Données de connexion : le grand b …
Publié le 18/10/2005 par Etienne Wery
Décidément, la conservation des données de connexion continue à semer la zizanie dans l’Union européenne. Et en attendant, ce sont les fournisseurs qui trinquent puisqu’ils ne savent ni quoi conserver, ni pour combien de temps, ni à qui restituer les données, ni à quelles conditions ? Le 29 septembre, la Commission publiait son projet de…
Décidément, la conservation des données de connexion continue à semer la zizanie dans l’Union européenne. Et en attendant, ce sont les fournisseurs qui trinquent puisqu’ils ne savent ni quoi conserver, ni pour combien de temps, ni à qui restituer les données, ni à quelles conditions ? Le 29 septembre, la Commission publiait son projet de directive sur le sujet. Le 12 octobre, le Conseil des ministres de la justice se penchait sur le terrorisme et décidait de maintenir son projet de décision-cadre tout en étant ouvert à la discussion avec la Commission. A la même période, le délégué européen à la protection des données expliquait dans un avis écrit tout le mal qu’il pensait des projets ultra-sécuritaires prévoyant la conservation d’un grand nombre de données pour une durée très longue. Et les Etats, de leur côté, continuent leur petit bonhomme de chemin, chacun dans son coin.
Petit tour d’horizon de la situation actuelle :
Mais avant cela, rappelons le principe de base :
- La règle d’or fixée par la directive 2002/58/CE du 12 juillet 2002 (vie privée et communications électroniques) est celle de l’effacement : les données relatives au trafic et les données de localisation générées par l’utilisation des services de communications électroniques doivent être effacées ou rendues anonymes lorsqu’elles ne sont plus nécessaires à la transmission d’une communication, sauf les données requises pour établir les factures et les paiements pour interconnexion.
- L’exception prévue par cette directive permet aux États membres d’adopter des mesures législatives visant à limiter la portée de ce principe lorsqu’une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale, la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales.
Directive ou décision-cadre ?
Le Conseil, poussé par les Etats, a tenté de s’accaparer la matière. La Commission européenne a aussi, de longue date, pris position : ce sujet ultra-sensible ne doit pas échapper à un débat démocratique et passera donc par une directive en bonne et due, d’autant que des législations disparates créent des distorsions entre Etats membres.
Dans le jargon européen, le sujet passe ainsi du troisième pilier vers le premier. Ce qui n’est en apparence qu’une décision technique n’intéressant que quelques juristes est en fait d’une importance réelle! Explications …
Dans le troisième pilier, les ministres composant le Conseil européen peuvent s’accorder sur une décision harmonisant le droit dans les affaires de police et de justice. C’es très efficace … mais cela laisse de côté la Commission européenne, le Parlement européen et les parlements nationaux. Comme le Conseil n’est pas toujours très pro-européen (c’est le lieu qui matérialise l’Europe des Etats) et que les exécutifs nationaux veulent une conservation large et longue, on imagine que les projets de textes sont plutôt sécuritaires.
Le premier pilier est celui des directives et de la co-décision. Cela permet à la Commission et au Parlement de pousser l’intégration européenne, et lorsque la matière touche, comme en l’espèce, un droit fondamental, les textes sont souvent plus nuancés car le Parlement répond devant l’électeur et est ainsi souvent plus soucieux de l’intérêt des citoyens.
En termes très diplomatiques, le Conseil des ministres du 12 octobre 2005 résume la situation comme suit :
The Council held an exchange of views on the basis of a paper from the Presidency.
A large number of delegations could accept the elements set out by the Presidency paper as the basis for further work, subject to maintaining the derogation in Article 15(1) of the 2002 Telecommunications Directive and clarifying its future scope.
In the next stage, the Framework Decision will remain on the table, as an option favoured by a large number of delegations. However, a majority of delegations were also open to the idea of adopting a Directive.
