TWITTER FOLLOW US Facebook
Flux RSS


Un cookie va stocker. Date expiration :ce soir minuit. Petit Moyen Grand Aide  
LA NAISSANCE D’UN DOUBLE RÉGIME D’ACCÈS AUX DONNÉES RELATIVES AU TRAFIC
fl Article publié le 30/01/2006
fl Auteur : Me Julien Le Clainche  Avocat Privacy IP/IT - Docteur en droit .
fl Domaines : Informatique et libertés, Vie privée.
fl Ordre juridique : ordre juridique
3.
print| Cet article a été lu 4884 fois |

News Le 19 janvier 2006, le Conseil Constitutionnel a été amené à se prononcer sur la conformité de la loi n° 2006/064 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers

fl Le 19 janvier 2006, le Conseil Constitutionnel a été amené à se prononcer sur la conformité de la loi n° 2006/064 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers1. En effet, plus de soixante députés ont remis en question la constitutionnalité, non seulement des dispositions relatives à la conservation des données relatives au trafic et de localisation, mais encore celles se rapportant aux dispositifs de contrôle des données signalétiques des véhicules ou encore à la représentation syndicale au sein des instances paritaires. Plus généralement, c’était le principe de clarté et d'intelligibilité de la loi, qui était remis en cause2. Essayons de mesurer la portée de cette décision n° 2005/532 DC du 19 janvier 20063 sur le régime applicable aux données relatives au trafic, les autres aspects étant provisoirement laissés de côté.

Les données relatives au trafic sont celles qui sont traitées en vue de l'acheminement d'une communication par un réseau de communications électroniques ou de sa facturation4. Leur conservation a fait l’objet d’une régulation aux contours encore flous et indistincts5, dont l’association « Imaginons un Réseau Internet Solidaire » a dressé la chronologie6. La finalité de cette conservation est de permettre aux autorités de pouvoir retrouver les auteurs d’infractions, délits et crimes commis par le biais des réseaux informatiques. Notons d’emblée que le caractère proportionné et l’efficacité de cette conservation peuvent être débattus7, et le sont, notamment au niveau communautaire8. La loi n° 2006-64 est venue modifier le régime institué par la loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne9. En effet, la loi nouvelle étend la liste des informations qui doivent être conservées, celle des personnes débitrices de cette obligation et la durée de conservation. Enfin, les nouvelles dispositions assouplissent les conditions d’accès aux données.


Quelles données doivent être conservées ? Qui doit les contrôler ?

L’article L. 34-1 du Code des postes et des communications électroniques (CPCE) pose le principe de l’effacement des données relatives au trafic avant d’énumérer les exceptions dont il peut souffrir. Les informations d’identification exigées par l’architecture des réseaux de communications constituent la base des données qui permettent la surveillance des transactions électroniques. Il s’agit, au terme de l’article 6 de la loi nouvelle, des « données techniques relatives à l’identification des numéros d’abonnement ou de connexion à des services de communications électroniques, au recensement de l’ensemble des numéros d’abonnement ou de connexion d’une personne désignée, aux données relatives à la localisation des équipements terminaux utilisés ainsi qu’aux données techniques relatives aux communications d’un abonné portant sur la liste des numéros appelés et appelants, la durée et la date des communications ». Concrètement sur Internet, il peut s’agir des adresses « IP » auxquelles sont associées la date et l’heure de la connexion, le type d’usage (courriel, transfert de fichiers ou Web) et des requêtes ou du message. Dans le cadre d’un réseau téléphonique, il pourra notamment s’agir des numéros appelants et appelés, de la date et de la durée de la communication, de l’identifiant du terminal. Notons qu'en raison du caractère flou de la définition des « données techniques », la liste des données n'est pas limitative. Il faudra attendre l’adoption du décret d’application pour en connaître la teneur précise. D’une part, il s’agit pour les débiteurs de l’obligation de conservation d’être en mesure de savoir précisément à quoi ils sont tenus. D’autre part, une liste concurrente est actuellement débattue au niveau communautaire, et il serait dommageable que l’obligation de conservation des données techniques française soit plus large que celle qui sera prévue par la directive en cours de discussion. Notons également qu’il ne s’agit pas, en principe, de traiter le contenu des communications mais seulement les informations qui y sont relatives10.

