Iris - LBI

L'association Electronic Frontier Finland (EFFi), partenaire finlandais d'IRIS au sein de la fédération européenne EDRi, a pu obtenir et divulguer une copie des réponses des États membres à un questionnaire du Conseil de l'Union européenne sur la rétention des données de trafic. Nous vous proposons ci-dessous une traduction des réponses apportées par la France à ce questionnaire.

L'ensemble des réponses, en Anglais, figure sur le site d'EFFi : http://www.effi.org/eu-2002-11-20.html

[Le Centre d'analyse politique des relations internationales (CAPRI) de l'Université de Liège (Faculté de Droit, département de Science Politique) propose à présent une traduction en Français des réponses de la Belgique au même questionnaire : http://www.ulg.ac.be/capri/CAPRI_DataRetentionReponseBelge.htm (note du 12-12-02).]

Si les réponses de la France n'apportent pas vraiment d'informations nouvelles, notamment par rapport à la synthèse produite par IRIS dans son rapport de septembre 2002 intitulé « Service public d'accès et protection des données personnelles : deux conditions pour un Internet démocratique » (http://www.iris.sgdg.org/documents/rapport-packtel/index.html), il est particulièrement intéressant de noter que la réponse française, qui commence par rappeler la distinction entre « rétention » et « préservation » des données, emploie le terme de rétention dans le reste du texte. La conservation systématique des données de trafic est bien la procédure visée, et non pas la préservation de données concernant une ou plusieurs personnes ciblées dans le cadre de l'instruction d'une affaire.

Il est également intéressant de lire que la France, pas plus que les autres États membres, ne se préoccupe de consulter d'autres groupes ou organismes que ceux de l'industrie des télécommunications. La mention de la consultation générale en préparation du projet de loi sur la société de l'information ne peut, quant à elle, que nous rappeler que cette consultation avait fait peu de cas de l'avis des organisations de défense des libertés sur cette question.

Enfin, la réponse à la dernière question montre bien que la France considère que l'Article 15 de la récente Directive sur la protection des données dans les communications électroniques non seulement constitue une avancée dans la législation européenne, mais encore légitime les lois sur la sécurité quotidienne (a posteriori) et sur la sécurité intérieure, ainsi qu'éventuellement les autres lois à venir. Cet article 15, contre lequel IRIS ainsi que d'autres organisations de défense des libertés et des milliers de citoyens de plusieurs pays ont tant lutté (cf. http://www.iris.sgdg.org/info-debat/comm-vote-pe0502.html) reste à combattre.

C'est pourquoi le député européen italien Marco Cappato annonce dans un communiqué de presse du 22 novembre 2002 son intention de soumettre bientôt au Parlement européen une proposition de Recommandation au Conseil au sujet de la protection des données dans les communications électroniques. Cette proposition fera l'objet d'une campagne de collecte de signatures des eurodéputés et des citoyens. Bien évidemment, le texte de cette proposition a été élaboré avec l'aide des organisations de défense des libertés les plus impliquées dans ce combat.

Réponse de la France au questionnaire sur la rétention des données de trafic
Groupe multidisciplinaire du Conseil de l'Union européenne sur le crime organisé
(Traduction : IRIS)

Question 1 : Existe-t-il actuellement dans votre pays une législation spécifique concernant la rétention de données de trafic ? Si non, prévoyez-vous de telles dispositions législatives ?

France :

Commentaires préalables :

La « rétention de données de trafic » est la rétention systématique et a priori de données relatives aux communications électroniques transmises au moyen de réseaux publiquement accessibles. Cela est mentionné mais non explicitement défini dans l'article 15 de la Directive 2002/58/CE du 12 juillet 2002. Cela diffère de la « préservation de données de trafic » (i.e. la préservation de données a posteriori), couverte par la Convention sur la cybercriminalité du 23 novembre 2001, et concerne une autre question. Notons que le Français désigne généralement les deux notions par le terme « conservation »

Les « données de trafic » sont définies dans l'Article 2(b) et le Considérant 15 de la Directive 2002/58/CE, ainsi que dans l'Article 1(d) de la Convention sur la cybercriminalité. Elles ne sont pas spécifiquement définies dans la législation française, qui mentionne des « données (techniques) relatives à une communication » (Article 29 de la loi sur la sécurité quotidienne).