There was wide agreement that any measure must reflect the elements referred to in the Presidency paper, notably in respect of the provisions on retention periods, scope and costs. (…)
It should be noted that a proposal on data retention was made in April 2004 by France, Ireland, Sweden and the UK, on the basis of Articles 31 and 34 of the Treaty of the European Union, under the so-called « Third Pillar ». For its adoption, such a proposal needs unanimity at the Council. But the Commission has considered that the categories of data to be retained and the period for retaining such data fall within EC competence (« First Pillar ») and should be adopted by the Council in co-decision with the European Parliament, on the basis of a Commission proposal for a Directive. On 21 September 2005 the Commission adopted such a proposal for a Directive on retention of communication data.
Le projet de directive
La directive s’applique aux données relatives au trafic et aux données de localisation concernant les personnes tant physiques que morales, ainsi qu’aux données connexes nécessaires pour identifier l’abonné ou l’utilisateur enregistré. Elle ne s’applique pas au contenu des communications électroniques, notamment aux informations consultées en utilisant un réseau de communications électroniques.
Les États membres veillent à ce que soient conservées en application de la présente directive les catégories de données suivantes :
- les données nécessaires pour retrouver et identifier la source d’une communication;
- les données nécessaires pour retrouver et identifier la destination d’une communication;
- les données nécessaires pour déterminer la date, l’heure et la durée d’une communication;
- les données nécessaires pour déterminer le type de communication;
- les données nécessaires pour déterminer le dispositif de communication utilisé ou ce qui est censé avoir été utilisé comme dispositif de communication;
- les données nécessaires pour localiser le matériel de communication mobile.
L’annexe de la directive prévoit plus précisément les types de données à conserver pour chacune de ces catégories. Par exemple, en ce qui concerne les services d’accès à Internet, de courrier électronique par Internet et de téléphonie par Internet, les données suivantes doivent être conservées :
- l’adresse du protocole Internet (adresse IP), qu’elle soit dynamique ou statique, attribuée à une communication par le fournisseur d’accès Internet;
- le code d’identification personnel de la source d’une communication;
- l’identité de connexion ou numéro de téléphone attribué à toute communication entrant dans le réseau téléphonique public;
- les nom et adresse de l’abonné ou de l’utilisateur enregistré à qui l’adresse IP, l’identité de connexion ou le code d’identification personnel ont été attribués au moment de la communication.
Précision importante ! La directive s’applique aux données ; elle ne s’applique pas au contenu des communications électroniques, notamment aux informations consultées en utilisant un réseau de communications électroniques. En d’autres termes : les fournisseurs ne peuvent conserver, par exemple, le contenu des courriels échangés ou la liste des sites visités.
Qui doit conserver ces données ? Les fournisseurs de services de communications électroniques accessibles au public ou d’un réseau public de communications. Ceci ne manquera pas de poser problème dans les Etats, comme la France, qui définissent ces fournisseurs de manière extensive. On sait qu’un juge a estimé que la BNP était un tel fournisseur (voir notre actualité du 9 mars 2005).
La directive tente de rassurer ces fournisseurs puisque les États membres doivent veiller à ce que les fournisseurs obtiennent le remboursement des surcoûts qu’ils justifient avoir supportés pour s’acquitter des obligations leur incombant en vertu de la présente directive.
Autre point délicat : la durée de conservation. La directive crée deux durées différentes : les catégories de données visées ci-dessus sont conservées pour une durée d’un an à compter de la date de la communication, à l’exception des données relatives à des communications électroniques utilisant uniquement ou principalement le protocole Internet. Ces dernières données sont conservées pour une durée de six mois.
Etat actuel en France
Le principe de la conservation des données relatives au trafic est visée par l’article L 34.1 – II de la loi du 9 juillet 2004 relative aux communications électroniques et aux services de communication audiovisuelle : il peut être différé pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales, pour une durée maximale d’un an aux opérations tendant à effacer ou à rendre anonymes certaines catégories de données techniques.
Cette disposition est complétée par l’article L. 35-6 du code des postes et communications électroniques : « les prescriptions exigées par la défense et la sécurité publique et les garanties d’une juste rémunération des prestations assurées à ce titre, à la demande de l’Etat, par les opérateurs, sont déterminées par décret ».
Toutefois, aucun décret d’application n’a été publié pour ces deux articles.
Plus d’infos ?
En prenant connaissance de la proposition de directive, dans notre rubrique législation.
En prenant connaissance de l’avis du Délégué européen aux données personnelles, disponible sur notre site.