Pourtant, la loi nouvelle soumet l’accès à ces données au contrôle de la Commission Nationale de Contrôle des Interceptions de sécurité (CNCIS)11 : « les demandes, accompagnées de leur motif, font l'objet d'un enregistrement et sont communiquées à la Commission nationale de contrôle des interceptions de sécurité»12. Cette compétence de la CNCIS est surprenante dans la mesure où, d’après le texte, il ne s’agit pas d’intercepter les communications, mais seulement de conserver certaines informations à leur sujet. Cette compétence étonnante conduit à deux alternatives. Soit la finalité du traitement n’est pas clairement définie et pourra évoluer vers la conservation du contenu des communications. Soit il s’agit de retirer la compétence, pourtant légitime, de la Commission Nationale de l’Informatique et des Libertés (CNIL), institution dont l’indépendance est indiscutée et qui avait émis de nombreuses réserves quant au projet de loi relatif à la lutte contre le terrorisme13.  En effet, si les deux commissions sont des autorités administratives indépendantes, force est de constater que les pouvoirs de la CNIL14 sont bien plus étendus que ceux de la CNCIS, dont les membres sont moins nombreux et présentent peut-être moins de garanties d’indépendance. En effet, celle-ci ne dispose que d’un pouvoir de recommandations au ministre de l'intérieur lorsqu'elle constate « un manquement aux règles édictées par le présent article ou une atteinte aux droits et libertés »15.



Quelles personnes doivent conserver les données relatives au trafic ?

Le texte nouveau inséré à l’article L. 34-1 I du CPCE soumet aux disposition de la loi n° 2006-64 « les personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit ». Comme le note le Forum des Droits sur l’Internet, la disposition vise tout particulièrement les « Cybercafés »16 en plus des prestataires traditionnels d’accès au réseau. Ainsi, une société commerciale qui propose à ses clients un accès au réseau Internet à titre accessoire, par exemple dans le cadre d’une activité de transport ou de restauration est soumise à l’obligation de conservation. Les prestataires de services à titre gratuit sont également visés par le texte. Il semblerait que ce critère de l’activité professionnelle conduise à soumettre aux dispositions de la loi « les mairies, bibliothèques et universités si leurs activités les conduisaient à titre accessoire à fournir une prestation identique à celle d’un cybercafé »17. En revanche, une association peut-elle être considérée comme conduisant une activité professionnelle ? Faisant écho à la CNIL, il convient de se demander si ce critère n’est pas inadéquat au regard des « incertitudes qui s’attachent (…) à une telle définition »18. Toutefois, il semble assuré que seules sont visées les personnes physiques ou morales dont l’activité professionnelle est d’offrir au public à titre accessoire ou principal une connexion au réseau Internet, « ce qui exclut de cette définition notamment les entreprises ou administrations qui assurent un accès au réseau à leurs seuls salariés ou agents »19.

Au niveau communautaire avait été souligné la charge financière que l’obligation de conservation des données relatives au trafic faisait peser sur les acteurs d’un marché sur lequel la concurrence est âpre20. La loi française a donc anticipé le texte de la prochaine directive qui prévoit « une disposition qui oblige les États membres à dédommager les fournisseurs de communications électroniques des surcoûts supportés en raison de l’obligation de conservation » 21. Ainsi, la loi française prévoit-elle que « les surcoûts identifiables et spécifiques éventuellement exposés par les opérateurs et personnes mentionnés au premier alinéa pour répondre à ces demandes font l'objet d'une compensation financière»22. Ce dédommagement est d’autant plus nécessaire à la mise en œuvre d’un système proportionné de conservation des données, que les prestataires techniques ne conservent plus systématiquement les données de trafic à des fins de facturation. En effet, le développement des offres forfaitaires de communication et d’offres « illimitées » ne rend plus nécessaire la conservation systématique des informations relatives au trafic.  


