Actualités - Publication d’un premier décret « conservation [...]

Tous les opérateurs attendaient de connaître l’étendue de leurs obligations de conservation/suppression des données de connexion depuis la caducité du projet de la loi sur la société de l’information (déposé le 14 juin 2001 à l’Assemblée Nationale), l’adoption de la loi sur la sécurité quotidienne (loi n° 2001-1062 du 15 novembre 2001), de la loi pour la confiance dans l’économié numérique (loi n° 2004-524 du 21 juin 2004) et de la loi dite anti-terrorisme (loi n° 2006-64 du 23 janvier 2006). Cette question avait donné lieu à la première Recommandation du Forum des droits sur l’internet le 18 décembre 2001.

Le décret paru au Journal officiel du 26 mars 2006 apporte certaines réponses mais reste malheureusement encore difficilement exploitable, tant que le ou les arrêtés qui doivent l’accompagner n’auront pas été publiés.

Le champ d’application du décret

Le décret du 24 mars 2006 ne couvre pas toutes les situations légales où la « conservation » est prévue. Ainsi, le décret laisse-t-il de côté les hypothèses où la conservation est liée à l’application de la (article 6, II). Ces cas sont ceux où les fournisseurs d’accès ou d’hébergement se voient imposer la conservation des données « de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires. » La loi prévoit qu’un « décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, définit les données […] et détermine la durée et les modalités de leur conservation. » Or, en l’absence de visa de la LCEN dans le décret n°2006-358, il faut en conclure que les « données relatives au trafic » ne sont pas les « données de nature à permettre l’identification des créateurs de contenus  ». Il faudra donc encore attendre pour qu’un décret LCEN vienne compléter le panorama.

La loi du 23 janvier 2006 n’est pas visée par le décret mais l’article L. 34-1-1 de cette loi renvoie à l’article L. 34-1 pour ce qui est des personnes soumises à la conservation et pour les catégories de données qui doivent être communiquées aux agents habilités. Ainsi, l’article L. 34-1-1 du Code des Postes et des Communications Électroniques (CPCE) vise-t-il les données conservées par les « opérateurs et personnes mentionnées au I » de l’article L. 34-1 du CPCE en précisant que les données concernées (voir infra nature des données)

Données relatives au trafic

L’article R. 10-12 du CPCE, créé par le décret, définit les « données relatives au trafic » mais uniquement pour l’application des II et III de l’article L. 34-1 du CPCE et non pour l’ensemble des cas où cette conservation peut être requise. La définition précise que les données relatives au trafic sont « des informations rendues disponibles par les procédés de communication électronique, susceptibles d’être enregistrées par l’opérateur à l’occasion des communications électroniques dont il assure la transmission et qui sont pertinentes au regard des finalités poursuivies par la loi  ».

La définition repose sur un élément technique : les informations sont extraites de celles que produisent les procédés de communication électronique. Le choix de ces informations se fait au regard de leur pertinence en fonction des finalités poursuivies par la loi mais il reste une incertitude car la définition évoque les informations qui sont susceptibles d’être enregistrées par les opérateurs. La définition donnée par l’article R. 10-12 présente donc un cadre commun pour l’ensemble des données relatives au trafic mais revoit en fonction des finalités de la loi à des mesures plus précises. (art. R. 10-13 et R. 10-14) 

Les données, qui pour lesquelles il peut être différé à la destruction, sont encadrées par l’article L. 34-1, V, qui précise que ces données «  portent exclusivement sur l’identification des personnes utilisatrices des services fournis par les opérateurs, sur les caractéristiques techniques des communications assurées par ces derniers et sur la localisation des équipements terminaux. 

 Elles ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit, dans le cadre de ces communications. » Il s’ensuit que c’est dans ce strict périmètre que sont sélectionnées les données qui sont conservés par les opérateurs ou pour lesquelles ils sont autorisés à retarder la destruction.

