TWITTER FOLLOW US Facebook
Flux RSS


Un cookie va stocker. Date expiration :ce soir minuit. Petit Moyen Grand Aide  
DÉSACCORD ENTRE LE CONSEIL ET LA COMMISSION SUR LA DURÉE DE CONSERVATION DES DONNÉES DE TRAFIC
fl Article publié le 03/10/2005
fl Auteur : Me Julien Le Clainche  Avocat Privacy IP/IT - Docteur en droit .
fl Domaines : Informatique et libertés, Droit pénal, Criminalité informatique.
fl Ordre juridique : ordre juridique
3.
print| Cet article a été lu 5132 fois |

News En rendant public un projet de directive relatif à la conservation des données de trafic, la Commission européenne marque ses divergences d’analyse et son désaccord avec certaines des mesures proposées par le Conseil Justice et Affaires Intérieures.

fl Le Conseil extraordinaire Justice et Affaires Intérieures (JAI) a décidé le 13 juillet 2005 d'adopter la décision cadre sur la rétention de données de trafic (PDF)1 au cours du Conseil JAI prévu le 12 octobre 2005. La Commission européenne a, quant à elle, rendu publique, le 21 septembre 2005, une proposition de directive2 marquant ses divergences d’analyse et son désaccord avec certaines des mesures proposées par le Conseil. Le projet de décision cadre a été vivement critiqué3, puisqu’il pouvait s’analyser comme une remise en question de la nécessité et de la proportionnalité4 de l’obligation de conserver les données relatives au trafic5 à la charge des fournisseurs de service de communication. Dans ce contexte la proposition de directive vient tempérer le projet de décision cadre, en recherchant des conditions de mise en œuvre plus équilibrées et mieux proportionnées. Il s’agit d’harmoniser la durée de conservation en fixant une période maximale d’une année, tout en assortissant cette obligation de systèmes de contrôle, d’évaluation et d’indemnisation. Un consensus semble exister entre la Commission et le Conseil quant à la nécessité de traiter les données de géolocalisation et plus généralement sur la liste des informations qui devraient être conservées. Celles-ci ne devraient en aucun cas porter sur le contenu des communications. En revanche, le Conseil et la Commission sont en profond désaccord quant à la détermination de leur compétence respective et au processus décisionnel à respecter. En effet, la compétence du Conseil sur le fondement du troisième pilier est contestée, au bénéfice de celle de la Commission sur le fondement du premier pilier. Il n’en demeure pas moins que ce projet de directive fait, lui aussi, l’objet de vives critiques6 tant au niveau de la durée de conservation, que des garanties apportées .


UNE DURÉE DE CONSERVATION HARMONISÉE, MAIS ENCORE DISCUTÉE

Le projet de directive propose de consacrer des durées de conservation différentes, selon que les données ont été collectées par le biais d’un réseau téléphonique ou par le biais du réseau Internet. Ainsi, les données de trafic issues d’un réseau de téléphonie fixe ou mobile devraient être conservées pendant une année, alors que celle émanant du réseau Internet ne le seront que pendant six mois.

Le projet de directive ne propose pas de fixer une durée minimale de conservation, mais d’harmoniser la durée de conservation, qui ne devrait pas excéder une année. Cette proposition diverge du projet de décision cadre, qui prévoyait une durée minimale de conservation d’un an7, sans distinction en fonction du type de réseau utilisé. La différence est importante puisque, dans le contexte du projet de décision cadre, les États membres conserveraient la possibilité d’édicter une obligation de conservation bien supérieure à une année8. Le projet de directive propose quant à lui d’imposer à chaque État membre une durée de conservation qui ne pourrait être inférieure, ni supérieure, à un an.

Cette durée de conservation, reste discutée au regard de sa proportionnalité et de sa nécessité. Ainsi, le Contrôleur européen de la protection des données, Peter Hustinx, a publié un commentaire critique de la proposition de directive (PDF)9 dans lequel il regrette l’absence de démonstration de la nécessité d’une durée de conservation d’une année. « This conclusion was inter alia based on the failure to provide any evidence as to the need of the retention for public order purposes, due to the fact that analysis showed that the most significant amount of traffic data demanded by law enforcement was not older than six months »10.  Le contrôleur européen à la protection des données demande également que soit mieux prise en considération l’étude de la police anglaise (PDF), selon laquelle 85% des données de trafic ont été requises dans une période inférieure à six mois11.