Vers un double régime des conditions d’ouverture du traitements des données relatives au trafic.

Le projet de loi relative à la lutte contre le terrorisme disposait qu’« afin de prévenir et de réprimer les actes de terrorisme, les agents individuellement désignés et dûment habilités des services de police et de gendarmerie nationales spécialement chargés de ces missions peuvent exiger des opérateurs (…) la communication des données conservées et traitées… ». Cette disposition devait modifier non seulement l’article L. 34-1 du CPCE, mais encore l’article 6 de la loi du 21 juin 2004 pour la confiance dans l'économie numérique 23. Comme l’a fait observer la CNIL, « cette distinction n’est pas neutre dans la mesure où ces dispositions légales doivent, pour chacune d’entre elles, être précisées par un décret en Conseil d’Etat pris après avis de la CNIL précisant notamment la nature et la durée de conservation des données devant être conservées, qui peuvent donc être différentes ». La Commission recommandait « donc l’abandon de la référence à l’article L.34-1 dans la rédaction du premier alinéa de l’article 7 du projet de loi »24.

Au terme de l’article 66 de la Constitution, « nul ne peut être arbitrairement détenu. - L'autorité judiciaire, gardienne de la liberté individuelle, assure le respect de ce principe dans les conditions prévues par la loi ». La répression des infractions, délits et crimes, au nombre desquels sont comptés les actes de terrorismes, est donc une compétence de l’autorité judiciaire constitutionnellement garantie. Or, le projet de loi proposait de permettre l’accès aux données relatives au trafic dans le cadre des pouvoirs de police administrative et judicaire sans contrôle par des autorités judiciaires25.

Le Conseil Constitutionnel, après avoir fait observé que « les données techniques (…) peuvent déjà être obtenues, en application des dispositions du code de procédure pénale, dans le cadre d'opérations de police judiciaire destinées à constater les infractions à la loi pénale »26, considère que « les réquisitions de données permises par les nouvelles dispositions constituent des mesures de police purement administrative (…) que, dès lors, en indiquant qu'elles visent non seulement à prévenir les actes de terrorisme, mais encore à les réprimer, le législateur a méconnu le principe de la séparation des pouvoirs ». 

Certains auteurs ont conclu à la validation de la loi n° 2006-6427. Pourtant, il découle de la décision n° 2005/532 DC du 19 janvier 2006 deux régimes distincts d’accès aux données relatives au trafic.

D’une part, le régime de l’ouverture du traitement dans le cadre de la répression des actes terroristes reste soumis au contrôle d’une autorité judiciaire. D’autre part, l’accès au données relatives au trafic dans le cadre de la prévention des infractions, délits et crime fait l’objet d’une nouveau régime plus souple, puisque exercé sans contrôle par une autorité judiciaire. En effet, l’autorité de contrôle sera alors une « personnalité qualifiée » placée auprès du ministre de l’intérieur par la CNCIS pour une durée de trois ans renouvelable. C’est cependant le ministre de l’intérieur qui choisit cette « personnalité qualifiée » dans une liste d’au moins trois noms. Celle-ci établit un rapport d'activité annuel adressé à la CNCIS. Le régime est incontestablement plus souple, le contrôle étant très lié à l’autorité de tutelle, c'est-à-dire au ministre de l’intérieur.

