Données de connexion : les personnes concernées par l'obligation de conservation de ces données (Septembre 2008)

Publié le par e-commerce

La conservation des données de connexion est une obligation légale.

Tout manquement à cette obligation expose aux sanctions visées aux articles 6-VI de la loi du 21 juin 2004 (dite LCEN) et L. 39-3 Code des postes et communications électroniques : un an d’emprisonnement et 75 000 euros d’amende, le quintuple pour les personnes morales.

Reste à déterminer qui est concernée par cette obligation légale. Or, les textes en la matière peuvent prêter à interrogation. Il est donc apparu utile de refaire un point sur cette question.


(1) Pour les opérateurs de communications électroniques, l’obligation de conservation des données de connexion est rappelée tant par la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN) que par le Code des postes et communications électroniques (CPCE). Ces données doivent pouvoir être mises à la disposition des autorités judiciaires et des services chargés de la lutte contre le terrorisme, sous peine de sanctions civiles ou pénales. C’est en effet la loi no 2006-64 du 23 janvier 2006 sur la lutte contre le terrorisme qui a introduit, aux articles L. 34-1-1 du Code des postes et communications électroniques et 6 II bis de la loi du 21 juin 2004, dite LCEN, cette obligation. En vertu de ces textes, les « agents individuellement désignés et dûment habilités des services de police et de gendarmerie » en charge de la lutte anti-terrorisme peuvent obtenir des opérateurs la communication de certaines des données techniques conservées et traitées en application de l’article L. 34-1 du Code des postes et communications électroniques, sans autorisation judiciaire préalable. En effet, la décision revient à une personnalité qualifiée qui apprécie les demandes motivées de communication qui lui sont adressées par les services de lutte contre le terrorisme. Cette personnalité est désignée par la Commission nationale de contrôle des interceptions de sécurité sur proposition du ministre de l’Intérieur, auprès de qui elle est placée. La Commission dispose d’un pouvoir de contrôle restreint : si elle peut contrôler les opérations de communication des données, elle ne peut, en cas de constat de manquement aux règles de communication des données ou d’atteintes aux droits et libertés, qu’adresser des recommandations au ministre de l’intérieur.

(2) Les fournisseurs d’accès ont également l’obligation de (i) détenir et conserver les « données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont (ils) sont prestataires » et de (ii) communiquer ces données à l’autorité judiciaire, sur demande de cette dernière (L. 21 juin 2004, art. 6-II).

(3) Sont également tenus à l’obligation de conservation des données de connexion « les personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit » (art. L34-1 du CPCE introduit par la loi du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers).

S’agissant des propriétaires des cybercafés - c’est-à-dire des personnes dont l’activité est d’offrir un service payant de connexion en ligne – ils semblent bien concernés, tout comme les « personnes qui offrent à leurs clients, dans un cadre public, ou à des visiteurs une connexion en ligne, tels les hôtels, les compagnies aériennes… » et les « fournisseurs d’accès à des réseaux de communications électroniques accessibles via une borne wifi » que ce soit à titre payant ou non[1]. En effet, il résulte des débats parlementaires et des documents relatifs à l’élaboration et l’adoption du projet de loi, qu’en vertu de l’article L. 34-1, I alinéa 2 du Code des postes et communications électroniques, les obligations de conservation des données incombent aux opérateurs, non pas en raison de leur appartenance à une profession ou d’une désignation par la loi, mais sur la seule base de leur activité, dès lors qu’ils offrent au public un accès au réseau permettant une communication en ligne.

On notera que, ici, le critère déterminant de soumission aux obligations des articles L. 34-1, L. 34-1-1 du CPCE et 6-II bis de la loi du 21 juin 2004 (LCEN), est cette notion d’activité professionnelle « principale » ou « accessoire ». Cependant, le décret d’application n’a pas précisé cette notion, laissant ainsi place à une appréciation au cas par cas.

(4) Certains organismes publics et privés. De manière analogue aux articles précités, le décret du 26 octobre 2007[2] relatif aux demandes de mise à disposition de données par voie électronique et modifiant le Code de procédure pénale prévoit également création d’une obligation de communication de données pour certains organismes publics et privés : opérateurs de communications électroniques, établissements financiers, organismes sociaux notamment (v. C. pr. pén., art. R. 15-33-62). Il est ainsi expressément prévu que l’officier de police judiciaire expressément habilité à cette fin par le responsable du service peut, au cours de l’enquête de flagrance, de l’enquête préliminaire ou de l’instruction, demander à ces organismes la communication de données à caractère personnel. Les modalités techniques d’interrogation et de transmission des informations ainsi que la nature des données traitées sont définies par un protocole remis par le ministre compétent (C. pr. pén., art. R. 15-33-72). Une copie du protocole est adressée à la Cnil.