Pour l’application du II de l’article L. 34-1 du CPCE, les données qui doivent être conservées sont :

• Les informations permettant d’identifier l’utilisateur ;
• Les données relatives aux équipements terminaux de communication utilisés ;
• Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ;
• Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;
• Les données permettant d’identifier le ou les destinataires de la communication (disposition spéciale aux activités de téléphonie) ;
• Les données permettant d’identifier l’origine et la localisation de la communication.

Ces informations constituent, d’apparence, le minimum nécessaire à la recherche, la constatation et à la poursuite des infractions. Le contenu exact de ces mesures n’est pas précisé mais les objectifs d’identification de bout en bout de la chaîne de communication sont clairs. L’arrêté (articles 2 et 3 du décret) qui viendra préciser les frais correspondants à la fourniture des données apportera certainement des informations plus fines sur la nature exacte des informations susceptibles d’être conservées.

Pour l’application du III de l’article L. 34-1 du CPCE, les données pour lesquelles les opérateurs sont autorisés à conserver sont :

• Les données techniques permettant d’identifier l’utilisateur ;
• Les données relatives aux équipements terminaux de communication utilisés ;
• Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ;
• Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs (disposition spéciale aux activités de téléphonie) ;
• Les données à caractère technique relatives à la localisation de la communication, à l’identification du ou des destinataires de la communication et les données permettant d’établir la facturation.

La finalité de cette possibilité de conserver des données techniques est clairement limitée à la nécessité de facturer le service ou à en obtenir le paiement, ce qui doit couvrir la période de recouvrement des créances et de contestation des dettes par les utilisateurs. Si le service ne nécessite pas de facturation, les données ne peuvent donc pas être conservées. Les données sont également utilisables, sous réserve d’accord de l’abonné, pour la commercialisation, par les opérateurs, de « leurs propres services de communications électroniques » ou la fourniture de « services à valeur ajoutée ».

Enfin, pour la sécurité des réseaux et installations, ils peuvent conserver :

• Les données permettant d’identifier l’origine de la communication ;
• Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ;
• Les données à caractère technique permettant d’identifier le ou les destinataires de la communication ;
• Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs. »

Cette finalité est prévue en ces termes par l’article L. 34-1, III, du CPCE.

Durées de conservation

Le décret prévoit des durées de conservations variables en fonction des finalités légales.

Une durée fixe d’un an est assignée à la conservation des données relatives au trafic lorsqu’il s’agit de la recherche, de la constatation et de la poursuite des infractions. Cette durée ne peut être réduite et commence à courir à compter de l’enregistrement des données.

Une durée variable de conservation est prévue pour les données nécessaires à la facturation et la commercialisation des services. Cette durée est celle que nécessite l’opération en cause mais dans la stricte limite d’un an (art. R. 10-14, III, du CPCE). Cette durée correspond en principe à la limite prévue par l’article L. 34-2 prévoyant une prescription d’un an à compter de l’exigibilité de la dette.

Une durée variable est également prévue pour la conservation en vue d’assurer la sécurité des réseaux Cette durée est laissée à la discrétion des opérateurs en fonction de leurs besoins mais elle ne peut en définitive pas excéder trois mois.

Frais liés à la fourniture des informations

Un point particulièrement sensible doit enfin être évoqué. Le décret prévoit en effet l’inscription dans la liste des frais de justice criminelle, correctionnelle et de police (art. R. 92 du code de procédure pénale. ) des frais liés à la fourniture des données conservées en application du II de l’article L. 34-1 du CPCE.

La définition de ces frais est renvoyée à un article R. 213-1 du code de procédure pénale qui prévoit les modalités de fixation des tarifs par arrêté du ministre de l’économie, des finances et de l’industrie et du garde des sceaux. « Cet arrêté distingue les tarifs applicables selon les catégories de données et les prestations requises, en tenant compte, le cas échéant, des surcoûts identifiables et spécifiques supportés par les opérateurs requis par les autorités judiciaires pour la fourniture de ces données. » C’est désormais sur ce dernier point que se focalisent toutes les attentions.