La dualité de régime s’expose, au moins dans un premier temps, à ne pas toujours être bien perçue par le débiteur de l’obligation de conservation. En effet, ces derniers ne sont pas nécessairement en mesure, surtout dans le cadre de petites structures, de savoir si la réquisition est administrative et s’inscrit dans le cadre de la prévention ou, s’il s’agit de la répression de comportements délictueux, qui nécessite le contrôle d’une autorité judicaire. En outre, il est permis de s’interroger quant à la capacité d’un « Cybercafé » à s’opposer à une réquisition qu’il estime illicite. Quelles seront les voies de recours ? Celles-ci existent puisque le Conseil Constitutionnel considère « que les personnes ayant un intérêt à agir ne sont pas privées par la disposition critiquée des garanties juridictionnelles de droit commun dont sont assorties les mesures de police administrative ; que leur droit au recours n'est donc pas méconnu ». En pratique, un petit établissement s’opposera-t-il à une réquisition au risque de s’attirer la rancune des demandeurs ? Sera-t-il à même de discerner où s’arrête la prévention et où commence la répression ? Enfin, le nouveau régime français sera-t-il conforme à la directive communautaire qui devrait être prochainement adoptée28 ? Le décret d’application de la loi nouvelle, dont l’adoption est prévue dans le courant du mois de février 2006, devrait apporter quelques éléments de réponse supplémentaires. Il semble toutefois acquit que les définitions larges données par la loi nouvelle posent d'ores et déjà des difficultés d'interprétations, qui devront être levées non seulement par la voie réglementaire, mais encore par les juridictions qui auront à connaître d'éventuels contentieux.  

Auteur : Me Julien Le Clainche  Avocat Privacy IP/IT - Docteur en droit . | Source : DROIT-TIC |
NOTES
1 Loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers, J.O n° 20 du 24 janvier 2006 page 1129, texte n° 1.
http://www.legifrance.gouv.fr/texteconsolide/PPEFF.htm, document consulté le 29 janvier 2006.

2 Pour plus d’informations se reporter au texte de la saisine du Conseil Constitutionnel, Décision n° 2005-532 DC - 19 janvier 2006, Loi relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers, SAISINE du Conseil constitutionnel par plus de soixante sénateurs.
http://www.conseil-constitutionnel.fr/decision/2006/2005532/saisine1.htm, document consulté le 29 janvier 2006.

3 Décision n° 2005-532 DC - 19 janvier 2006, Loi relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers.
http://droit-tic.com/juris/aff.php?id_juris=63, également disponible sur le site du Conseil Constitutionnel http://www.conseil-constitutionnel.fr/decision/2006/2005532/2005532dc.htm, documents consultés le 29 janvier 2006.

4 Code des postes et communications électroniques, article L.32 18°. Directive 2002/58 CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, JOCE du 23 Novembre 1995 n° L. 281 p. 31. Article 2. b).

5 Pour des analyses récentes du cadre juridique applicable au données relatives au trafic voir, MATHIAS G. et LORRAIN A-C, « Données de connexion : un état des lieux ou un première tentative de démêlage de la toile législative », RLDI 2005/11, n° 334, p. 48. Voir également, REYNAUD, P. « Le fournisseur d'accès et la conservation des données engendrées par les communications électroniques », Com. Com. Electr. N° 6, juin 2005, Etd. n° 23. Pour des ressources en ligne voir, LE CLAINCHE, J. « Toujours pas de consensus sur la rétention des données relatives au trafic », DROIT-TIC, 24 octobre 2005 in RDTIC n° 46, p. 4. Voir également, 2005 et à LE CLAINCHE, J., « Désaccord entre le Conseil et la Commission sur la durée de conservation des données de trafic », DROIT-TIC, 3 octobre 2005 in RDTIC n° 46, p. 11. et LE CLAINCHE, J., « Vers une durée de rétention sans… retenue ? », DROIT-TIC, 18 juillet 2005, in RDTIC n° 43, p. 2.

7 Sur ce point voir, LE CLAINCHE J. ., « Désaccord entre le Conseil et la Commission sur la durée de conservation des données de trafic », précité : « si une requête dans ce type de traitement peut mettre entre cinquante et cent ans pour aboutir, il est probable que le système de conservation des données de trafic ne comble pas toutes les attentes qui sont placées en lui». 

8 Sur ce point voir, NUNO ALVARO, N., rapport 2004/0813(CNS) au Parlement européen pour la commission des libertés, de la justice et des affaires intérieures, p. 6.

9 La loi n° 2006-64 est venu modifier le régime institué par la loi n° 2001/1062 du 15 novembre 2001 relative à la sécurité quotidienne, J.O n° 266 du 16 novembre 2001 page 18215.

