Net Report Livre Blanc sur la loi du 23 janvier 2006

Livre Blanc de Net Report sur la loi du 23 janvier 2006
relative à la lutte contre le terrorisme
Auteur
Nerys Grivolas
Avril 2006
http://www.net-report.net
1
1:
Historique du décret sur la conservation des données de connexion
1.1. 11 Septembre 2001
A la suite des attentats du 11 septembre 2001, le gouvernement français décidait d'introduire au sein du loi sur la
sécurité quotidienne - et postérieurement à la réunion de la Commission mixte paritaire - toute une série
d'amendements relatifs au renforcement des procédures judiciaires.
1.2. Article L. 34-1 du Code des postes et communications électroniques
Un de ces amendements, aujourd'hui devenu l'article L. 34-1 du Code des postes et communications
électroniques prévoit un principe tempéré par de nombreuses exceptions. Le principe est celui de l'effacement ou
de l'anonymisation des données relatives à une communication électronique. Par exception, il peut être différé à
cet effacement dans plusieurs situations : conservation des données de facturation, besoin de la recherche et de
la poursuite des infractions et ceci dans une limite maximum d'une année.
Quelques temps plus tard, la loi sur la sécurité intérieure étend le champ des exceptions afin d'y faire figurer
également une possibilité de conservation à des fins de protection des propres systèmes d'information de
l'opérateur de communication électronique.
http://www.net-report.net
2
2:
La loi du 23 janvier relative à la lutte contre le terrorisme
2.1. Introduction
Le décret d'application de la loi du 23 janvier 2006 est paru le 26 mars au Journal officiel. Il fixe à un an la durée
pendant laquelle les FAI (Fournisseur d’Accès Internet) et autres opérateurs téléphoniques devront conserver les
données de communication.
La loi du 23 janvier relative à la lutte contre le terrorisme apporte des éclaircissements en indiquant explicitement
que ces principes et exceptions visent également "les personnes qui, au titre d'une activité professionnelle
principale ou accessoire, offrent au public une connexion permettant une communication en ligne par
l'intermédiaire d'un accès au réseau, y compris à titre gratuit" (voir la citation ci-dessous).
CODE DES POSTES ET DES COMMUNICATIONS ELECTRONIQUES
(Partie Législative)
Article L34-1
Les personnes qui, au titre d'une activité professionnelle principale ou accessoire, offrent au public une
connexion permettant une communication en ligne par l'intermédiaire d'un accès au réseau, y compris à
titre gratuit, sont soumises au respect des dispositions applicables aux opérateurs de communications
électroniques en vertu du présent article.
2.2. Les personnes soumises au nouveau régime
Le texte nouveau inséré à l’article L. 34-1 I du CPCE soumet aux dispositions de la loi n° 2006-64 « les personnes
qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une
communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit ». La disposition vise tout
particulièrement les « Cybercafés » en plus des prestataires traditionnels d’accès au réseau. Ainsi, une société
commerciale qui propose à ses clients un accès au réseau Internet à titre accessoire, par exemple dans le cadre
d’une activité de transport ou de restauration est soumise à l’obligation de conservation. Les prestataires de
services à titre gratuit sont également visés par le texte. Il semblerait que ce critère de l’activité professionnelle
conduise à soumettre aux dispositions de la loi « les mairies, bibliothèques et universités si leurs activités les
conduisaient à titre accessoire à fournir une prestation identique à celle d’un cybercafé ». En revanche, une
association peut-elle être considérée comme conduisant une activité professionnelle ? Faisant écho à la CNIL, il
convient de se demander si ce critère n’est pas inadéquat au regard des « incertitudes qui s’attachent (…) à une
telle définition » (CNIL, délibération n° 2005-208 du 10 octobre 2005). Toutefois, la loi n’est pas très claire à ce
niveau, selon la CNIL il semble assuré que seules sont visées les personnes physiques ou morales dont l’activité
professionnelle est d’offrir au public à titre accessoire ou principal une connexion au réseau Internet. Ce qui
semble exclure les entreprises ou administrations, mais ceci reste encore flou.
Au niveau communautaire avait été souligné la charge financière que l’obligation de conservation des données
relatives au trafic faisait peser sur les acteurs d’un marché sur lequel la concurrence est âpre. La loi française a
donc anticipé le texte de la prochaine directive qui prévoit « une disposition qui oblige les États membres à
dédommager les fournisseurs de communications électroniques des surcoûts supportés en raison de l’obligation
de conservation ». Ainsi, la loi française prévoit-elle que « les surcoûts identifiables et spécifiques éventuellement
exposés par les opérateurs et personnes mentionnés au premier alinéa pour répondre à ces demandes font l'objet
d'une compensation financière». Ce dédommagement est d’autant plus nécessaire à la mise en œuvre d’un
système proportionné de conservation des données, que les prestataires techniques ne conservent plus
systématiquement les données de trafic à des fins de facturation. En effet, le développement des offres forfaitaires
de communication et d’offres « illimitées » ne rend plus nécessaire la conservation systématique des informations
relatives au trafic.
Outre ce cadre législatif, aujourd’hui inscrit à l’article L. 34.1 et suivants du Code des postes et communications
électroniques, il était nécessaire d'avoir l'adoption d'un décret d'application fixant deux éléments :
1. Les données à conserver.
2. La durée de conservation.
http://www.net-report.net
3
3:
Le décret numéro 2006-358 du 24 mars 2006
C'est chose faite par le décret numéro 2006-358 du 24 mars 2006 relatif à la conservation des données des
communications électroniques. Modifiant la partie réglementaire du Code des postes et communications
électroniques, le décret apporte plusieurs précisions.
