Découvrez L'Archiviste Augmenté, la newsletter thématique gratuite d'Archimag dédiée aux professionnels des archives et du patrimoine !
En droit français, les obligations de conservation des données de connexion visent :
- Les opérateurs de communications électroniques dont les obligations en ce domaine sont encadrées par les dispositions des articles L. 34-1, R. 10-12 et R. 10-13 du Code des postes et des communications électroniques (CPCE) ;
- Les intermédiaires techniques (hébergeurs, fournisseurs d’accès à internet et de cache), qui sont soumis aux dispositions de l’article 6 de la Loi pour la confiance dans l’économie numérique (LCEN), qui renvoie aux dispositions de l’article L. 34-1 du CPCE.
En effet, en cas d’infractions commises au moyen de l’utilisation de réseaux ou de services de communication électroniques, l’identification et la poursuite des auteurs passent par l’exploitation de ces données de connexion.
La conservation de ces données, qui constitue le préalable nécessaire à l’action des enquêteurs, fait l’objet de discussions et de décisions qui en redéfinissent progressivement le cadre matériel et temporel.
> Lire aussi : Les bases de données des durées de conservation
1. Conservation des données de connexion et mise en balance des libertés et droits fondamentaux
Le cœur des discussions porte sur l’articulation entre, d’une part, l’objectif de valeur constitutionnelle de recherche des auteurs d’infractions et, d’autre part, le droit au respect de la vie privée.
Le 6 octobre 2020, la Cour de justice de l’Union européenne (CJUE) a rendu deux décisions (affaires jointes C-511/18, C-512/18, C-520/18, relatives aux droits français et belge, et affaire C-623/17 relative au droit anglais) sur la compatibilité entre les obligations de conservation des données, d’une part, et la protection des libertés et droits fondamentaux des personnes, d’autre part.
Au point 82 de cette décision, la CJUE a établi une liste des données de connexion. Elle précise qu’une obligation de conservation généralisée de ces données doit être :
- Temporellement et matériellement limitée au strict nécessaire ;
- Justifiée par une menace grave pour la sécurité nationale, qui doit s’avérer être réelle, actuelle ou prévisible ;
- Opérée sous le contrôle effectif d’une juridiction ou d’une autorité administrative indépendante, dont la décision est dotée d’un effet contraignant.
Le 21 avril 2021, le Conseil d’État s’est à son tour prononcé sur le sujet, soumettant la conservation généralisée et indifférenciée des données de connexion à quatre conditions cumulatives :
- Un niveau actuel de menace pour la sécurité nationale qui le justifie ;
- L’existence d’un réexamen périodique de cette menace par le gouvernement sous le contrôle du juge administratif ;
- La prise en considération du niveau de gravité des infractions en se limitant aux seules infractions présentant un niveau de gravité suffisant, et en se basant sur les données dont l’opérateur dispose au moment où les forces de police le sollicite ;
- Une absence de conservation généralisée des données (autres que celles sur l’identité) pour tout autre type de menaces.
> Lire aussi : Comment conserver et détruire des archives ?
2. Les catégories des données concernées et leur durée de conservation
Récemment, deux décrets du 20 octobre 2021 (n°2021-1361 et 2021-1362) ont précisé les modalités de conservation de ces données de connexion.
- Décret 2021-1361 :
Le premier décret du 20 octobre 2021 concerne les catégories de données conservées par les opérateurs de communications électroniques. Il précise l’étendue de la notion de « données de trafic et de localisation » qui « s’entendent des informations rendues disponibles par les procédés de communication électronique, susceptibles d’être enregistrées par l’opérateur à l’occasion des communications électroniques dont il assure la transmission ».
Son troisième article dresse la liste des informations, inscrites à l’article R.10-13 du CPCE, qui sont relatives à l’identité civile de l’utilisateur que les opérateurs doivent conserver telles que :
- ses coordonnées ;
- l’identifiant utilisé ;
- les données destinées à permettre à l’utilisateur de vérifier son mot de passe ;
- les informations relatives aux paiements qu’il réalise ;
- l’adresse IP attribuée à la source de la connexion et le port associé ;
- les données de trafic et de localisation.
