IRIS info - débats / communiqués

Conservation des données d'identification et de connexion : toujours plus et plus longtemps


Communiqué de presse d'IRIS - 20 avril 2007


Le ballet des projets de décrets se poursuit en cette saison électorale propice. Après le projet créant une « Commission nationale de déontologie des services de communication au public en ligne » [1] et celui relatif au droit de réponse sur Internet [2], un troisième projet de décret d'application de la loi pour la confiance dans l'économie numérique du 21 juin 2004 (LCEN) [3] est en préparation. IRIS rend public le texte de la version de travail de janvier 2007 de ce projet, que l'association a pu se procurer [4].

Ce projet de décret comporte des dispositions relatives à la conservation des données par les fournisseurs d'accès et les fournisseurs d'hébergement tels que définis par l'article 6 de la LCEN. Le chapitre 1er du projet de décret détermine, en application du II de l'article 6, la nature des données à conserver par ces intermédiaires techniques, ainsi que la durée de cette conservation. Son chapitre 2 porte sur les conditions de fourniture de ces données aux services de police et de gendarmerie, en application du IIbis de ce même article, introduit dans la LCEN par la loi de lutte contre le terrorisme du 23 janvier 2006 [5].

En cohérence avec le décret du 24 mars 2006 [6] relatif à la rétention des données de communications, introduite par la loi sur la sécurité quotidienne de novembre 2001 (LSQ) [7], le chapitre 1er du projet de décret fixe la durée de conservation des données à un an. IRIS avait alors déjà dénoncé le choix de cette durée excessivement longue [8], d'autant que le délai de conservation des données par les hébergeurs prend comme point de départ la moindre modification par l'abonné d'un quelconque contenu hébergé, y compris sa suppression.

Mais le gouvernement va encore plus loin avec ce projet de décret, avec une définition de la teneur des données à conserver qui dépasse l'entendement. Alors que ces données ne sont censées servir qu'à « permettre l'identification de quiconque a contribué à la création du contenu » d'un service, le projet de décret prévoit la conservation de données qui vont bien au-delà de cet objectif, comme par exemple le mot de passe fourni lors de la souscription d'un contrat d'abonnement ou lors de la création d'un compte auprès du prestataire Internet.

À quoi une telle donnée va-t-elle être employée, soit par l'autorité judiciaire en vertu du II de l'article 6, soit par les services de police et de gendarmerie en vertu du IIbis de cet article, c'est-à-dire dans le cadre d'une enquête administrative ? Aucun garde-fou n'est prévu, alors que la loi sur la prévention de la délinquance du 5 mars 2007 [9] a encore étendu les prérogatives des services de police judiciaire [10]. L'article 35 de cette loi prévoit en effet que les enquêteurs peuvent participer à des échanges électroniques sous pseudonyme, et peuvent détenir et fournir des contenus illégaux, dans le cadre d'enquêtes sur certaines infractions. Comment être certain qu'un mot de passe ne sera pas utilisé à mauvais escient, mettant en danger des personnes innocentes ? La conservation de telles informations est manifestement excessive et non pertinente. De plus, elle n'est en rien justifiée par la loi que ce décret est supposé préciser.

Le chapitre 2 du projet de décret est stupéfiant. Fixant les conditions dans lesquelles les services de police et de gendarmerie peuvent demander et traiter les données conservées par les fournisseurs d'accès et d'hébergement, ce chapitre mentionne que ces données, une fois obtenues, pourront être conservées pendant trois ans « dans des traitements automatisés mis en oeuvre par le ministère de l'intérieur et de l'aménagement du territoire et le ministère de la défense ». On ne voit pas en vertu de quelle justification légale ce délai est fixé, alors même que toute trace de la demande elle-même aura disparu au bout d'un an. Rappelons qu'il s'agit ici d'enquêtes administratives et non pas judiciaires. Une telle durée est excessive et non justifiée. Ce projet de décret constitue en réalité un moyen scélérat d'étendre la durée de rétention de données au-delà de ce que permettent les législations française et européenne, déjà bien trop étendues en la matière (respectivement un an et de 6 à 24 mois).

