Données de communication : quel traitement ?
Issues des communications effectuées via Internet ou la téléphonie, ces données sont soumis à une double contrainte : le principe d'effacement et l'obligation de conservation. Comment s'y retrouver ?
Les données de communication sont celles qui sont engendrées automatiquement par les communications effectuées via l'Internet ou la téléphonie. Elles donnent des informations sur chaque message échangé, notamment le nom, le prénom, le numéro de téléphone, le numéro IP, etc.
Doivent-elles être effacées, conservées ? A quelles conditions ? Pendant quelle durée ?.... Le foisonnement des textes en la matière peut créer une confusion sur la portée du principe d'effacement de ces données et sa cohabitation avec l'obligation de conservation de ces mêmes données qui pèse sur certains acteurs de l'internet.
Du principe d'effacement des données de communication, sauf exceptions...
Dans une délibération du 8 juillet 1997[1], la Commission nationale de l'informatique et des libertés (Cnil) précise que ces données « ne seront conservées que le temps de leur transmission ». Elle a également prévu que l'une des clauses du contrat d'abonnement au service doit engager l'abonné à utiliser les numéros reçus exclusivement à des fins privées, excluant spécifiquement la faculté de constituer des fichiers.
La directive no 2002/58/CE du 12 juillet 2002 (directive vie privée et communications électroniques) concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques a, elle aussi, entériné le principe selon lequel les données relatives aux communications électroniques doivent être effacées dès l'achèvement de la communication.
Le droit français est conforme à cette directive dans la mesure où l'article L. 34-1 du Code des postes et communications électroniques (CPCE) prévoit un principe d'effacement ou d'anonymisation des données relatives aux communications (catégorie de données comprenant les données relatives aux abonnés et les données relatives au trafic). C'est ainsi que les services minitel d'annuaire inversé proposent aux utilisateurs de s'opposer à ce que leur numéro de téléphone fasse l'objet d'un tel traitement.
Il existe cependant quelques exceptions à cette règle d'effacement.
Ainsi, une première exception permet aux opérateurs de télécommunications (dont les fournisseurs d'accès), après en avoir informé l'abonné, de conserver les données nécessaires pour des besoins de facturation et de paiement des services de communication desdits opérateurs (CPCE, art. L. 34-1-III). Celles-ci ne peuvent cependant être détenues et conservées par les opérateurs que pendant la période durant laquelle une réclamation peut être faite, soit par l'opérateur, en vue du paiement de montants dus, soit par l'usager, en remboursement de montants payés, soit pendant une période maximale d'un an[2].
Une deuxième exception vise le traitement des données en vue de la fourniture de services à valeur ajoutée, si les abonnés y consentent expressément et pour une durée déterminée. Cette durée ne peut, en aucun cas, être supérieure à la période nécessaire pour la fourniture ou la commercialisation de ces services possibles (CPCE, art. L. 34-1-III).
La troisième exception concerne la conservation des données lorsque celle-ci constitue « une mesure nécessaire, appropriée et proportionnée, au sein d'une société démocratique, pour sauvegarder la sécurité nationale, c'est-à-dire la sûreté de l'Etat, la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d'infractions pénales ou d'utilisations non autorisées du système de communications électroniques [...] » (Dir. no 2002/58/CE, 12 juill. 2002, « vie privées et communications électroniques », art. 15).
... à une obligation de conservation de certaines données
Les opérateurs de communications électroniques ont également une obligation de conservation des données de connexion rappelée tant par la loi du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN) que par le Code des postes et communications électroniques (CPCE). Celles-ci doivent en effet pouvoir être mises à la disposition des autorités judiciaires et des services chargés de la lutte contre le terrorisme, sous peine de sanctions civiles ou pénales.
Depuis la loi du 23 janvier 2006 sur la lutte contre le terrorisme (introduit, aux articles L. 34-1-1 du Code des postes et communications électroniques et 6 II bis de la LCEN), il est précisé que les « agents individuellement désignés et dûment habilités des services de police et de gendarmerie » en charge de la lutte anti-terrorisme peuvent obtenir des opérateurs la communication de certaines des données techniques conservées et traitées en application de l'article L. 34-1 du Code des postes et communications électroniques, sans autorisation judiciaire préalable.
En effet, la décision revient à une personnalité qualifiée qui apprécie les demandes motivées de communication qui lui sont adressées par les services de lutte contre le terrorisme. Cette personnalité est désignée par la Commission nationale de contrôle des interceptions de sécurité sur proposition du ministre de l'Intérieur, auprès de qui elle est placée.
La Commission dispose d'un pouvoir de contrôle restreint : si elle peut contrôler les opérations de communication des données, elle ne peut, en cas de constat de manquement aux règles de communication des données ou d'atteintes aux droits et libertés, qu'adresser des recommandations au ministre de l'intérieur.
