il considère donc que le texte de loi et le décret en discussion permettront d’encadrer clairement et de formaliser aux bénéfices de tous une pratique aujourd’hui hétérogène.
Il soutient le principe d’effacement ou d’anonymisation que pose le texte de loi et souligne la nécessité d’encadrer clairement les exceptions définies afin de permettre une lutte efficace contre les crimes et délits sur l’internet, tout en évitant une éventuelle remise en cause de ce principe par une interprétation large de celles-ci.
Le Forum comprend par ailleurs que ces dispositions sont complémentaires de celles prévues à l’article 43-9 de la loi du 1er août 2000 qui prévoient une obligation , notamment pour les fournisseurs d’accès et les hébergeurs, de conserver des données d’identification d’un créateur de contenu sur les réseaux de communication. Il rappelle également que la loi du 10 juillet 1991 qui garantit le secret des correspondances émises par voie de télécommunications et encadre les procédures d’interception de sécurité s’applique aux correspondances privées échangées par courrier électroniques. Il souligne enfin que les dispositions de la loi du 6 janvier 1978 relative aux traitements des données personnelles s’appliquera aux données conservées.
Le Forum des droits sur l’internet recommande donc :
Dans le cadre du dispositif actuel :
D’adopter un processus de révision des données conservées au titre de la facturation, de manière simple, rapide et permettant de garantir le secret des affaires.
D’exclure, dans la rédaction du décret, les données de communication pouvant être considérées comme des données indirectes de contenu ou de comportement. Certaines données techniques peuvent en effet fournir des éléments sur le contenu des informations transmises (par exemple l’URLURLUniform Resource Locator, en français adresse universelle des sites visités, l’adresse IP du serveur consulté ou l’intitulé d’un courrier électronique), ou sur le comportement des internautes (adresse du destinataire d’un courrier électronique par exemple). Le Forum considère que ce type de données ne doit pas être mentionné dans le décret en préparation. En revanche, il considère que l’adresse IP de l’utilisateur relève bien des données nécessaires à l’établissement de la communication et n’indique rien quant au contenu des informations consultées ou au comportement de l’internaute.
D’interdire toute mise en place par les services de sécurité d’un accès général aux informations sauvegardées : l’interrogation des données conservées doit se faire dans le cadre d’une procédure précise, sur une base de requêtes au cas par cas. Il ne saurait être possible d’instaurer un accès permanent à ces données permettant la mise en place de traitements automatisés pouvant s’apparenter à une surveillance générale des réseaux. La conservation physique de ces données devra donc relever de la seule responsabilité des entreprises visées qui devront en limiter strictement l’accès.
D’adopter une durée de conservation des données de communication différenciée en fonction des données : si les données relatives à la facturation doivent être conservées pendant une année par les opérateurs (du fait du délai de prescription prévu à l’article L.32-3-2 de Code des postes et télécommunications), la durée de conservation des données à des fins d’enquête peut être plus courte. Il paraît, par exemple, difficilement concevable de conserver les données des proxies pendant un an. Le Forum considère cependant que, du moment que les données à conserver sont définies de manière restrictive et qu’aucun accès général à ces données n’est autorisé, la durée de conservation de ces données, à condition qu’elle n’excède pas une année, doit être dictée par des impératifs d’efficacité de l’action des forces de sécurité. Il rappelle néanmoins que le coût de cette conservation est à la charge de l’Etat.
De préciser les mesures de contrôle qui permettront de vérifier la réalisation du principe d’effacement ou d’anonymisation par les entreprises concernées.
De mettre en place des actions de sensibilisation et d’information vis à vis des opérateurs visés par cette mesure de conservation. Du fait même de la rapidité d’adoption du texte de loi et du décret et de l’imbrication de plusieurs textes applicables, il apparaît que certaines entreprises ne sont pas encore sensibilisées aux nouvelles contraintes qui pèseront sur elles. Une démarche d’information et de sensibilisation afin d’expliquer l’esprit de ce texte et le dispositif prévu semble dès lors nécessaire au Forum.
