Net Report Livre Blanc sur la loi du 23 janvier 2006
Transcription
Net Report Livre Blanc sur la loi du 23 janvier 2006
Livre Blanc de Net Report sur la loi du 23 janvier 2006 relative à la lutte contre le terrorisme Auteur Nerys Grivolas Avril 2006 http://www.net-report.net 1 1: Historique du décret sur la conservation des données de connexion 1.1. 11 Septembre 2001 A la suite des attentats du 11 septembre 2001, le gouvernement français décidait d'introduire au sein du loi sur la sécurité quotidienne - et postérieurement à la réunion de la Commission mixte paritaire - toute une série d'amendements relatifs au renforcement des procédures judiciaires. 1.2. Article L. 34-1 du Code des postes et communications électroniques Un de ces amendements, aujourd'hui devenu l'article L. 34-1 du Code des postes et communications électroniques prévoit un principe tempéré par de nombreuses exceptions. Le principe est celui de l'effacement ou de l'anonymisation des données relatives à une communication électronique. Par exception, il peut être différé à cet effacement dans plusieurs situations : conservation des données de facturation, besoin de la recherche et de la poursuite des infractions et ceci dans une limite maximum d'une année. Quelques temps plus tard, la loi sur la sécurité intérieure étend le champ des exceptions afin d'y faire figurer également une possibilité de conservation à des fins de protection des propres systèmes d'information de l'opérateur de communication électronique. http://www.net-report.net 2 2: La loi du 23 janvier relative à la lutte contre le terrorisme 2.1. Introduction Le décret d'application de la loi du 23 janvier 2006 est paru le 26 mars au Journal officiel. Il fixe à un an la durée pendant laquelle les FAI (Fournisseur d’Accès Internet) et autres opérateurs téléphoniques devront conserver les données de communication. La loi du 23 janvier relative à la lutte contre le terrorisme apporte des éclaircissements en indiquant explicitement que ces principes et exceptions visent également "les personnes qui, au titre d'une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l'intermédiaire d'un accès au réseau, y compris à titre gratuit" (voir la citation ci-dessous). CODE DES POSTES ET DES COMMUNICATIONS ELECTRONIQUES (Partie Législative) Article L34-1 Les personnes qui, au titre d'une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l'intermédiaire d'un accès au réseau, y compris à titre gratuit, sont soumises au respect des dispositions applicables aux opérateurs de communications électroniques en vertu du présent article. 2.2. Les personnes soumises au nouveau régime Le texte nouveau inséré à l’article L. 34-1 I du CPCE soumet aux dispositions de la loi n° 2006-64 « les personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit ». La disposition vise tout particulièrement les « Cybercafés » en plus des prestataires traditionnels d’accès au réseau. Ainsi, une société commerciale qui propose à ses clients un accès au réseau Internet à titre accessoire, par exemple dans le cadre d’une activité de transport ou de restauration est soumise à l’obligation de conservation. Les prestataires de services à titre gratuit sont également visés par le texte. Il semblerait que ce critère de l’activité professionnelle conduise à soumettre aux dispositions de la loi « les mairies, bibliothèques et universités si leurs activités les conduisaient à titre accessoire à fournir une prestation identique à celle d’un cybercafé ». En revanche, une association peut-elle être considérée comme conduisant une activité professionnelle ? Faisant écho à la CNIL, il convient de se demander si ce critère n’est pas inadéquat au regard des « incertitudes qui s’attachent (…) à une telle définition » (CNIL, délibération n° 2005-208 du 10 octobre 2005). Toutefois, la loi n’est pas très claire à ce niveau, selon la CNIL il semble assuré que seules sont visées les personnes physiques ou morales dont l’activité professionnelle est d’offrir au public à titre accessoire ou principal une connexion au réseau Internet. Ce qui semble exclure les entreprises ou administrations, mais ceci reste encore flou. Au niveau communautaire avait été souligné la charge financière que l’obligation de conservation des données relatives au trafic faisait peser sur les acteurs d’un marché sur lequel la concurrence est âpre. La loi française a donc anticipé le texte de la prochaine directive qui prévoit « une disposition qui oblige les États membres à dédommager les fournisseurs de communications électroniques des surcoûts supportés en raison de l’obligation de conservation ». Ainsi, la loi française prévoit-elle que « les surcoûts identifiables et spécifiques éventuellement exposés par les opérateurs et personnes mentionnés au premier alinéa pour répondre à ces demandes font l'objet d'une compensation financière». Ce dédommagement est d’autant plus nécessaire à la mise en œuvre d’un système proportionné de conservation des données, que les prestataires techniques ne conservent plus systématiquement les données de trafic à des fins de facturation. En effet, le développement des offres forfaitaires de communication et d’offres « illimitées » ne rend plus nécessaire la conservation systématique des informations relatives au trafic. Outre ce cadre législatif, aujourd’hui inscrit à l’article L. 34.1 et suivants du Code des postes et communications électroniques, il était nécessaire d'avoir l'adoption d'un décret d'application fixant deux éléments : 1. Les données à conserver. 