Avocat - Associé
Lamy & Associés
Avocat au barreau
de Paris |
|
| |
Le décret d'application prévu dans la loi sur la sécurité
quotidienne a été finalement publié. Il
prévoit que les opérateurs devront conserver les données
de trafic pendant un an.
La loi
sur la sécurité quotidienne
Introduites par la loi sur la sécurité quotidienne du
15 novembre 2001 (la "LSQ") et pérennisées par la loi
sur la sécurité intérieure du 18 mars 2003, les dispositions
de l'article L.34-1 du code des postes et télécommunications
(le "CPCE") pose le principe que les opérateurs de communications
électroniques doivent effacer ou rendre anonyme toute
donnée relative au trafic. Il énonce cependant quatre
exceptions notamment pour les besoins de la recherche
et de la poursuite des infractions pénales dans la limite
d'un an et pour assurer la sécurité des réseaux. Ce
texte prévoit l'intervention d'un décret d'application
qui déterminera notamment les catégories de données
et la durée de leur conservation.
La loi
relative à la lutte contre le terrorisme
A ce dispositif initial sont venues dernièrement s'ajouter
les dispositions de la loi relative à la lutte contre
le terrorisme dite "loi Sarkozy". Celles-ci ajoute au
CPCE un nouvel article L.34-1-1 qui prévoit le droit
pour les enquêteurs anti-terroristes individuellement
désignés de la police et de la gendarmerie nationales
d'obtenir, afin de prévenir les actes de terrorisme,
mais hors de toute procédure judiciaire, la transmission
par les opérateurs de communications électroniques des
données qu'ils conservent en application de l'article
L.34-1 du CPCE. Rappelons que la loi Sarkozy est également
venue clarifier la question des entreprises concernées
par les dispositifs de conservation ci-dessus. Sont
assimilés aux opérateurs pour l'application de ce dispositif
"les personnes qui, au titre d'une activité professionnelle
principale ou accessoire, offrent au public une connexion
permettant une communication en ligne par l'intermédiaire
d'un accès au réseau, y compris à titre gratuit". Sont
ainsi concernés notamment les cybercafés et les hotspots.
Les entreprises se limitant à fournir un accès à Internet
à leurs salariés sont ainsi exclues faute d'un accès
fourni "au public".
Les nouvelles
règles précisées par le décret
Le décret prévu par la LSQ et longtemps attendus vient
d'intervenir. Il introduit les articles R.10-12 à R10-14
au sein de la partie réglementaire du CPCE. Ce nouveau
texte prévoit que les opérateurs doivent conserver pour
les besoins de la poursuite des infractions pénales
:
- les informations permettant d'identifier l'utilisateur
;
- les données relatives aux équipements terminaux utilisés
;
- les caractéristiques techniques ainsi que la date,
l'horaire et la durée de chaque communication ;
- les données relatives aux services complémentaires
demandés ou utilisés et leurs fournisseurs ;
- les données permettant d'identifier le destinataire
de la communication.
Pour les activités de téléphonie, l'opérateur devra
également conserver les données permettant d'identifier
l'origine et la localisation de la communication. Le
décret oblige les opérateurs à conserver ces données
durant un an à compter du jour de leur enregistrement.
Cette durée minimale rejoint la durée cette fois maximale
également d'un an prévue par l'article L.34-1 du CPCE
précité.
Par ailleurs, il est intéressant de noter que le décret
vient autoriser les opérateurs à conserver, pour la
sécurité des réseaux et des installations et pour une
durée n'excédant pas trois mois :
- les données permettant d'identifier l'origine de la
communication ;
- les caractéristiques techniques ainsi que la date,
l'horaire et la durée de chaque communication ;
- les données à caractère technique permettant d'identifier
le destinataire de la communication ;
- les données relatives aux services complémentaires
demandés ou utilisés et leurs fournisseurs.
Ces deux durées coexistent : si une donnée, par exemple
la date et l'heure de la communication, est conservée
durant un an pour être mise si besoin à dispositions
des enquêteurs, cette même donnée ne pourra pas être
exploitée à des fins de sécurité après trois mois.
Le décret prévoit enfin l'indemnisation des opérateurs
à raison des réquisitions qui leur seront faites suivant
un arrêté ministériel à intervenir. Sujet d'âpres discussions
semble t-il entre les opérateurs et l'Etat, son évaluation
pose in fine la question du coût non seulement des opérations
de recherche mais également du stockage des logs.
|