Les fournisseurs d'accès et les fournisseurs d'hébergement ont, quant à eux, l'obligation de (i) détenir et conserver les « données de nature à permettre l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services dont (ils) sont prestataires » et de (ii) communiquer ces données à l'autorité judiciaire, sur demande de cette dernière (LCEN, art. 6-II).
Tout manquement à l'obligation de conservation des données expose le prestataire aux sanctions visées aux articles 6-VI de la loi du 21 juin 2004, dite LCEN, et L. 39-3 Code des postes et communications électroniques : un an d'emprisonnement et 75 000 euros d'amende, le quintuple pour les personnes morales.
C'est le décret d'application du 24 mars 2006 relatif à la conservation des données des communications électroniques qui, après avis de la CNIL et de la Commission nationale de contrôle des interceptions de sécurité, a apporté des précisions complémentaires sur la nature des données à conserver, leur durée de conservation et les conditions d'indemnisation pour les surcoûts occasionnés.
Les données concernées
Les données à conserver sont celles qui permettent d'identifier l'auteur d'un contenu, c'est à dire les données de connexion et les données administratives. Les données de connexion visent le login (qui permet l'identification des utilisateurs sur un serveur), l'adresse IP qui lui est affectée, la date et l'heure de connexion et de déconnexion. Les données administratives visent quant à elles le nom, le prénom et l'adresse de l'abonné, ainsi que le mode de paiement du service (LCEN, 21 juin 2006, art. 6-II).
Conformément à l'article L. 34-1 du CPCE, les données autorisées à être conservées sont celles qui permettent l'identification de l'utilisateur d'un service de communications électroniques et celles relatives aux caractéristiques techniques des communications et à la localisation des équipements terminaux : routage (qui permet de suivre le parcours du message), la durée, le moment, le volume de communication, le protocole de référence (qui permet la description des formats de messages et fixe les règles selon lesquelles deux ordinateurs échangeront des données), l'emplacement des équipements de l'expéditeur ou du destinataire, le réseau de départ ou d'arrivée de la communication ou encore le début, la fin ou la durée d'une connexion.
Le décret du 24 mars 2006 précise que les données qui doivent être conservées sont les « informations permettant d'identifier l'utilisateur », « les données relatives aux équipements terminaux de communication utilisés », « les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication », « les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs », « les données permettant d'identifier le ou les destinataires de la communication », l'origine et la localisation des communications téléphoniques et enfin les données de facturation.
Durée de conservation
Conformément au décret du 24 mars 2006, la durée de conservation des données est fixée à un an[3], délai au-delà duquel elles devront être anonymisées. Le choix de cette durée s'avère conforme aux exigences posées par le nouveau cadre européen en la matière, issu de la directive européenne 2006/24/CE[4] du 15 mars 2006 relative à « la conservation des données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communication » et modifiant la directive « vie privée et communication électronique ».
Ainsi, aux termes de cette directive, les pays membres de l'Union Européenne doivent, dans le cadre de la transposition, imposer une obligation de conservation à leurs opérateurs de téléphonie fixe et mobile et aux prestataires impliqués dans l'accès à internet, le courrier électronique par internet et la téléphonie par internet. Cette obligation de conservation devra s'inscrire dans une durée de six à vingt-quatre mois à compter de la communication.
Sont concernées les données nécessaires à l'identification de la source et de la destination des communications (numéros de téléphones ou identifiants, noms et adresses des abonnés, destinataires et utilisateurs), les données nécessaires à la détermination du type, de la date, de l'heure et de la durée des communications ainsi que le type et la localisation des matériels utilisés.
Compensation financière.
Un principe de compensation financière des frais engagés par les opérateurs est prévu. La loi du 23 janvier 2006 indique ainsi couvrir « les surcoûts identifiables et spécifiques » nés des demandes de communication des données et du différé des opérations d'anonymisation et éventuellement exposés par les opérateurs et personnes soumises aux obligations de conservation des données de connexion des articles L. 34-1 du Code des postes et communications électroniques et 6-II bis de la loi du 21 juin 2004 (LCEN).
Le décret du 24 mars 2006 fixe les modalités de cette compensation, en instaurant l'article R. 213-1 du Code de procédure pénale qui prévoit les tarifs relatifs à la fourniture des données. L'arrêté du 22 août 2006[5] pris en application de cet article prévoit que les opérateurs de communications électroniques seront remboursés « sur facture et justificatifs », en appliquant les tarifs indiqués dans un tableau annexe pour les prestations qui y sont répertoriées (ex. : identification d'un abonné à partir de son numéro d'appel - 6,50 e ; à partir de son patronyme ou de sa raison sociale - 13 e). Pour les prestations ne figurant pas dans ce tableau, les prix seront établis sur devis.