Tout d'abord, il précise que les "données relatives au trafic" s'entendent comme les "informations rendues
disponibles par les procédés de communication électronique, susceptibles d'être enregistrées par l'opérateur à
l'occasion des communications électroniques dont il assure la transmission et qui sont pertinentes au regard des
finalités poursuivies par la loi". Le critère de pertinence au regard des finalités semble flou mais cela est
immédiatement tempéré par la suite du texte.
En effet, le texte fixe ensuite la liste des données devant être conservées pour les besoins de la recherche, de la
constatation et de la poursuite des infractions. Il s'agit de:
a) Les informations permettant d'identifier l'utilisateur. En pratique, il s'agit de tous les éléments collectés lors
de l'inscription (nom, prénom, numéro de téléphone, adresse, numéro de carte bancaire, etc.)
b) Les données relatives aux équipements terminaux de communication utilisés. Cette disposition devrait
s'adresser plutôt aux opérateurs de téléphonie. Néanmoins, et en l'absence de précision, cela viserait l'ensemble
des prestataires, fournisseurs d'accès y compris. Est-ce à dire qu'il devra y avoir une conservation des
informations relatives à la machine utilisée (ou au type de machine utilisée) ?
c) Les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication. Il s'agit
ici, pour les FAIs, de la conservation de l'adresse IP et de la date et de l'heure de connexion et déconnexion.
d) Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs.
e) Les données permettant d'identifier le ou les destinataire(s) de la communication. Il s'agit ici, par exemple
de la conservation de l'adresse électronique du destinataire d'un message envoyé. A noter que ces données ne
peuvent en aucun cas porter sur le contenu de la communication. A ce titre, et ce que ne précise pas le décret,
c'est de savoir si devront être conservées les URL des sites visités.
Le décret fixe également, et sans surprise, la durée de conservation à un an à compter du jour de
l'enregistrement de ces informations.
Le texte prévoit enfin que les surcoûts identifiables et spécifiques supportés par les opérateurs requis par les
autorités judiciaires pour la fourniture des données relevant des catégories mentionnées au présent article sont
compensés selon les modalités prévues à l'article R. 213-1 du Code de procédure pénale.
Ce dernier texte, créé par le présent décret, prévoit que les tarifs relatifs aux frais mentionnés au 23° de l'article R.
92 correspondant à la fourniture des données conservées en application du II de l'article L. 34-1 du code des
postes et des communications électroniques sont fixés par un arrêté du ministre de l'économie, des finances et de
l'industrie et du garde des sceaux. Cet arrêté distingue les tarifs applicables selon les catégories de données et les
prestations requises, en tenant compte, le cas échéant, des surcoûts identifiables et spécifiques supportés par les
opérateurs requis par les autorités judiciaires pour la fourniture de ces données.
Si la loi a fixé le principe (au travers d'une exception) de la conservation des données de connexion, le décret
vient quant à lui préciser la durée et les catégories de données devant faire l'objet de ladite conservation.
Il faudra sans doute attendre l'arrêté pour connaître avec précisions les données devant être conservées. En effet,
si les définitions permettent d'ores et déjà d'identifier certaines données, ces grandes catégories soulèvent
quelques interrogations.
Enfin, et concernant la conservation des données de trafic par les hébergeurs - en application de l'article 6 de la loi
pour la confiance dans l'économie numérique - il faudra sans doute attendre un nouveau décret.
http://www.net-report.net
4
4:
Contacter Net Report
Mme Nerys GRIVOLAS
Senior Consultant
Email : [email protected]
Tél : +33 (0)46 784 4800
Fax : +33 (0)46 784 4811
Site Web : www.net-report.net
Adresse :
Net Report SA,
30 Rue Baptistou,
Z.A.E. Nord,
34980 Saint Gély du Fesc*
FRANCE
Mentions légales, 21 avril 2006
Il est interdit de publier, distribuer ou copier une partie ou l’intégralité de ce document sans l’accord écrit de Net
Report SAS.
Les informations et recommandations ("Informations") disponibles dans ce document vous sont proposées en
toute bonne foi. Ces informations sont censées être correctes au moment où vous en prenez connaissance.
Toutefois, Net Report SAS est ni représentante ni garante du caractère exhaustif et de l'exactitude de ces
informations. Vous assumez pleinement les risques liés au crédit que vous leur accordez. Ces informations vous
sont fournies à la condition que vous ou toute autre personne qui les recevrait puissiez déterminer leur intérêt pour
un objectif précis avant de les utiliser. En aucun cas, Net Report SAS ne sera responsable des dommages
susceptibles de résulter du crédit accordé à ces informations ou de leur utilisation.
Ces informations ne doivent pas être considérées comme des recommandations pour l'utilisation d'informations,
des investissements, de produits, de procédures, d'équipements ou de formulations qui seraient en contradiction
avec un brevet, un copyright ou une marque déposée. En aucun cas, Net Report SAS ne s'engage à mettre à jour
ou à corriger les informations qui seront diffusées par e-mail, sur Internet ou sur ses serveurs web. De même, Net
Report SAS se réserve le droit de modifier ou de corriger le contenu de ses sites à tout moment sans préavis.
http://www.net-report.net
5