Question 1 :

Des dispositions sur la rétention de données techniques relatives à des communications électroniques publiquement accessibles existent dans la loi française depuis la promulgation de la loi sur la sécurité quotidienne le 15 novembre 2001.

L'Article 29 de cette loi permet la « rétention de données techniques relatives à une communication » Il transpose en particulier l'Article 6 de la Directive 97/66/CE concernant le traitement des données personnelles et la protection de la vie privée dans le secteur des télécommunications, qui stipule que « les données de trafic [...] doivent être effacées ou rendues anonymes [...] »

Cependant, l'Article 29 autorise également les dérogations suivantes à l'obligation générale d'effacer les données et de les rendre anonymes :

- « pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales » (obligatoire)

- « pour les besoins de la facturation et du paiement des prestations de télécommunications » (optionnel)

Les données conservées sont également accessibles, en vertu du droit de communication, à l'administration des douanes, à l'administration fiscale et à la Commission des opérations de bourse, par l'Article 62 de la loi de finances rectificative de 2001, qui ajoute des dispositions au Code des douanes, au livre des procédures fiscales et au Code monétaire et financier.

Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, déterminera les modalités d'application de l'Article 29 et, plus spécifiquement, les données techniques et catégories de données qui peuvent être conservées. Ce décret est en cours d'élaboration.

Question 2 : Votre pays a-t-il décidé d'une durée spécifique de rétention de données de trafic ? Avez-vous également envisagé le type de données de trafic devant être conservées ?

France :

La nature générale des données conservées et la durée maximale de rétention sont établies par l'Article 29 de la loi sur la sécurité quotidienne. L'Article 29 dispose que les données conservées doivent porter exclusivement sur l'identification des personnes utilisatrices des services fournis et sur les caractéristiques techniques des communications. La loi impose aux opérateurs de télécommunications de préserver certaines données techniques pendant une période maximale de une année pour des objectifs d'application de la loi et autorise leur rétention pour raisons commerciales jusqu'à la fin de la période au cours de laquelle la facture correspondante peut être contestée. La rétention des données relatives au contenu des communications échangées ou de l'information consultée est prohibée.

Le décret en Conseil d'Etat mentionné ci-dessus déterminera les catégories de données et les périodes de rétention à la fois pour « les besoins de la recherche, de la constatation et de la poursuite des infractions pénales » et « les besoins de la facturation et du paiement des prestations de télécommunications »

Question 3 : Votre pays a-t-il envisagé l'autorisation de rétention de données de trafic pour des objectifs autres que la facturation, comme par exemple la sécurité des réseaux ?

France :

Il n'existe pas de dispositions prévues en vue de la rétention de données de trafic en vue de la sécurité des réseaux dans la législation nationale. Cependant, de telles dispositions - qui dérogeraient au principe général d'effacement ou d'anonymisation - sont d'importance majeure pour les fournisseurs de services de communications électroniques afin de sécuriser leurs systèmes. Cela rejoint la Directive 2002/58/CE, dont l'Article 4 traite de la sécurité des réseaux de communication.

Une étude est donc actuellement menée pour déterminer les conditions dans lesquelles cette demande peut être satisfaite.

Question 4 : quelle est la procédure actuelle pour qu'une autorité de police obtienne les données de trafic d'un fournisseur de service ? Cette procédure s'est-elle montré efficace et effective ?

France :

L'autorité de police obtient par réquisition les données techniques conservées par le fournisseur de service et, plus généralement, les opérateurs de télécommunications. En attendant le décret en Conseil d'Etat spécifiant les données et catégories de données dont la rétention est obligatoire, la procédure est menée dans le cadre du droit commun, sur la base des pratiques commerciales usuelles des fournisseurs (par exemple, de la facturation).

