L’Angleterre complète son dispositif relatif à la conservation des données de trafic
Publié le 07/10/2003 par Etienne Wery
Depuis plusieurs années, les « données de trafic » sont au cœur d’une intense lutte de pouvoir entre les Etats d’une part, et les citoyens et les prestataires de services internet d’autre part. Les premiers veulent accéder à ces données et, par facilité, ils souhaitent transformer les prestataires en auxiliaires de justice chargés de collecter…
Depuis plusieurs années, les « données de trafic » sont au cœur d’une intense lutte de pouvoir entre les Etats d’une part, et les citoyens et les prestataires de services internet d’autre part. Les premiers veulent accéder à ces données et, par facilité, ils souhaitent transformer les prestataires en auxiliaires de justice chargés de collecter les données de trafic de leurs clients « au cas où », tandis que les seconds mettent en avant la protection de la vie privée et le coût important de l’obligation de conservation.
Le principe de confidentialité
La directive européenne sur la vie privée dans les télécommunications a tranché : elle introduit le principe de confidentialité de ces données ; c’est ainsi que les États membres doivent garantir : (1) la confidentialité des communications, ainsi que (2) la confidentialité des données relatives au trafic y afférentes.
Mais au fait, quelle est la différence entre les deux notions ? La directive l’explique à son article 1er :
- Une « communication » est : toute information échangée ou acheminée entre un nombre fini de parties au moyen d’un service de communications électroniques accessible au public. Cela ne comprend pas les informations qui sont acheminées dans le cadre d’un service de radiodiffusion au public par l’intermédiaire d’un réseau de communications électroniques, sauf dans la mesure où un lien peut être établi entre l’information et l’abonné ou utilisateur identifiable qui la reçoit.
- Les « données relatives au trafic » sont : toutes les données traitées en vue de l’acheminement d’une communication par un réseau de communications électroniques ou de sa facturation.
Le considérant 15 explicite ces notions : « une communication peut inclure toute information consistant en une dénomination, un nombre ou une adresse, fournie par celui qui émet la communication ou celui qui utilise une connexion pour effectuer la communication. Les données relatives au trafic peuvent inclure toute traduction de telles informations effectuée par le réseau par lequel la communication est transmise en vue d’effectuer la transmission. Les données relatives au trafic peuvent, entre autres, comporter des données concernant le routage, la durée, le moment ou le volume d’une communication, le protocole de référence, l’emplacement des équipements terminaux de l’expéditeur ou du destinataire, le réseau de départ ou d’arrivée de la communication, ou encore le début, la fin ou la durée d’une connexion. Elles peuvent également représenter le format dans lequel la communication a été acheminée par le réseau ».
L’exception « criminelle »
Les Etats membres ont ardemment lutté pour introduire une exception au principe de confidentialité, dans le but de leur permettre d’exploiter la mine d’or que représentent les communications et les données de trafic dans le cadre de la lutte contre les comportements infractionnels. Pour cela, ils ont voulu imposer aux prestataires de conserver des informations pour pouvoir les récupérer en cas de besoin.
De leur côté, les prestataires ont lutté tant qu’ils pouvaient contre cette mesure, en dénonçant le coût que représente pour eux toute obligation de conservation. Ils ont trouvé un allié en la personne des associations de défense des libertés civiques.
Les Etats membres ont finalement obtenu gain de cause : ils peuvent adopter des mesures législatives visant à limiter la portée du principe de confidentialité, notamment lorsqu’une telle limitation :
- constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique,
- vise à sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l’État – la défense et la sécurité publique,
- ou vise à assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques.
À cette fin, les États membres peuvent, entre autres, adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée.
La situation en Angleterre
En Angleterre, l’Anti-Terrorism Crime and Security Act adopté en 2001 affirme le principe de rétention des données de trafic pour des motifs de sécurité nationale ou de détection d’activités terroristes.
La Grande-Bretagne a ainsi suivi très tôt l’exemple du grand frère américain qui avait adopté des mesures encore plus draconiennes au lendemain des attentats du 11 septembre. Adoptée à la mi-décembre 2001 sous le bénéfice d’un quasi « état d’urgence » (dixit le ministre de l’Intérieur), le texte prévoit principalement que les prestataires de services de télécommunications devront conserver les données de connexion pendant 12 mois.
Le document affirme clairement que cette surveillance n’est pas seulement destinée à lutter contre le terrorisme ; elle vise aussi à assurer « la prévention ou la détection du crime, ou la poursuite des criminels ».
L’exposé des motifs justifie la mise en place de ces mesures car les sociétés conservent de moins en moins de données à des fins commerciales : « ce fait, associé à la pression des lobbies défenseurs de la vie privée, entraîne une réduction générale des données conservées ». Or, constate le législateur, « les données concernant certaines personnes soumises à enquête ne seront disponibles que si les données concernant les communications de l’ensemble de la population sont conservées ». Il est difficile d’être plus clair !
La mise en œuvre de la loi dépendait toutefois de la rédaction d’un code de conduite par le ministère de l’Intérieur après consultation de l’industrie, destiné à fixer plus précisément ce que l’on attend des prestataires.
Les tractations pour adopter ce « code-de-bonne-conduite-plus-ou-moins-obligatoire » ont été tellement longues que le délai d’expiration de la loi de 2001 vient bientôt à échéance ! Cette loi était en effet prévue pour être un texte d’exception à validité limitée dans le temps, destiné à répondre dans l’urgence à une situation de crise.
Le gouvernement vient de déposer deux textes :
- Le premier est une loi de prolongation de la loi de 2001 : la période initiale (deux ans) sera prolongée pour 2 ans par la loi Retention of Communications Data (Extension of Initial Period) Order 2003.
- Le second livre la version finale du code de bonne conduite que les prestataires devront à présent respecter, disponible sur notre site.