La durée de conservation de ces données est définie par l’article L.34-1 du CPCE.
> Lire aussi : Conservation des documents d’entreprise : une nécessité, mais attention au respect des durées
- Décret 2021-1362 :
Le deuxième décret concerne les données conservées par les intermédiaires techniques. Ses dispositions précisent que ces derniers doivent conserver :
- pendant une durée de cinq ans « à compter de la fin de validité de son contrat », les informations relatives à l’identité civile de l'utilisateur, dont une liste est dressée à son deuxième article ;
- pendant une durée d’un an :
> « à compter de la fin de validité du contrat de l’utilisateur ou de la clôture de son compte », les autres informations fournies par l’utilisateur lors de la souscription d’un contrat ou de la création d’un compte ;
> « à compter de la fin de validité du contrat de l’utilisateur ou de la clôture de son compte », les informations relatives à l’éventuel paiement réalisé ;
> « à compter de la connexion ou de l’utilisation des équipements terminaux », les données techniques permettant d’identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés ;
> les catégories de données de trafic et de localisation « en cas d’injonction du premier ministre », injonction exprimée au sein d’un troisième décret (n° 2021-1363) également publié le 20 octobre 2021.
3. Les mesures envisagées concernant la réquisition des données de connexion dans le cadre d’une enquête préliminaire
Actuellement, la réquisition de données de connexion est autorisée dans le cadre d’une enquête préliminaire aux fins de faire manifester la vérité et d’identifier les auteurs (article 77-1-2 du Code de procédure pénale et article 60-2 du même code) et le procureur de la République peut les requérir par tout moyen (article 77-1-1 du Code de procédure pénale).
Dans une décision rendue le 3 décembre 2021 (n°393099), le Conseil constitutionnel a abrogé les dispositions précitées, considérant qu’elles contrevenaient à l’équilibre entre le droit au respect de la vie privée et la nécessité de recherche des auteurs d’infractions. Au regard des conséquences manifestement excessives que causerait une abrogation immédiate, les effets de cette décision ont toutefois été reportées au 31 décembre 2022.
Le Conseil constitutionnel devra par ailleurs prochainement se prononcer sur une question prioritaire de constitutionnalité (n°2021-977) dont il a été saisi le 10 décembre 2021, et qui vise la compatibilité entre le droit au respect de la vie privée et l’absence :
- de limitation de la conservation des données de connexion aux infractions les plus graves ;
- d’autorisation et de contrôle d’une autorité ou juridiction indépendante.
> Lire aussi : Les archivistes face au management des données
Un nouveau cadre doit donc être forgé avant la fin de l’année 2022.
Une première piste a été avancée dans le cadre de la proposition de loi visant à combattre le harcèlement scolaire et le cyberharcèlement actuellement en discussion.
Ce texte prévoit l’insertion d’un nouvel article 60-1-2 au sein du Code de procédure pénale qui encadre les réquisitions de données de connexion, et opère une distinction entre celles qui concernent « les équipements terminaux de la victime et interviennent à la demande de celle-ci » ou « tendent à retrouver une personne disparue (…) », et celles visant « uniquement à identifier l’auteur d’un délit commis par l’utilisation d’un service de télécommunication au public en ligne ».
Dans la première hypothèse, les réquisitions de données de connexion ne seraient possibles que si :
- les nécessités de la procédure l’exigent,
- et que cette procédure porte sur un crime ou délit puni d’une peine d’emprisonnement d’une durée égale ou supérieure à trois ans.
Dans la seconde hypothèse, le texte prévoit que les réquisitions ne seraient possibles que pour les délits punis d’au moins un an d’emprisonnement.
Ces dispositions, si elles sont inscrites dans le Code de procédure pénale, feront l’objet d’un contrôle par le Conseil constitutionnel, qui devra apprécier l’équilibre proposé entre le droit au respect de la vie privée et la recherche des auteurs d’infractions.
Lexing Alain Bensoussan Avocats
Frédéric Forster, avocat au barreau de Paris, directeur du département Droit des télécoms
Raphaël Liotier, avocat au barreau de Paris, responsable d’activité du département Droit pénal du numérique
Marion Tête-Simler, étudiante en droit, stagiaire du département Droit pénal du numérique