Le décret d'application prévu dans la loi sur la sécurité quotidienne a été finalement publié. Il prévoit que les opérateurs devront conserver les données de trafic pendant un an.

La loi sur la sécurité quotidienne
Introduites par la loi sur la sécurité quotidienne du 15 novembre 2001 (la "LSQ") et pérennisées par la loi sur la sécurité intérieure du 18 mars 2003, les dispositions de l'article L.34-1 du code des postes et télécommunications (le "CPCE") pose le principe que les opérateurs de communications électroniques doivent effacer ou rendre anonyme toute donnée relative au trafic. Il énonce cependant quatre exceptions notamment pour les besoins de la recherche et de la poursuite des infractions pénales dans la limite d'un an et pour assurer la sécurité des réseaux. Ce texte prévoit l'intervention d'un décret d'application qui déterminera notamment les catégories de données et la durée de leur conservation.

La loi relative à la lutte contre le terrorisme
A ce dispositif initial sont venues dernièrement s'ajouter les dispositions de la loi relative à la lutte contre le terrorisme dite "loi Sarkozy". Celles-ci ajoute au CPCE un nouvel article L.34-1-1 qui prévoit le droit pour les enquêteurs anti-terroristes individuellement désignés de la police et de la gendarmerie nationales d'obtenir, afin de prévenir les actes de terrorisme, mais hors de toute procédure judiciaire, la transmission par les opérateurs de communications électroniques des données qu'ils conservent en application de l'article L.34-1 du CPCE. Rappelons que la loi Sarkozy est également venue clarifier la question des entreprises concernées par les dispositifs de conservation ci-dessus. Sont assimilés aux opérateurs pour l'application de ce dispositif "les personnes qui, au titre d'une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l'intermédiaire d'un accès au réseau, y compris à titre gratuit". Sont ainsi concernés notamment les cybercafés et les hotspots. Les entreprises se limitant à fournir un accès à Internet à leurs salariés sont ainsi exclues faute d'un accès fourni "au public".

Les nouvelles règles précisées par le décret
Le décret prévu par la LSQ et longtemps attendus vient d'intervenir. Il introduit les articles R.10-12 à R10-14 au sein de la partie réglementaire du CPCE. Ce nouveau texte prévoit que les opérateurs doivent conserver pour les besoins de la poursuite des infractions pénales :

- les informations permettant d'identifier l'utilisateur ;
- les données relatives aux équipements terminaux utilisés ;
- les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication ;
- les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;
- les données permettant d'identifier le destinataire de la communication.

Pour les activités de téléphonie, l'opérateur devra également conserver les données permettant d'identifier l'origine et la localisation de la communication. Le décret oblige les opérateurs à conserver ces données durant un an à compter du jour de leur enregistrement. Cette durée minimale rejoint la durée cette fois maximale également d'un an prévue par l'article L.34-1 du CPCE précité.

Par ailleurs, il est intéressant de noter que le décret vient autoriser les opérateurs à conserver, pour la sécurité des réseaux et des installations et pour une durée n'excédant pas trois mois :

- les données permettant d'identifier l'origine de la communication ;
- les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication ;
- les données à caractère technique permettant d'identifier le destinataire de la communication ;
- les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs.

Ces deux durées coexistent : si une donnée, par exemple la date et l'heure de la communication, est conservée durant un an pour être mise si besoin à dispositions des enquêteurs, cette même donnée ne pourra pas être exploitée à des fins de sécurité après trois mois.

Le décret prévoit enfin l'indemnisation des opérateurs à raison des réquisitions qui leur seront faites suivant un arrêté ministériel à intervenir. Sujet d'âpres discussions semble t-il entre les opérateurs et l'Etat, son évaluation pose in fine la question du coût non seulement des opérations de recherche mais également du stockage des logs.

Accueil | Haut de page