De lancer au plus tôt un groupe de travail ouvert réunissant les acteurs concernés (forces de sécurités, entreprises, etc.) afin de clarifier et de rendre publiques les procédures qui seront mises en œuvre par les entreprises visées.
De clarifier les coûts liés à la mise en place de ces procédures afin de déterminer un coût d’accès unitaire aux données conservées.
Au delà du dispositif actuel :
De défendre et de promouvoir le principe d’effacement ou d’anonymisation au niveau européen[3] et de travailler à une mise en cohérence des exceptions possibles à ce principe. Il semble en effet indispensable qu’une démarche d’harmonisation soit engagée au niveau européen, malgré la difficulté liée à la nature de ces exceptions.
De prendre en compte une évolution possible des dispositions législatives afin de permettre aux entreprises de procéder à une conservation et un traitement des données nécessaires à la sécurité et à la qualité des services de leurs propres réseaux.
De publier un bilan public annuel de ces dispositions afin que les débats futurs soient éclairés par une évaluation du dispositif mis en place par la loi sur la Sécurité Quotidienne.
Position divergente :
Les recommandations ci-dessus n’ont pas été souscrites dans leur totalité par deux adhérents du Forum (Sacem, SNEP). Ces deux organisations soulignent en effet la nécessité, dans le cadre de leurs actions de lutte contre la piraterie, de disposer de moyens efficaces de repérer les transmissions illicites diffusées sur le réseau et de connaître l’ampleur du trafic et de la fréquentation des sites offrant des œuvres protégées dans des conditions illicites.
Il leur apparaît ainsi qu’une définition restrictive des données conservées, l’exclusion du champ du décret de certaines données indirectes de contenu, et la possibilité de réduire à moins d’un an le délai de conservation des données autres que celles relatives à la facturation, ne seraient pas compatibles avec leurs missions.
Elles ont également souhaité qu’une obligation de conservation de données de trafic sous une forme anonyme, puisse être mise à la charge des entreprises visées. Cette obligation permettrait de connaître la fréquentation des sites illicites et la consommation des contenus illicites et donc d’évaluer le préjudice subi par les victimes d’infraction, notamment les ayants droit.
Le Forum des droits sur internet compte les adhérents suivants :
Association du Commerce et des Services En Ligne (ACSEL), Association Des Internautes Médiateurs (ADIM), Association des Fournisseurs d’Accès (AFA), Bureau de Vérification de la Publicité (BVP), Caisse des Dépôts et Consignation, Canalweb, Cirès, Confédération de la Consommation, du Logement et du Cadre de Vie (CLCV), Centre National d’Enseignement à Distance (CNED), Centre National de la Recherche Scientifique (CNRS), Club de l’Arche Méditerranée, Cyril Rojinsky - cabinet d’avocat -, ENTERPRESS, Fédération des Entreprises de Vente A Distance (FEVAD), Groupement des Editeurs de Services en Ligne (GESTE), Groupement Français de l’Industrie de l’Information (GFII), Institut National de l’Audiovisuel, Internet SOCiety France (ISOC), Omniklès, Mister Gooddeal, Mouvement contre le Racisme et pour l’Amitié entre les Peuples (MRAP), Union Nationale des Associations Familiales (UNAF), SACEM, Syndicat National de l’Edition Phonographique (SNEP), Union Des Annonceurs (UDA), Vivendi Universal, Wanadoo.
[1 ] Dans le cas des données relatives à la facturation, le délai de prescription prévu à l’article L.32-3-2 du code des postes et télécommunications rend nécessaire la conservation par les entreprises de ces données pendant une année. Le débat sur la durée de conservation n’a donc pas lieu d’être dans ce cas.
[2 ] Deux adhérents du Forum (Sacem et SNEP) ne souscrivent pas à ces recommandations. Voir « Position divergente » à la fin de ce document.
[3 ] En particulier dans le cadre de la proposition de directive concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (com(385) toujours en discussion.