10 Loi n° 2000-719 du 1er août 2000 modifiant la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication, J.O n° 177 du 2 août 2000 page 11903. Loi n° 91-646 du 10 juillet 1991 relative au secret des correspondances émises par la voie des communications électroniques. Loi 2003-239 du 18 mars 2003 pour la sécurité intérieure, J.O n°66 mars 2003, p.4761

11 La CNCIS a été instituée par l’article 13 de la loi n° 91-646 du 10 juillet 1991 relative au secret des correspondances émises par la voie des télécommunications.

12 Article 6 de la loi n° 2006-64 du 23 janvier 2006.

13 CNIL, délibération n° 2005-208 du 10 octobre 2005 portant avis sur le projet de loi relatif à la lutte contre le terrorisme.
http://www.droit-tic.com/juris/aff.php?id_juris=40, document consulté le 29 janvier 2006.
Voir également, COSTES, L. «  Nombreuses réserves de la CNIL sur le projet de loi relatif à la lutte contre le terrorisme », RDLI 2005/10, n° 294, p. 34.

14 Sur les pouvoirs de la CNIL voir, LE CLAINCHE J., « Pouvoirs a posteriori de la CNIL : les risques de l’excès de prudence », RLDI 2005/11, n° 333, p. 43. 

15 Nouvel article L. 34-1 CPCE.

16 Forum des Droits sur l’Internet, « Conservation des données de connexion – Nouveau régime issu de la loi anti-terrorisme », 26 janvier 2006.
http://www.foruminternet.org/actualites/lire.phtml?id=1001, document consulté le 29 janvier 2006.

17 Forum des Droits sur l’Internet, « Conservation des données de connexion – Nouveau régime issu de la loi anti-terrorisme », 26 janvier 2006, précité.

20 « Faisant suite à un proposition du parlement européen, en décembre 2004, la Commission a annoncé l’allocation de 7 millions d’euros à un projet pilote dans le domaine de la préparation et de la réponse aux attaques terroristes et leur prévention », droit pénal n° 11, novembre 2005, alerte 90,

21 NUNO ALVARO, N., rapport 2004/0813(CNS) au Parlement européen pour la commission des libertés, de la justice et des affaires intérieures, précité.

22 Nouvel article L. 34-1 CPCE.

23 Loi nº 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, J.O n° 143 du 22 juin 2004, p. 11168.

24 CNIL, délibération n° 2005-208 du 10 octobre 2005, précitée.

25 À cet égard la CNIL fait observer que « l’obligation ainsi faite aux opérateurs de communiquer, dans le cadre des pouvoirs de police administrative et hors contrôle des autorités judiciaires, les traces des connexions qui, par recoupement avec d’autres données, peuvent dévoiler l’identité des utilisateurs d’internet, leur navigation sur le Web et, de manière plus générale, l’usage privé que l’on fait du réseau, déroge aux principes fondamentaux de protection des libertés individuelles » pour conclure que « dès lors, il convient que la loi édictant une telle obligation soit à la fois claire et précise et que le dispositif mis en œuvre soit adapté et proportionné »,  CNIL, délibération n° 2005-208 du 10 octobre 2005, précitée.

26 Décision n° 2005-532 DC - 19 janvier 2006, précitée.

27 Pour des illustrations voir, « La réquisition administrative des données de connexion conforme à la constitution », Legalis, 20 janvier 2006.
http://www.legalis.net/breves-article.php3?id_article=1562, document consulté le 29 janvier 2006.

Pour une opinion contraire voir, ROGER, P., « Le Conseil Constitutionnel défend la séparation des pouvoirs », Le Monde, 21 janvier 2006, p.10.

28 Pour suivre l’évolution du projet de directive, voir LE CLAINCHE, J., « Vers une durée de rétention sans… retenue ? », précité. Voir également, 2005 et à LE CLAINCHE, J., « Désaccord entre le Conseil et la Commission sur la durée de conservation des données de trafic », précité et LE CLAINCHE, J. « Toujours pas de consensus sur la rétention des données relatives au trafic », précité.
LIENS
 

top
© 2000-2015 Julien Le Clainche