(5) Le cas des entreprises qui offrent un accès internet à leurs employés. L’hypothèse selon laquelle l’accès à l’internet est offert par une entreprise ou une administration à ses salariés ou agents soulève une interrogation. La Cnil, dans une délibération no 2005-208 du 10 octobre 2005 portant avis sur le projet de loi relatif à la lutte contre le terrorisme[3], avait considéré que les entreprises ou administrations qui offrent un accès au réseau à leurs seuls salariés ou agents ne sont pas concernées par l’obligation de conservation des données. Cependant, il convient de rappeler qu’un arrêt de la cour d’appel du 4 février 2005[4] a procédé à une application extensive du texte en retenant qu’une banque devait être considérée, en raison de l’accès à internet qu’elle offre à ses salariés, comme un « prestataire technique » au sens de l’article 43-7 de la loi du 30 septembre 1986 relative à la liberté de communication inséré par la loi du 1er août 2000 « tenue, en application de l’article 43-9 de ladite loi, de détenir et de conserver les données de nature à permettre l’identification de toute personne ayant contribué à la création d’un contenu des services dont elle est prestataire et d’autre part, à communiquer ces données sur réquisitions judiciaires ». La portée de cette décision est encore aujourd’hui très incertaine. Doit-on en déduire qu’une personne morale ou physique qui dispose d’un site internet et qui gère « des flux de navigation » est tenue de stocker les données de connexion afin d’être en mesure de les communiquer aux autorités judiciaires et, dorénavant, aux agents en charge de la lutte contre le terrorisme ? Selon certains auteurs, la qualification d’opérateur de communications électroniques reposerait sur le fait que le réseau exploité ou le service fourni est destiné au public dans son ensemble. Ainsi, dès lors que le réseau exploité ou le service fourni se destinerait à un usage privé ou partagé, la qualification d’opérateur de communication électronique ne s’appliquerait pas, ce qui serait de nature à exclure de cette qualification les entreprises permettant à leurs salariés un accès au réseau[5].

(6) Le cas des moteurs de recherche. Ils collectent et traitent une masse considérable de données à caractère personnel. Ce constat a conduit le Groupe 29[6] à adopter à l’unanimité et en concertation avec les principaux acteurs du marché (Google, Yahoo !, Microsoft et les moteurs nationaux) un avis en date du 4 avril 2008 précisant les règles applicables aux moteurs de recherche. Conformément à cet avis, les moteurs de recherche sont des « services de la société de l’information » et, à ce titre, ne sont pas concernés par la directive 2006/24/CE relative à la conservation des données, contrairement aux fournisseurs d’accès internet et aux opérateurs de télécommunications. Ils ne sont donc pas tenus par l’obligation de conservation des données de connexion. Cependant, les moteurs de recherche ne doivent pas non plus conserver trop longtemps l’historique des requêtes effectuées et des sites consultés par les internautes, sauf à créer un risque d’atteinte à la vie privée en permettant de tracer des habitudes de comportement des internautes. C’est dans ce contexte qu’a été émise la recommandation visant à effacer ces données au bout de six mois. Dans une lettre du 8 septembre 2008[7] adressée au Groupe 29, Google répond à la recommandation qui lui a été faite. Souhaitant se mettre en conformité avec les exigences du régulateur européen le moteur de recherche a réduit de moitié, soit à neuf mois la durée de conservation des données personnelles.

 


[1] A. Marsaud, rapp. no 2681, 16 nov. 2005, pour la Commission des Lois sur le projet de loi relatif à la lutte contre le terrorisme,http://www.assemblee-nationale.fr/12/rapports/r2681.asp
[2] Décr. no 2007-1538, 26 oct. 2007, relatif aux demandes de mise à disposition de données par voie électronique et modifiant le Code de procédure pénale (deuxième partie : Décrets en Conseil d’État) ; mod. par le Décr. no 2008-150, 19 févr. 2008, modifiant le Code de procédure pénale et le Code général des collectivités territoriales.
[3] Cnil, délib. no 2005-208, 10 oct. 2005, portant avis sur le projet de loi relatif à la lutte contre le terrorisme.
[4] CA Paris, 14ème ch., 4 févr. 2005, Sté BNP Paribas c/Sté World Press on line, RLDI n°3, mars 2005, comm. L. Costes, n°100, p. 37.
[5] M. Vivant et a., dans Lamy Droit de l’informatique et des réseaux 2008, no 1835.
[6] Dénomination faite par référence à l’article 29 de la directive européenne du 24 octobre 1995[1] qui a institué un comité consultatif des autorités nationales en charge de la protection des données à caractère personnel. Ce groupe a pour mission de donner à la Commission un avis autorisé au nom des États-Membres sur les questions relatives à la protection des données.
[7]http://googleblog.blogspot.com/2008/09/another-step-to-protect-user-privacy.htm

 

 

 

 

 

source:    http://www.feral-avocats.com

Publié dans droit du e-commerce

Commenter cet article