• Home  / 
  • DELIBERATION 2005-254

DELIBERATION 2005-254

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Vu la demande d'avis en date du 3 octobre 2005 du Garde des sceaux, ministre de la Justice ;

Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;

Vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ;

Vu le code des postes et des communications électroniques ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel ;

Vu la loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne, et notamment son article 29 ;

Vu la loi n° 2003-239 du 18 mars 2003 pour la sécurité intérieure, et notamment son article 20 ;

Vu la loi n° 2004-669 du 9 juillet 2004 relative aux communications électroniques et aux services de communication audiovisuelle,

Vu le décret n° 2005-1309 du 20 octobre 2005 pris en application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;

Vu la délibération n° 2003-056 de la Commission nationale de l'informatique et des libertés en date du 9 décembre 2003 portant avis sur le projet de décret relatif à la conservation des données relatives à une communication par les opérateurs de télécommunications et portant modification du code des postes et télécommunications ;

Après avoir entendu M. Didier Gasse, commissaire, en son rapport et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations;

Emet l'avis suivant :

Le projet de décret soumis à l'avis de la Commission est pris en application de l'article L. 34-1 du code des postes et des communications électroniques (CPCE).

Cet article, en même temps qu'il prévoit le principe général d'effacement ou d'anonymisation de "toute donnée relative au trafic", distingue celles de ces données qui peuvent être conservées à des fins de facturation (à savoir, un an), celles qui peuvent être conservées à de fins de sécurité du réseau des opérateurs, et enfin celles qui doivent être conservées aux fins exclusives d'enquêtes judiciaires pendant une période maximale d'un an. Les catégories de données dont les opérateurs peuvent ou doivent assurer la conservation ainsi que la durée de celle-ci doivent être précisées par un décret en Conseil d'Etat pris après avis de la CNIL. La loi prévoit que les données conservées portent exclusivement sur l'identification des personnes utilisatrices des services fournis par les opérateurs, sur les caractéristiques techniques des communications assurées par ces derniers et sur la localisation des équipements terminaux.

La CNIL avait déjà été saisie d'un premier projet de décret sur lequel elle a rendu un avis en date du 9 décembre 2003.

La Commission observe que les modifications apportées au projet de décret sont importantes puisqu'elles concernent, au regard de la protection des données à caractère personnel, la détermination des catégories de données visées au II et III de l'article L. 34-1 précité.

Observations générales,

En faisant obligation aux opérateurs de communications électroniques de conserver des données aux fins exclusives de faciliter l'activité des autorités judiciaires, le législateur a entendu déroger au principe de finalité. Toutefois, la Commission relève que la loi prévoit que la conservation et le traitement de celles-ci s'effectuent dans le respect de la loi "informatique et libertés" et estime que le caractère dérogatoire et inédit du dispositif retenu commande une mise en oeuvre claire et précise de celui-ci.

Sur les catégories de données,

Les articles R. 9-1-1 et R. 9-1-2 du CPCE tels qu'issus du projet de décret visent notamment à déterminer les catégories de données qui, d'une part, doivent être conservées par les opérateurs de communications électroniques pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales et, d'autre part, les catégories de données qui peuvent être conservées pour les besoins de leurs opérations de facturation et de paiement ou pour la sécurité de leurs réseaux et installations.

En premier lieu, la Commission observe que les informations permettant d'identifier l'utilisateur ne constituent pas des données de trafic telles que définies par le projet d'article R. 9-1 du CPCE qui définit les données relatives au trafic comme "des informations rendues disponibles par les procédés de communication électronique, susceptibles d'être enregistrées par l'opérateur à l'occasion des communications électroniques dont il assure la transmission et qui sont pertinentes au regard des finalités poursuivies par la loi".

Dès lors, la Commission rappelle la position qu'elle avait exprimée à l'occasion de son précédent avis selon laquelle les données se rapportant à l'utilisateur, et non à ses communications, n'ont pas à figurer dans le projet de décret qui n'a vocation à traiter que de la conservation des données dites de trafic.

La Commission prend acte que le dispositif issu de l'article L.34-1 précité n'impose pas la constitution de fichiers nominatifs des utilisateurs de services de communications électroniques lorsque cette identification n'est pas nécessaire à la fourniture du service.

En second lieu, la Commission relève que la nouvelle version du projet de décret se contente d'énumérer cinq catégories génériques de données, à la différence de sa précédente version qui indiquait les données concernées.

Cette rédaction ne permet pas aux opérateurs de mesurer précisément l'obligation qui leur est faite de conserver certaines données en dérogation au principe général d'effacement et d'anonymisation posé par la loi. Cette incertitude juridique est d'autant plus préjudiciable que le non-respect de cette obligation est sanctionnée pénalement (article L. 39-3 du CPCE). De plus, ce choix ne permet pas à la Commission de s'assurer que ces données sont conformes aux exigences du V de l'article L. 34-1 - à savoir l'interdiction que ces données portent sur le contenu des correspondances échangées ou des informations consultées sous quelque forme que ce soit - ni d'effectuer le contrôle de proportionnalité posé par l'article 6 de la loi du 6 janvier 1978 modifiée.

Prenant acte que le projet d'arrêté visé à l'article 3 du projet de décret n'a pas pour finalité de préciser les données visées au II et III de l'article L. 34-1 mais ne vise qu'à fixer les conditions tarifaires générales applicables aux réquisitions portant sur des données traitées par des opérateurs de communications électroniques, la Commission estime que le décret devrait renvoyer à un arrêté pris après avis de la CNIL la détermination exacte des données précitées.

Sur les durées de conservation,

Le projet d'article R. 9-1-1 III prévoit que la durée de conservation des données conservées pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales est d'un an à compter du jour de l'enregistrement.

Dans son avis du 9 décembre 2003, la Commission avait estimé qu'une durée de conservation limitée à trois mois serait de nature à réduire les risques induits par un dispositif qui déroge aux règles applicables à la protection des données à caractère personnel, tout en permettant aux autorités judiciaires d'exercer leurs activités dans des conditions acceptables.

La Commission relève néanmoins que les nécessités des enquêtes concernant les infractions pénales les plus graves peuvent justifier un accès à des données de trafic remontant à une période supérieure à trois mois, notamment en ce qui concerne la téléphonie mobile.

Dès lors, la durée de conservation d'un an prévue par le projet d'article R. 9-1-1 III n'appelle pas d'opposition de la part de la Commission.

Le président, Alex TURK.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: