Article réservé aux abonnés Archimag.com

Conservation des données de connexion : évolution du cadre juridique

  • conservation-donnees-connexion.jpg

    conservation-donnees-connexion-droit
    La conservation des données de connexion fait l'objet de discussions et de décisions qui en redéfinissent progressivement le cadre matériel et temporel (Freepik/katemangostar)
  • Les intermédiaires ont une obligation de conservation des données de connexion des internautes et utilisateurs de leurs services, afin de pouvoir les communiquer aux magistrats ou aux services enquêteurs ou de renseignement compétents.

    mail Découvrez L'Archiviste Augmenté, la newsletter thématique gratuite d'Archimag dédiée aux professionnels des archives et du patrimoine !

    En droit français, les obligations de conservation des données de connexion visent :

    • Les opérateurs de communications électroniques dont les obligations en ce domaine sont encadrées par les dispositions des articles L. 34-1, R. 10-12 et R. 10-13 du Code des postes et des communications électroniques (CPCE) ;
       
    • Les intermédiaires techniques (hébergeurs, fournisseurs d’accès à internet et de cache), qui sont soumis aux dispositions de l’article 6 de la Loi pour la confiance dans l’économie numérique (LCEN), qui renvoie aux dispositions de l’article L. 34-1 du CPCE.

    En effet, en cas d’infractions commises au moyen de l’utilisation de réseaux ou de services de communication électroniques, l’identification et la poursuite des auteurs passent par l’exploitation de ces données de connexion.

    La conservation de ces données, qui constitue le préalable nécessaire à l’action des enquêteurs, fait l’objet de discussions et de décisions qui en redéfinissent progressivement le cadre matériel et temporel. 

    > Lire aussi : Les bases de données des durées de conservation

    1. Conservation des données de connexion et mise en balance des libertés et droits fondamentaux

    Le cœur des discussions porte sur l’articulation entre, d’une part, l’objectif de valeur constitutionnelle de recherche des auteurs d’infractions et, d’autre part, le droit au respect de la vie privée.

    Le 6 octobre 2020, la Cour de justice de l’Union européenne (CJUE) a rendu deux décisions (affaires jointes C-511/18, C-512/18, C-520/18, relatives aux droits français et belge, et affaire C-623/17 relative au droit anglais) sur la compatibilité entre les obligations de conservation des données, d’une part, et la protection des libertés et droits fondamentaux des personnes, d’autre part. 

    Au point 82 de cette décision, la CJUE a établi une liste des données de connexion. Elle précise qu’une obligation de conservation généralisée de ces données doit être : 

    • Temporellement et matériellement limitée au strict nécessaire ;
    • Justifiée par une menace grave pour la sécurité nationale, qui doit s’avérer être réelle, actuelle ou prévisible ;
    • Opérée sous le contrôle effectif d’une juridiction ou d’une autorité administrative indépendante, dont la décision est dotée d’un effet contraignant. 

    Le 21 avril 2021, le Conseil d’État s’est à son tour prononcé sur le sujet, soumettant la conservation généralisée et indifférenciée des données de connexion à quatre conditions cumulatives : 

    • Un niveau actuel de menace pour la sécurité nationale qui le justifie ;
    • L’existence d’un réexamen périodique de cette menace par le gouvernement sous le contrôle du juge administratif ;
    • La prise en considération du niveau de gravité des infractions en se limitant aux seules infractions présentant un niveau de gravité suffisant, et en se basant sur les données dont l’opérateur dispose au moment où les forces de police le sollicite ;
    • Une absence de conservation généralisée des données (autres que celles sur l’identité) pour tout autre type de menaces.

    > Lire aussi : Comment conserver et détruire des archives ?

    2. Les catégories des données concernées et leur durée de conservation 

    Récemment, deux décrets du 20 octobre 2021 (n°2021-1361 et 2021-1362) ont précisé les modalités de conservation de ces données de connexion. 

    • Décret 2021-1361 : 
      Le premier décret du 20 octobre 2021 concerne les catégories de données conservées par les opérateurs de communications électroniques. Il précise l’étendue de la notion de « données de trafic et de localisation » qui « s’entendent des informations rendues disponibles par les procédés de communication électronique, susceptibles d’être enregistrées par l’opérateur à l’occasion des communications électroniques dont il assure la transmission ».

    Son troisième article dresse la liste des informations, inscrites à l’article R.10-13 du CPCE, qui sont relatives à l’identité civile de l’utilisateur que les opérateurs doivent conserver telles que : 
    - ses coordonnées ;
    - l’identifiant utilisé ;
    - les données destinées à permettre à l’utilisateur de vérifier son mot de passe ;
    - les informations relatives aux paiements qu’il réalise ;
    - l’adresse IP attribuée à la source de la connexion et le port associé ;
    - les données de trafic et de localisation.

    La durée de conservation de ces données est définie par l’article L.34-1 du CPCE. 