2. La durée de conservation. http://www.net-report.net 3 3: Le décret numéro 2006-358 du 24 mars 2006 C'est chose faite par le décret numéro 2006-358 du 24 mars 2006 relatif à la conservation des données des communications électroniques. Modifiant la partie réglementaire du Code des postes et communications électroniques, le décret apporte plusieurs précisions. Tout d'abord, il précise que les "données relatives au trafic" s'entendent comme les "informations rendues disponibles par les procédés de communication électronique, susceptibles d'être enregistrées par l'opérateur à l'occasion des communications électroniques dont il assure la transmission et qui sont pertinentes au regard des finalités poursuivies par la loi". Le critère de pertinence au regard des finalités semble flou mais cela est immédiatement tempéré par la suite du texte. En effet, le texte fixe ensuite la liste des données devant être conservées pour les besoins de la recherche, de la constatation et de la poursuite des infractions. Il s'agit de: a) Les informations permettant d'identifier l'utilisateur. En pratique, il s'agit de tous les éléments collectés lors de l'inscription (nom, prénom, numéro de téléphone, adresse, numéro de carte bancaire, etc.) b) Les données relatives aux équipements terminaux de communication utilisés. Cette disposition devrait s'adresser plutôt aux opérateurs de téléphonie. Néanmoins, et en l'absence de précision, cela viserait l'ensemble des prestataires, fournisseurs d'accès y compris. Est-ce à dire qu'il devra y avoir une conservation des informations relatives à la machine utilisée (ou au type de machine utilisée) ? c) Les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication. Il s'agit ici, pour les FAIs, de la conservation de l'adresse IP et de la date et de l'heure de connexion et déconnexion. d) Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs. e) Les données permettant d'identifier le ou les destinataire(s) de la communication. Il s'agit ici, par exemple de la conservation de l'adresse électronique du destinataire d'un message envoyé. A noter que ces données ne peuvent en aucun cas porter sur le contenu de la communication. A ce titre, et ce que ne précise pas le décret, c'est de savoir si devront être conservées les URL des sites visités. Le décret fixe également, et sans surprise, la durée de conservation à un an à compter du jour de l'enregistrement de ces informations. Le texte prévoit enfin que les surcoûts identifiables et spécifiques supportés par les opérateurs requis par les autorités judiciaires pour la fourniture des données relevant des catégories mentionnées au présent article sont compensés selon les modalités prévues à l'article R. 213-1 du Code de procédure pénale. Ce dernier texte, créé par le présent décret, prévoit que les tarifs relatifs aux frais mentionnés au 23° de l'article R. 92 correspondant à la fourniture des données conservées en application du II de l'article L. 34-1 du code des postes et des communications électroniques sont fixés par un arrêté du ministre de l'économie, des finances et de l'industrie et du garde des sceaux. Cet arrêté distingue les tarifs applicables selon les catégories de données et les prestations requises, en tenant compte, le cas échéant, des surcoûts identifiables et spécifiques supportés par les opérateurs requis par les autorités judiciaires pour la fourniture de ces données. Si la loi a fixé le principe (au travers d'une exception) de la conservation des données de connexion, le décret vient quant à lui préciser la durée et les catégories de données devant faire l'objet de ladite conservation. Il faudra sans doute attendre l'arrêté pour connaître avec précisions les données devant être conservées. En effet, si les définitions permettent d'ores et déjà d'identifier certaines données, ces grandes catégories soulèvent quelques interrogations. Enfin, et concernant la conservation des données de trafic par les hébergeurs - en application de l'article 6 de la loi pour la confiance dans l'économie numérique - il faudra sans doute attendre un nouveau décret. http://www.net-report.net 4 4: Contacter Net Report Mme Nerys GRIVOLAS Senior Consultant Email : [email protected] Tél : +33 (0)46 784 4800 Fax : +33 (0)46 784 4811 Site Web : www.net-report.net Adresse : Net Report SA, 30 Rue Baptistou, Z.A.E. Nord, 34980 Saint Gély du Fesc* FRANCE Mentions légales, 21 avril 2006 Il est interdit de publier, distribuer ou copier une partie ou l’intégralité de ce document sans l’accord écrit de Net Report SAS. Les informations et recommandations ("Informations") disponibles dans ce document vous sont proposées en toute bonne foi. Ces informations sont censées être correctes au moment où vous en prenez connaissance. Toutefois, Net Report SAS est ni représentante ni garante du caractère exhaustif et de l'exactitude de ces informations. Vous assumez pleinement les risques liés au crédit que vous leur accordez. Ces informations vous sont fournies à la condition que vous ou toute autre personne qui les recevrait puissiez déterminer leur intérêt pour un objectif précis avant de les utiliser. En aucun cas, Net Report SAS ne sera responsable des dommages susceptibles de résulter du crédit accordé à ces informations ou de leur utilisation. Ces informations ne doivent pas être considérées comme des recommandations pour l'utilisation d'informations, des investissements, de produits, de procédures, d'équipements ou de formulations qui seraient en contradiction avec un brevet, un copyright ou une marque déposée. En aucun cas, Net Report SAS ne s'engage à mettre à jour ou à corriger les informations qui seront diffusées par e-mail, sur Internet ou sur ses serveurs web. De même, Net Report SAS se réserve le droit de modifier ou de corriger le contenu de ses sites à tout moment sans préavis. http://www.net-report.net 5