Les mesures contenues dans ce projet de décret ne constituent qu'une infime partie des conséquences, en matière d'atteintes aux droits fondamentaux, des lois plus liberticides que sécuritaires adoptées non seulement depuis 2002, mais bien depuis 2001 avec la loi sur la sécurité quotidienne. En réponse à une question de la Ligue des droits de l'homme sur l'abrogation de certaines de ces lois [11], François Bayrou et Ségolène Royal déclarent respectivement qu'« il faut sortir de ces logiques d'affrontement et de revanche » et que « l'abrogation automatique de certaines mesures, au moment de l'alternance, n'est pas une méthode à laquelle [elle] adhère ». Quant à Nicolas Sarkozy, on connaît trop la réponse qu'il ne prend même pas la peine de donner. Quel que soit le résultat des élections, les lendemains ne chanteront pas, et la vigilance continuera de s'imposer.

Pour plus de détails, voir :
[1] Communiqué IRIS du 14 février 2007 : « Amendement Fillon » 2.0 : au secours, la « déontologie » de l'expression publique revient !.
http://www.iris.sgdg.org/info-debat/comm-deontologie0207.html.
[2] Edrigram, lettre électronique d'EDRI du 28 mars 2007 : French Draft Decree Regarding The Right To Reply On The Internet.
http://www.edri.org/edrigram/number5.6/right-to-reply-france.
[3] Loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique.
http://www.legifrance.gouv.fr/WAspad/UnTexteDeJorf?numjo=ECOX0200175L.
Dossier d'IRIS sur cette loi:
http://www.iris.sgdg.org/actions/len/.
[4] Projet de décret portant application de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (document de travail version de janvier 2007).
http://www.iris.sgdg.org/actions/len/ProjetDecretLCEN0107.pdf.
[5] Loi n°2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers.
http://www.legifrance.gouv.fr/WAspad/UnTexteDeJorf?numjo=INTX0500242L.
Communiqué commun LDH, SM, SAF, DELIS, IRIS, Antivideo-IDF du 23 novembre 2005 : Le projet de loi « anti-terrorisme » donne tous pouvoirs à la police administrative.
http://www.iris.sgdg.org/info-debat/comm-loi-terror1105.html.
[6] Décret n°2006-358 du 24 mars 2006 relatif à la conservation des données des communications électroniques.
http://www.legifrance.gouv.fr/WAspad/UnTexteDeJorf?numjo=JUSD0630025D.
[7] Loi n°2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne.
http://www.legifrance.gouv.fr/WAspad/UnTexteDeJorf?numjo=INTX0100032L.
Dossier d'IRIS sur cette loi:
http://www.iris.sgdg.org/actions/loi-sec/.
[8] Communiqué IRIS du 26 mars 2006 : Décret LSQ - Peine maximale pour la vie privée.
http://www.iris.sgdg.org/info-debat/comm-decretlsq0306.html.
[9] Loi n°2007-297 du 5 mars 2007 relative à la prévention de la délinquance.
http://www.legifrance.gouv.fr/WAspad/UnTexteDeJorf?numjo=INTX0600091L.
[10] Edrigram, lettre électronique d'EDRI du 14 mars 2007 : Enditorial: French Law On Delinquency: The Threat To Foe Is Elsewhere.
http://www.edri.org/edrigram/number5.5/enditorial-french-law-delinquency.
[11] Adresse de la Ligue des droits de l'Homme aux électeurs avant le premier tour de l'élection présidentielle (11 avril 2007).
http://www.ldh-france.org/actu_derniereheure.cfm?idactu=1441.

Contact IRIS :
iris-contact@iris.sgdg.org - Tel : 0144749239

(dernière mise à jour le ) - webmestre@iris.sgdg.org