Cette incertitude quant à la durée de conservation des données de trafic repousse l’adoption des mesures d’application de la loi française12, et laisse planer le doute sur celles qui pourraient être fixées par le projet de loi relatif au terrorisme présenté en Conseil des ministres le 14 septembre 2005. Cependant, le ministre de l’Intérieur français a laissé entendre qu’il souhaitait faire adopter une durée de conservation d’au moins un an, sans distinction du type de réseau ayant généré les informations relatives au trafic13. Si cette durée devait être consacrée en droit français, il pourrait donc exister un risque d’incompatibilité partielle entre les mesures nationales et communautaires.


DES GARANTIES NOUVELLES, MAIS ENCORE INSUFFISANTES,

Le projet de directive propose de confier le contrôle a posteriori des traitements réalisés dans le cadre de l’obligation de conservation des données de trafic aux autorités étatiques de protection des données personnelles. En France, la Commission Nationale de l’Informatique et des Libertés (CNIL) aurait normalement été compétente pour s’occuper de ces traitements, mais la consécration textuelle de cette compétence serait néanmoins de nature à couper court à tout débat sur cette question. Cette disposition est d’autant plus nécessaire qu’elle présente le mérite de rendre obligatoire la consultation des autorités de protection des données avant toute modification de la liste des informations à conserver.

Outre cette « procédure de comitologie »14, le projet de directive prévoit également une procédure d’évaluation du système. En effet, au terme de l’article 15 de la directive Nº 2002/58/CE15, le traitement des données de trafic doit constituer une mesure nécessaire, appropriée et proportionnée, au sein d'une société démocratique. Le caractère proportionné et nécessaire du projet de décision cadre pouvait être remis en cause. Ainsi, les coûts importants que ces traitements représentent16 et la surveillance généralisée17 qu’ils impliquent étaient de nature à remettre en question la proportionnalité de l’obligation de traiter les données de trafic. De même, l’argument selon lequel une recherche dans une telle masse d’information prendrait, en l’état de la technique, entre cinquante et cent ans18 remettait en cause la nécessité d’une telle obligation. Le projet de directive prévoit donc, « la collecte de statistiques concernant les cas dans lesquels des données ont été demandées, ainsi qu’une évaluation de l’instrument et de ses retombées, sur la base de ces statistiques»19.

La démarche est originale puisqu’il s’agit de mettre en œuvre le traitement, puis d’analyser s’il est susceptible de constituer une limitation de libertés individuelles proportionnée et nécessaire dans une société démocratique. Cette démarche, dangereuse, pourrait être de nature à entacher d’illégalité la directive, qui serait adoptée sur le fondement du projet de la Commission européenne. Cependant, la déclaration du Conseil européen indique que, « la priorité devrait être accordée aux propositions concernant la conservation des données relatives au trafic des communications (…) en vue de leur adoption d'ici juin 2005»20. Cette priorité a récemment été confirmée dans les conclusions du Conseil européen des 16 et 17 juin, ainsi que lors de la réunion spéciale du Conseil JAI du 13 juillet 2005, organisée à la suite des attentats de Londres. L’objectif est donc d’apporter une réponse rapide face à l’évolution du terrorisme en Europe. Dans l’urgence, il convient de ne pas confondre rapidité et précipitation. Par exemple, si une requête dans ce type de traitement peut mettre entre cinquante et cent ans21 pour aboutir, il est probable que le système de conservation des données de trafic ne comble pas toutes les attentes qui sont placées en lui.

Le projet de directive propose « une disposition qui oblige les États membres à dédommager les fournisseurs de communications électroniques des surcoûts supportés en raison de l’obligation de conservation »22. Cette disposition à vocation à maintenir la compétitivité des fournisseurs de service de communication, en ne leur faisant pas supporter des coûts excessifs pouvant atteindre plusieurs centaines de millions d’euros par fournisseur. Sont concernés les fournisseurs d’accès aux réseaux de téléphonie ou Internet. Concrètement, il pourra par exemple s’agir d’un fournisseur d’accès commercial, d’une entreprise23 ou un « Cybercafé »24. Ce dédommagement est d’autan plus nécessaire à la mise en œuvre d’un système proportionné de conservation des données, que les prestataires techniques ne conservent plus systématiquement les données de trafic à des fins de facturation. En effet, le développement des offres forfaitaires de communication et d’offres « illimitées » ne rend plus nécessaire la conservation systématique des informations relatives au trafic à des fins de facturation25.