Personnes concernées par l'obligation de conservation
Sont concernés par l'obligation de conservation des données, les opérateurs électroniques et les fournisseurs d'accès mais également « les personnes qui, au titre d'une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l'intermédiaire d'un accès au réseau, y compris à titre gratuit » (CPCE, art. L. 34-1, I, al. 2).
Les propriétaires des cybercafés, c'est-à-dire des personnes dont l'activité est d'offrir un service payant de connexion en ligne, sont donc également concernés.
Cependant, seraient également visées les « personnes qui offrent à leurs clients, dans un cadre public, ou à des visiteurs une connexion en ligne, tels les hôtels, les compagnies aériennes... » et les « fournisseurs d'accès à des réseaux de communications électroniques accessibles via une borne WIFI » que ce soit à titre payant ou non[6].
Des débats parlementaires et des documents relatifs à l'élaboration et l'adoption du projet de loi, il découle qu'en vertu de l'article L. 34-1, I alinéa 2 du Code des postes et communications électroniques les obligations de conservation des données incombent aux opérateurs, non pas en raison de leur appartenance à une profession ou d'une désignation par la loi, mais sur la seule base de leur activité, dès lors qu'ils offrent au public un accès au réseau permettant une communication en ligne.
Le critère déterminant de soumission aux obligations des articles L. 34-1, L. 34-1-1 du CPCE et 6-II bis de la loi du 21 juin 2004 (LCEN), sera donc cette notion d'activité professionnelle « principale » ou « accessoire ». Reste que les précisions nécessaires à la définition d'un critère précis de la notion et, partant, à sa mise en oeuvre, n'ont pas été apportées par le décret d'application et relèveront donc de l'appréciation du juge.
L'hypothèse selon laquelle l'accès à l'internet est offert par une entreprise ou une administration à ses salariés ou agents soulève une interrogation. La Cnil, dans une délibération no 2005-208 du 10 octobre 2005 portant avis sur le projet de loi relatif à la lutte contre le terrorisme[7], a considéré que les entreprises ou administrations qui offrent un accès au réseau à leurs seuls salariés ou agents ne sont pas concernées par l'obligation de conservation des données.
Cette délibération s'inscrit cependant en contradiction avec la jurisprudence antérieure. En effet, les juges d'appel, dans un arrêt de la cour d'appel du 4 février 2005, avaient procédé à une application extensive du texte. Ils avaient considéré qu'une banque est un « prestataire technique » au sens de l'article 43-7 de la loi du 30 septembre 1986 relative à la liberté de communication inséré par la loi du 1er août 2000 « tenue, en application de l'article 43-9 de ladite loi, de détenir et de conserver les données de nature à permettre l'identification de toute personne ayant contribué à la création d'un contenu des services dont elle est prestataire et d'autre part, à communiquer ces données sur réquisitions judiciaires ».
On pourrait bien déduire de cette décision qu'une personne morale ou physique qui dispose d'un site internet et qui gère « des flux de navigation » est tenue de stocker les données de connexion afin d'être en mesure de les communiquer aux autorités judiciaires et, dorénavant, aux agents en charge de la lutte contre le terrorisme.
Modalités d'archivage
Il reste une question non traitée par les textes. Celles des modalités d'archivage. Rien n'est précisé et les acteurs concernés s'interrogent légitimement sur le format d'archivage. Peuvent-ils ou non archiver sous un format compressé ou doivent-ils maintenir le format d'origine. La question est importante au regard du volume de stockage qu'induit l'obligation de conservation de ces données. Le débat sur cette question reste ouvert et il reste à souhaiter qu'un arrêté ou un décret apporte sur ce point une réponse pertinente.
--------------------------------------------------------------------------------
[1] Cnil, délib. no 97-060, 8 juill. 1997, portant recommandation relative aux annuaires en matière de télécommunication, JO 2 août, p. 11517.
[2] V. D. no 2006-258, 24 mars 2006, relatif à la conservation des données des communications électroniques, JO no 73, 26 mars, p. 4609.
[3] Délai fixé également par la loi sur la sécurité quotidienne (LSQ).
[4] Dir. 2006/24/CE, 15 mars 2006, sur la conservation des données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communication, JOCE L 105, 13 avr. 2006, p. 54-63.
[5] A. 22 août 2006, JO no 202, 1er sept., p. 13010.
[6] A. Marsaud, Rapp. no 2681, 16 nov. 2005, pour la Commission des Lois sur le projet de loi relatif à la lutte contre le terrorisme, http://www.assemblee-nationale.fr/12/rapports/r2681.asp.
[7] Cnil, délib. no 2005-208, 10 oct. 2005, portant avis sur le projet de loi relatif à la lutte contre le terrorisme.