dimanche 26 mars 2006

Le décret sur la conservation des données de connexion enfin publié !

Ce texte, on l’attendait depuis plusieurs années. Voici qu'il vient d'être publié ce dimanche au Journal officiel. Mais avant, revenons un peu en arrière.

A la suite des attentats du 11 septembre 2001, le gouvernement français décidait d'introduire au sein du de loi sur la sécurité quotidienne - et postérieurement à la réunion de la Commission mixte paritaire - toute une série d'amendements relatifs aux renforcements des procédures judiciaires.

Un de ces amendements, aujourd'hui devenu l'article L. 34-1 du Code des postes et communications électroniques prévoit un principe tempéré par de nombreuses exceptions.

Le principe est celui de l'effacement ou de l'anonymisation des données relatives à une communication électronique. Par exception, il peut être différé à cet effacement dans plusieurs situations : conservation des données de facturation, besoin de la recherche et de la poursuite des infractions et ceci dans une limite maximum d'une année.

Quelques plus tard, la loi sur la sécurité intérieure étend le champ des exceptions afin d'y faire figurer également une possibilité de conservation à des fins de protection des propres systèmes d'information de l'opérateur de communication électronique.

Enfin, et plus récemment, la loi du 23 janvier relative à la lutte contre le terrorisme vient apporter des éclaircissements en indiquant explicitement que ces principe & exceptions vise également "les personnes qui, au titre d'une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l'intermédiaire d'un accès au réseau, y compris à titre gratuit".

Outre ce cadre législatif, aujourd’hui inscrit à l'article L. 34-1 et suivants du Code des postes et communications électroniques, il était nécessaire d'avoir l'adoption d'un décret d'application fixant deux éléments : 1/ les données à conserver et 2/ la durée de conservation.

C'est enfin chose faite par le décret n° 2006-358 du 24 mars 2006 relatif à la conservation des données des communications électroniques.

Modifiant la partie réglementaire du Code des postes et communications électroniques, le décret apporte plusieurs précisions.

Tout d'abord, il précise que les "données relatives au trafic" s'entendent comme les "informations rendues disponibles par les procédés de communication électronique, susceptibles d'être enregistrées par l'opérateur à l'occasion des communications électroniques dont il assure la transmission et qui sont pertinentes au regard des finalités poursuivies par la loi". Le critère de pertinence au regard des finalités semble flou mais cela est immédiatement tempéré par la suite du texte.

En effet, le texte fixe ensuite la liste des données devant être conservées pour les besoins de la recherche, de la constatation et de la poursuite des infractions. Il s'agit :

a) Les informations permettant d'identifier l'utilisateur. En pratique, il s'agit de tous les éléments collectés lors de l'inscription (nom, prénom, numéro de téléphone, adresse, numéro de carte bancaire, etc.)

b) Les données relatives aux équipements terminaux de communication utilisés. Cette disposition devrait s'adresser plutôt aux opérateurs de téléphonie. Néanmoins, et en l'absence de précision, cela viserait l'ensemble des prestataires, fournisseurs d'accès y compris. Est-ce à dire qu'il devra y avoir une conservation des informations relatives à la machine utilisée (ou au type de machine utilisée) ?

c) Les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication. Il s'agit ici, pour les FAIs, de la conservation de l'adresse IP et de la date et heure de connexion et déconnexion.

d) Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs.

e) Les données permettant d'identifier le ou les destinataires de la communication. Il s'agit ici, par exemple de la conservation de l'adresse électronique du destinataire d'un message envoyé. A noter que ces données ne peuvent en aucun cas porter sur le contenu de la communication. A ce titre, et ce que ne précise pas le décret, c'est de savoir si devront être conservées les URL des sites visités.

Le décret fixe également, et sans surprise, la durée de conservation à un an à compter du jour de l'enregistrement de ces informations.

Le texte prévoit enfin que les surcoûts identifiables et spécifiques supportés par les opérateurs requis par les autorités judiciaires pour la fourniture des données relevant des catégories mentionnées au présent article sont compensés selon les modalités prévues à l'article R. 213-1 du Code de procédure pénale.

Ce dernier texte, créé par le présent décret, prévoit que les tarifs relatifs aux frais mentionnés au 23° de l'article R. 92 correspondant à la fourniture des données conservées en application du II de l'article L. 34-1 du code des postes et des communications électroniques sont fixés par un arrêté du ministre de l'économie, des finances et de l'industrie et du garde des sceaux. Cet arrêté distingue les tarifs applicables selon les catégories de données et les prestations requises, en tenant compte, le cas échéant, des surcoûts identifiables et spécifiques supportés par les opérateurs requis par les autorités judiciaires pour la fourniture de ces données.

Si la loi a fixé le principe (au travers d'une exception) de la conservation des données de connexion, le décret vient quant à lui préciser la durée et les catégories de données devant faire l'objet de ladite conservation.

Il faudra sans doute attendre l'arrêté pour connaître avec précisions les données devant être conservées. En effet, si les définitions permettent d'ores et déjà d'identifier certaines données, ces grandes catégories soulèvent quelques interrogations.

Enfin, et concernant la conservation des données de trafic par les hébergeurs - en application de l'article 6 de la loi pour la confiance dans l'économie numérique - il faudra sans doute attendre un nouveau décret.

2 commentaires:

Anonyme a dit…

Bonjour,

Je viens de lire avec intérêt votre post, tout en ayant pris soin de lire le décret que vous détaillez.
N'étant pas juriste, je m'y perds quelque peu... Comment distinguer entre les données, parfois identiques (?) que les opérateurs peuvent conserver, mais avec des durées maximales différentes, selon qu'il s'agit des "besoins de la recherche, de la constatation et de la poursuite des infractions pénales" ou de "la sécurité des réseaux et des installations"?
Merci!

Anonyme a dit…

Bonjour,
je suis responsable informatique d'un centre scolaire. a ce titre, je dois etre a meme de proposer des connections Internet aux eleves. Quels impacts cette loi peut elle avoir sur l'historique des logs que je dois conserver ? qu'en est-il aussi de la CNIL?doit on proceder à des declarations speciales si nous devions etre amené à stocker les logs plus longtemps? autant de question qui me posent soucis...si certains d'entre vous ont la reponse...