Si les garanties proposées par le projet de directive sont plus adaptées que celles du projet de décision cadre, elles demeurent vivement critiquées. En effet, les mesures proposées ne sont pas nécessairement considérées comme étant de nature à améliorer de manière satisfaisante la sécurité, puisqu’elles ne permettent pas nécessairement l’identification de la personne26. En outre, le projet de directive est également critiqué pour ses lacunes, notamment au regard des obligations de sécurité et de confidentialité des traitements qui n’y sont pas réaffirmées, de même que les conditions d’exercice des droits des personnes27.


LA DÉTERMINATION DE LA COMPÉTENCE INFLUE SUR LE PROCESSUS DÉMOCRATIQUE.

Enfin, le désaccord existant entre le Conseil et la Commission est de nature à souligner la difficulté de déterminer l’organe compétent, ainsi que la procédure à suivre. En effet, L’Union européenne, instituée par le traité de Maastricht, repose sur trois piliers déterminants les champs de compétence et les procédures décisionnelles. Ainsi, dans le cadre du premier pilier, seule la Commission européenne peut formuler des propositions d’actes juridiques européens au Parlement et au Conseil. Dans le cadre du second et du troisième pilier, les propositions peuvent être faites non seulement par la Commission, mais encore par les États membres. Relève notamment du premier pilier, la libre circulation des personnes, des biens, des services et des capitaux, tandis que relève du troisième pilier la coopération policière et judiciaire en matière pénale. La question qui alimente le débat actuellement entre la Commission et le Conseil porte sur la détermination des organes compétents pour proposer un acte européen ayant vocation à régir la conservation des données relatives au trafic.

La directive cadre instituant le droit des données personnelles est intitulée, « Directive relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et à la libre circulation de ces données ». La référence exprèsse à la libre circulation des données indique que la protection des données personnelles relève du premier pilier. Toutefois, la conservation des données de trafic s’inscrit dans le cadre de la lutte contre le terrorisme, et semble donc pouvoir être rattachée aux questions de coopération policière et judiciaire en matière pénale, qui relèvent du troisième pilier. Ainsi, d’une part, la Commission considère que la proposition de conservation des données de trafic relève du premier pilier et donc de sa compétence exclusive28 alors que d’autre part, le Conseil estime qu’il s’agit de coopération policière et judiciaire et prétend être compétent pour proposer un projet de décision cadre. Pourtant, la simple obligation de conservation des données de trafic, si elle n’est pas accompagnée de mesures effectives de coopération, ne saurait relever du troisième pilier du seul fait, qu’elle a des finalités policières ou judiciaires. Ainsi, le service juridique du Parlement et du Conseil estime que la conservation des données relatives au trafic relève du premier pilier29. Les enjeux au plan démocratique de la détermination de la compétence sont essentiels.

