La loi du 23 janvier 2006 ne concerne pas uniquement les opérateurs de communications électroniques mais vient, par deux articles 5 et 6, modifier le Code des postes et communications électroniques (CPCE) en introduisant un alinéa nouveau à l’article L. 34-1 I. Elle étend aux « cybercafés » les obligations des opérateurs de communications électroniques et précise dans un article L. 34-1-1 nouveau les modalités d’accès aux « données conservées et traitées ».
Soumis à l’examen du Conseil constitutionnel le texte été déclaré conforme à la Constitution sauf en ce qui concerne deux dispositions dont une seule intéresse les communications électroniques. La disposition déclarée non conforme, l’a été en raison du principe de séparation des pouvoirs. L’article 6 de la loi déférée prévoyait la possibilité pour les agents dument habilités des services de police nationale et de gendarmerie d’obtenir communication des données techniques conservées « afin de prévenir et de réprimer » les actes de terrorisme.
C’est la seule finalité de répression des actes de terrorisme qui se trouve censurée.
Le Conseil, dans sa décision n° 2005-532 DC du 19 janvier 2006, estime donc que « les réquisitions de données permises par les nouvelles dispositions constituent des mesures de police purement administrative ; qu’elles ne sont pas placées sous la direction ou la surveillance de l’autorité judiciaire, mais relèvent de la seule responsabilité du pouvoir exécutif ; qu’elles ne peuvent donc avoir d’autre finalité que de préserver l’ordre public et de prévenir les infractions ; que, dès lors, en indiquant qu’elles visent non seulement à prévenir les actes de terrorisme, mais encore à les réprimer, le législateur a méconnu le principe de la séparation des pouvoirs ».
Les personnes soumises au nouveau régime
Aux termes de l’alinéa 2 de l’article L. 34-1 I CPCE, « les personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit, sont soumises au respect des dispositions applicables aux opérateurs de communications électroniques en vertu du présent article ».
Les personnes soumises aux obligations issues de l’article L. 34-1 I al. 1er ont été présentées comme étant à titre principal les cybercafés, c’est-à -dire les personnes dont l’activité même est d’offrir un service payant de connexion en ligne.
Cependant, comme en témoigne le rapport de l’Assemblée nationale, seraient également concernés les « personnes qui offrent à leurs clients, dans un cadre public, ou à des visiteurs une connexion en ligne, tels les hôtels, les compagnies aériennes… », les « fournisseurs d’accès à des réseaux de communications électroniques accessibles via une borne WIFI » que ce soit à titre payant ou non.
De la même façon les débats parlementaires soulignent que les obligations issues de l’article L. 34-1 I al. 2 pèsent sur les personnes qui y sont soumises non pas en fonction d’un statut propre ou de l’appartenance à une profession mais en raison de leur activité.
Ainsi si elles ne sont pas, en principe, concernées par ces obligations, les mairies, bibliothèques et universités pourraient l’être si leurs activités les conduisaient à titre accessoire à fournir une prestation identique à celle d’un cybercafé.
La notion d’activité professionnelle principale ou accessoire se présente donc comme la clef de voute du régime nouveau. La notion ne devrait cependant pas être précisée par décret mais soumise au juge. La CNIL saisie du projet de loi avait relevé, dans une délibération n° 2005-208 [cnil.fr] du 10 octobre 2005 portant avis sur le projet de loi relatif à la lutte contre le terrorisme, que cette définition excluait notamment les entreprises ou administrations qui assurent un accès au réseau à leurs seuls salariés ou agents.
Les informations visées
Les données de trafic dont il peut être différé à la destruction (art. L. 34-1 I CPCE) doivent être fixées par décret pris en Conseil d’État (art. L. 34-1 II CPCE) après avis de la CNIL mais dans les limites du V de l’article L. 34-1 CPCE. Ces données correspondent aux données qui peuvent être conservées pour différentes finalités (recherche, constatation, poursuites des infractions pénales, facturation, paiement…). Ce décret devrait être publié dans les prochaines semaines.
Parmi les données qui seront prévues par le décret, certaines données techniques visées par le nouvel article L. 34-1-1 I devront être conservées en vue de la seule prévention des actes de terrorisme.
Ces données dont il peut être demandé communication sont les « données techniques relatives à l’identification des numéros d’abonnement ou de connexion à des services de communications électroniques, au recensement de l’ensemble des numéros d’abonnement ou de connexion d’une personne désignée, aux données relatives à la localisation des équipements terminaux utilisés ainsi qu’aux données techniques relatives aux communications d’un abonné portant sur la liste des numéros appelés et appelants, la durée et la date des communications. »
Il ne s’agit donc pas a priori de l’ensemble des données dont il peut être différé à la destruction mais de certaines d’entres-elles spécialement visées pour répondre à la finalité de prévention des actes de terrorismes dans le cadre de la police administrative.
Les surcoûts identifiables et spécifiques aux demandes faites dans le cadre visé à l’article L. 34-1-1 nouveau CPCE donneront lieu à une compensation financière dont le quantum reste à déterminer.
L’article 6 II de la loi n°2006-64 vient également modifier le dispositif de la loi du 21 juin 2004 sur la confiance dans l’économie numérique en prévoyant la possibilité pour les agents dument habilités de demander, en vue de la prévention des actes de terrorisme, la communication de certaines données (art. 6 II bis nouveau LCEN). Ces données sont celles « de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services » dont les fournisseurs d’accès à internet et les fournisseurs d’hébergement sont prestataires.
Ces données seront également précisées par le décret attendu pour la fin du mois.
Prises ensembles, ces dispositions permettent, dans le cadre de l’objectif assigné, d’accéder aux données de trafic des personnes qui créent des contenus ou se limitent à la consultation de services de communication au public en ligne.
Procédure de réquisition et de contrôle
La procédure de demande des données de trafic prévue par l’article L. 34-1-1 nouveau CPCE est définie et sera précisée par un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés et de la Commission nationale de contrôle des interceptions de sécurité. Ce décret fixera notamment la procédure de suivi des demandes et les conditions et durée de conservation des données transmises.
Les seules personnes pouvant requérir la communication des données sont des « agents individuellement désignés et dûment habilités des services de police et de gendarmerie nationales spécialement chargés de ces missions » [prévention du terrorisme]. Les demandes de ces agents sont motivées et soumises à la décision d’une personnalité qualifiée placée auprès du ministre de l’intérieur.
Cette personnalité est désignée pour trois ans par la Commission nationale de contrôle des interceptions de sécurité sur proposition du ministre de l’intérieur.
Outre sa mission de décision sur les demandes de communication des données de trafic, la personnalité qualifiée est chargée de procéder à l’enregistrement de ces demandes et de leur transmission à la Commission nationale de contrôle des interceptions de sécurité. Elle est chargée de l’établissement d’un rapport annuel sur les demandes de communication des données de trafic, qui sera remis à la Commission nationale de contrôle des interceptions de sécurité.
Quant à elle, la Commission nationale de contrôle des interceptions de sécurité « peut à tout moment procéder à des contrôles relatifs aux opérations de communication des données techniques. Lorsqu’elle constate un manquement aux règles définies par le présent article ou une atteinte aux droits et libertés, elle saisit le ministre de l’intérieur d’une recommandation. Celui-ci lui fait connaître dans un délai de quinze jours les mesures qu’il a prises pour remédier aux manquements constatés. »