La publication du décret renforcera l'efficacité de la lutte contre le cybercrime en clarifiant les données qu'il est nécessaire de conserver et en permettant aux opérateurs de faciliter l'accès des services d'enquête à ces données.

Question 5 : Disposez-vous de rapports des autorités de police indiquant une incapacité à remplir leur mission due à l'inexistence de dispositions légales appropriées concernant la rétention de données de trafic ?

France :

L'augmentation de la criminalité faisant usage des techniques et réseaux de communication électroniques modernes a nécessité l'adaptation des mesures figurant dans la loi et la procédure pénale afin de combattre cette cybercriminalité.

Il est donc apparu clairement que l'absence d'une législation spécifique, ou de l'adaptation de la législation générale, rendait plus difficile la tâche des services d'enquête et des magistrats. Le besoin d'évolution de la législation est devenu apparent. Par analogie avec la collecte des traces physiques et empreintes sur la scène du crime, relever les traces virtuelles laissées par les cybercriminels utilisant les réseaux de communication électronique est devenu une nécessité urgente. Cette nécessité a donc été exprimée concrètement par des mesures législatives requérant la rétention des données relatives aux échanges menés à l'aide des réseaux de communication électronique. Toutefois, ces développements n'ont pas résulté en une loi spécifique aux réseaux ou à Internet.

Les dispositions spécifiques de la loi sur la sécurité quotidienne sur la rétention des données sont une réponse législative aux difficultés rencontrées par les autorités de police et les services d'enquête dans la lutte contre le cybercrime. Ces dispositions résultent partiellement du projet de loi sur la société de l'information et sont incluses dans la loi du 15 novembre 2001.

Question 6 : Avez-vous engagé un dialogue permanent avec votre industrie des télécommunications sur la question de la rétention des données de trafic et quelles sont les tendances que vous avez observées ? Comment jugeriez-vous les dispositions générales de l'industrie des télécommunications opérant dans votre pays à s'engager dans la rétention des données de trafic ?

France :

La législation actuelle a été élaborée en consultation avec les opérateurs de télécommunications fournissant de l'accès à Internet et des services. Cette consultation a poursuivi une consultation nationale engagée dans le cadre de la préparation du projet de loi sur la société de l'information, qui a servi de base à la loi sur la sécurité quotidienne concernant la rétention des données de trafic.

Les opérateurs ont été consultés en vue de satisfaire leurs besoins relatifs à la commercialisation de leurs services, à la sécurité de leurs systèmes et à la coopération avec les autorités de police pour réprimer les infractions commises sur ou à l'aide de leurs réseaux. Un autre objectif de la consultation est le souci de ne pas leur imposer des contraintes techniques ou financières disproportionnées.

La coopération doit donc être matérialisée par la définition d'accords dans le contexte général de dialogue entre les opérateurs et les « utilisateurs » des réseaux.

Question 7 : Comment considéreriez-vous la solution consistant à créer un instrument européen permettant la rétention des données de trafic pour des objectifs d'application de la loi ?

France :

La rétention de données pour des objectifs de sécurité publique est explicitement autorisée par l'Article 15 de la Directive 2002/58/CE du 12 juillet 2002, dérogeant au principe général d'effacement. Cette nouvelle Directive, qui remplace la Directive 97/66/CE du 15 décembre 1997, constitue un pas en avant dans le traitement de cette question.

Réponse de la France au questionnaire européen sur la rétention des données de trafic

Réponse de la France au questionnaire sur la rétention des données de trafic Groupe multidisciplinaire du Conseil de l'Union européenne sur le crime organisé (Traduction : IRIS)

Réponse de la France au questionnaire sur la rétention des données de trafic
Groupe multidisciplinaire du Conseil de l'Union européenne sur le crime organisé
(Traduction : IRIS)