Dans le cadre du premier pilier, le processus décisionnel implique l’ensemble des institutions. Dans ce processus, la Commission à l’initiative exclusive pour proposer l’adoption d’un acte juridique, qui sera adopté par le Conseil de l’Union européenne et par le Parlement européen, tandis que la Cour de justice européenne veillera à sa mise en œuvre. Dans le cadre du troisième pilier, le processus décisionnel implique les ministres de l’Intérieur et de la justice des États membres, réunis en conseil. Il apparaît donc que le contrôle démocratique des dispositions adoptées sur le fondement du premier pilier est bien plus important que pour celles relevant du troisième. Or, la conservation des données de trafic est un dispositif jusqu’alors inédit en droit français. En effet, les prestataires techniques auront l’obligation de conserver des données à caractère personnel, qui ne leur sont d’aucune utilité. Ce traitement, dont ils seront responsables, aura pour finalité exclusive la poursuite des infractions. Ainsi, la mesure de conservation des données de trafic peut revenir à considérer tout individu se connectant sur un réseau de communication comme un coupable potentiel, dont la navigation doit pouvoir être tracée, dans le cas d’une hypothétique infraction. Dans un tel contexte, pourquoi, ne pas rendre obligatoire, à titre préventif, le port du « bracelet électronique »30 pour chaque individu, afin de se prémunir contre le risque éventuel que celui-ci commette une infraction dans un environnement physique ? La conservation de données personnelles est considérée par la Cour européenne des droits de l’Homme comme une atteinte à la vie privée, quand bien même elles ne seraient pas considérées comme sensibles31 au sens de l’article 8 de la directive 95/46/CE32 . Les enjeux sont d’importance et le maximum de garanties doit donc entourer ces mesures de surveillance. Or, celles proposées par la Commission, bien que supérieures à celles du Conseil, sont encore lacunaires ou incomplètes. Il est donc essentiel que la procédure d’adoption des dispositions visant à créer une obligation générale de conservation des données de trafic s’inscrive dans une procédure comprenant le maximum de garanties démocratiques.

Auteur : Me Julien Le Clainche  Avocat Privacy IP/IT - Docteur en droit . | Source : DROIT-TIC |
NOTES

2 MEMO/05/328, Directive relative à la conservation des données, Commission européenne, 21 septembre 2005.

3 Pour des illustrations de ces critiques, se reporter notamment aux communiqués de presse des associations de protection des libertés : Imaginons un réseau Internet Solidaire, Des ONG s'adressent à la présidence de l'UE après les attentats de Londres, communiqué de presse, 12 septembre 2005. Pour une position commune des différentes associations de protection des Libertés individuelles consultez le site « Datarententionisnosolution ». Voir également, J. LE CLAINCHE, Vers une durée de rétention sans… retenue ?, DROIT-TIC, 18 juillet 2005.

4 Sur la remise en question des principes de proportionnalité et de nécessité voir, J. LE CLAINCHE, Vers une durée de rétention sans… retenue ?, DROIT-TIC, 18 juillet 2005.

5 Les données relatives au trafic sont celles qui sont traitées en vue de l'acheminement d'une communication par un réseau de communications électroniques ou de sa facturation. Code des postes et communications électroniques, article L.32 18°. Directive 2002/58 CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, JOCE L 201 du 31 juillet 2002.

6 Pour des illustrations de ces critiques, se reporter notamment à l’opinion émise par le contrôleur européen à la protection des données, Peter HUSTINX, Opinion of the European Data Protection Supervisor, on the Proposal for a Directive of the European Parliament and of the Council on the retention of data processed in connection with the provision of public electronic communication services and amending Directive 2002/58/EC (COM (2005) 438 final) (PDF).

7 Cette durée de conservation d’un an pourrait être étendue à trente-six mois dans le contexte du terrorisme et du crime organisé

8 Actuellement certains Etats membres imposent une conservation des données pouvant aller jusqu’à quatre années.

9 Opinion of the European Data Protection Supervisor, on the Proposal for a Directive of the European Parliament and of the Council on the retention of data processed in connection with the provision of public electronic communication services and amending Directive 2002/58/EC (COM (2005) 438 final) (PDF).

11 Liberty and security, striking the right balance, UK Presidency of the European Union, 7 September 2005 (PDF).

12 Loi 2003-239 du 18 mars 2003 pour la sécurité intérieure, J.O n°66 mars 2003, p.4761.

14 MEMO/05/328, Directive relative à la conservation des données, Commission européenne, 21 septembre 2005, p. 5.

15 Directive 2002/58 CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, JOCE L 201 du 31 juillet 2002.

16 Dans le domaine de la téléphonie, le coût est estimé « à 180 millions d'euros par entreprise, les coûts annuels d'exploitation pouvant atteindre les 50 millions d'euros (…) Les charges dans le domaine de l'Internet seraient plusieurs fois supérieures au montant des investissements nécessaires en matière de téléphonie filaire traditionnelle », A. Nuno Alvaro, rapport 2004/0813(CNS) au Parlement européen pour la commission des libertés, de la justice et des affaires intérieures, p.8 (PDF).