    > Lire aussi : Conservation des documents d’entreprise : une nécessité, mais attention au respect des durées

    • Décret 2021-1362 : 
      Le deuxième décret concerne les données conservées par les intermédiaires techniques. Ses dispositions précisent que ces derniers doivent conserver : 

    - pendant une durée de cinq ans « à compter de la fin de validité de son contrat », les informations relatives à l’identité civile de l'utilisateur, dont une liste est dressée à son deuxième article ; 
    - pendant une durée d’un an : 
    > « à compter de la fin de validité du contrat de l’utilisateur ou de la clôture de son compte », les autres informations fournies par l’utilisateur lors de la souscription d’un contrat ou de la création d’un compte ;
    > « à compter de la fin de validité du contrat de l’utilisateur ou de la clôture de son compte », les informations relatives à l’éventuel paiement réalisé ;
    > « à compter de la connexion ou de l’utilisation des équipements terminaux », les données techniques permettant d’identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés ;
    > les catégories de données de trafic et de localisation « en cas d’injonction du premier ministre », injonction exprimée au sein d’un troisième décret (n° 2021-1363) également publié le 20 octobre 2021.

    3. Les mesures envisagées concernant la réquisition des données de connexion dans le cadre d’une enquête préliminaire 

    Actuellement, la réquisition de données de connexion est autorisée dans le cadre d’une enquête préliminaire aux fins de faire manifester la vérité et d’identifier les auteurs (article 77-1-2 du Code de procédure pénale et article 60-2 du même code) et le procureur de la République peut les requérir par tout moyen (article 77-1-1 du Code de procédure pénale). 

    Dans une décision rendue le 3 décembre 2021 (n°393099), le Conseil constitutionnel a abrogé les dispositions précitées, considérant qu’elles contrevenaient à l’équilibre entre le droit au respect de la vie privée et la nécessité de recherche des auteurs d’infractions. Au regard des conséquences manifestement excessives que causerait une abrogation immédiate, les effets de cette décision ont toutefois été reportées au 31 décembre 2022. 

    Le Conseil constitutionnel devra par ailleurs prochainement se prononcer sur une question prioritaire de constitutionnalité (n°2021-977) dont il a été saisi le 10 décembre 2021, et qui vise la compatibilité entre le droit au respect de la vie privée et l’absence :

    • de limitation de la conservation des données de connexion aux infractions les plus graves ;
    • d’autorisation et de contrôle d’une autorité ou juridiction indépendante.

    > Lire aussi : Les archivistes face au management des données

    Un nouveau cadre doit donc être forgé avant la fin de l’année 2022.  

    Une première piste a été avancée dans le cadre de la proposition de loi visant à combattre le harcèlement scolaire et le cyberharcèlement actuellement en discussion. 

    Ce texte prévoit l’insertion d’un nouvel article 60-1-2 au sein du Code de procédure pénale qui encadre les réquisitions de données de connexion, et opère une distinction entre celles qui concernent « les équipements terminaux de la victime et interviennent à la demande de celle-ci » ou « tendent à retrouver une personne disparue (…) », et celles visant « uniquement à identifier l’auteur d’un délit commis par l’utilisation d’un service de télécommunication au public en ligne ».

    Dans la première hypothèse, les réquisitions de données de connexion ne seraient possibles que si :

    • les nécessités de la procédure l’exigent,
    • et que cette procédure porte sur un crime ou délit puni d’une peine d’emprisonnement d’une durée égale ou supérieure à trois ans. 

    Dans la seconde hypothèse, le texte prévoit que les réquisitions ne seraient possibles que pour les délits punis d’au moins un an d’emprisonnement.
    Ces dispositions, si elles sont inscrites dans le Code de procédure pénale, feront l’objet d’un contrôle par le Conseil constitutionnel, qui devra apprécier l’équilibre proposé entre le droit au respect de la vie privée et la recherche des auteurs d’infractions. 

    Lexing Alain Bensoussan Avocats 
    Frédéric Forster, avocat au barreau de Paris, directeur du département Droit des télécoms 
    Raphaël Liotier, avocat au barreau de Paris, responsable d’activité du département Droit pénal du numérique 
    Marion Tête-Simler, étudiante en droit, stagiaire du département Droit pénal du numérique 

    Cet article vous intéresse? Retrouvez-le en intégralité dans le magazine Archimag !
    gouvernance-information-priorite-incontournable
    Alors que l’on attend une norme Iso sur la gouvernance de l’information, comment cette dernière est-elle vécue dans les organisations ? Une nouvelle fois, SerdaArchimag lance son enquête auprès des secteurs publics et privés. Types de gouvernance, niveaux de maîtrise des risques, accès à l’information, partage de la connaissance, signature électronique et autres outils, télétravail, numérique responsable : ce sont autant de thèmes passés au crible. Où l’on analyse des tendances de fond et les effets de la crise sanitaire.
    Acheter ce numéro  ou  Abonnez-vous
    À lire sur Archimag
    Les podcasts d'Archimag
    Rencontre avec Stéphane Roder, le fondateur du cabinet AI Builders, spécialisé dans le conseil en intelligence artificielle. Également professeur à l’Essec, il est aussi l’auteur de l’ouvrage "Guide pratique de l’intelligence artificielle dans l’entreprise" (Éditions Eyrolles). Pour lui, "l’intelligence artificielle apparaît comme une révolution pour l’industrie au même titre que l’a été l’électricité après la vapeur".
    Publicité

    Serda Formations Archives 2025

    Indispensable

    Bannière BDD.gif