17 « La conservation a priori d’informations identifiantes pose également la question de la présomption d’innocence dans une société démocratique. En effet, cette attitude prête à penser que chaque individu est un coupable potentiel, jusqu’à preuve de son innocence. Cette inversion de tendance est cependant une question plus sociétale, que juridique : Il s’agit de choisir vers quelle société nous voulons évoluer» ; J. LE CLAINCHE, Vers une durée de rétention sans… retenue ?, DROIT-TIC, 18 juillet 2005.

18 Sur ce point voir, A. Nuno Alvaro, rapport 2004/0813(CNS) p. 7 (PDF) : « Given the volume of data to be retained, particularly Internet data, it is unlikely that an appropriate analysis of the data will be at all possible.» 
« If all the traffic data covered by the proposal did indeed have to be stored, the network of a large Internet provider would, even at today's traffic levels, accumulate a data volume of 20 - 40 000 terabytes. This is the equivalent of roughly four million kilometres' worth of full files, which, in turn, is equivalent to 10 stacks of files each reaching from Earth to the moon. With a data volume this huge, one search using existing technology, without additional investment, would take 50 to 100 years. The rapid availability of the data required seems, therefore, to be in doubt».

21 A. Nuno Alvaro, rapport 2004/0813(CNS) p. 7.

23 Sur la qualification de fournisseur d’accès appliquée à une entreprise voir, C.A Paris, 14ème chambre, section B, arrêt du 04 février 2005, SA BNP PARIBAS C/ SOCIÉTÉ WORLD PRESS ONLINE, DROIT-TIC. Décision commenté par le Forum de Droits sur l’Internet, F.D.I, Entreprise : accès tu fourniras, données tu conserveras, 1er mars 2005.

24 Comme l’a indiqué le ministre de l’Intérieur le lundi 26 septembre 2005 sur la chaîne de télévision France 3, compte-rendu L. NACHURY, Les connexions des internautes à la disposition de la justice pendant un an, 01Net, 27 septembre 2005.

25 La CNIL a souligné « le caractère inédit du dispositif retenu », (CNIL, délibération 01-018 du 03 mai 2001 portant avis sur le projet de loi sur la société de l'information, in CNIL, « 22ème rapport d'activité 2001 », Paris, La Documentation française, 2002,annexes, p.226), « qui déroge au principe de finalité puisqu’il fait obligation aux opérateurs de communications électroniques de conserver, aux fins exclusives de faciliter le travail des autorités policières et judiciaires, des données qui se rapportent à l’ensemble des personnes utilisant leurs services et dont la conservation ne présente aucune utilité pour eux », Commission Nationale de l’Informatique et des Libertés, « Rapport d’activité 2003 », N°24, La Documentation française, 2004, p. 42.

26 « One reason to doubt the adequacy, often mentioned in the public debate, is that traffic data and location data are not always linked to a specified individual, so knowledge about a telephone number (or an IP-number) does not necessarily reveal the identity of an individual.», Opinion of the European Data Protection Supervisor, on the Proposal for a Directive , p. 5.

27 « contain adequate safety measures, so as to limit the access and further use, guarantee the security of the data and ensure that the data subjects themselves can exercise their right s» , Opinion of the European Data Protection Supervisor, on the Proposal for a Directive , p. 5.

28 « La position adoptée par la Commission est la suivante: la majeure partie de la décision-cadre – celle concernant les obligations imposées aux fournisseurs de conserver certaines données relatives au trafic – devrait se fonder sur une base juridique relevant du premier pilier», MEMO/05/328, Directive relative à la conservation des données, p. 3.

29 « . C’est également la position défendue par le Service juridique du Conseil et par le Parlement européen », MEMO/05/328, Directive relative à la conservation des données, p. 3.

30 Le « bracelet électronique » est un outil qui permet à l'administration pénitentiaire de surveiller à distance certaines personnes en attente de jugement ou condamnées à une peine privative de liberté. Décret N° 2002-479 du 3 avril 2002 portant modification du code de procédure pénale et relatif au placement sous surveillance électronique, J.O n° 84 du 10 avril 2002 p. 6322, texte n° 32.

32 Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, JOCE du 23 Novembre 1995 n° L. 281, p. 31.
LIENS
 

top
© 2000-2015 Julien Le Clainche