JORF n°109 du 11 mai 2006

Avis n°2005-0875 du 7 octobre 2005

L'Autorité de régulation des communications électroniques et des postes,

Vu la directive 97/66/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications ;

Vu la directive 2002/58/CE du Parlement européen et du Conseil, en date du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ;

Vu le code des postes et des communications électroniques, et notamment ses articles L. 32-1, L. 33-1, L. 33-2, L. 34-1, L. 34-2 et L. 39-3 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, et notamment ses articles 15, 36 et 37 ;

Vu la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication, et notamment son article 43-9 ;

Vu la loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne, notamment son article 29 ;

Vu la loi n° 2003-239 du 18 mars 2003 pour la sécurité intérieure, et notamment son article 20 ;

Vu la loi n° 2004-669 du 9 juillet 2004 relative aux communications électroniques et aux services de communication audiovisuelle ;

Vu le décret n° 78-774 du 17 juillet 1978 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret n° 79-1160 du 28 décembre 1979 fixant les conditions d'application aux traitements d'informations nominatives intéressant la sécurité de l'Etat, la défense et la sécurité publique de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu l'avis n° 2001-423 de l'Autorité de régulation des télécommunications, en date du 2 mai 2001, sur le projet de loi sur la société de l'information ;

Vu l'avis n° 2004-151 de l'Autorité de régulation des télécommunications, en date du 5 février 2004, concernant le projet de décret relatif à la conservation des données relatives à une communication par les opérateurs de télécommunications portant modification du code des postes et télécommunications ;

Vu l'avis n° 2004-564 de l'Autorité de régulation des télécommunications, en date du 1er juillet 2004, concernant, d'une part, le projet de décret relatif à la conservation des données relatives à une communication par les opérateurs de télécommunications portant modification du code des postes et télécommunications et, d'autre part, le projet d'arrêté d'application de l'article R. 9-1-2 du code des postes et télécommunications fixant la tarification applicable aux réquisitions ayant pour objet la production et la fourniture des données de communication par les opérateurs de télécommunications ;

Vu la demande d'avis du ministre délégué à l'industrie, en date du 28 septembre 2005 ;

Après en avoir délibéré le 7 octobre 2005,

Remarques liminaires

Les dispositions contenues dans le présent projet de décret sont prises en application de l'article L. 34-1 du code des postes et des communications électroniques (CPCE). Dans ce cadre, le législateur impose aux opérateurs de communications électroniques, et notamment aux personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne, d'effacer ou de rendre anonyme toute donnée relative au trafic.
Toutefois, conformément à l'article L. 34-1-II et III du CPCE, ce principe connaît des atténuations pour permettre l'utilisation de ces données techniques aux fins de poursuite des infractions pénales, aux fins de facturation et de paiement des prestations ainsi que pour garantir la sécurité des réseaux.
Par ailleurs, en application de l'article L. 34-1-IV du CPCE, ces informations peuvent encore être conservées, après la manifestation du consentement éclairé de l'abonné, pour permettre la localisation de l'équipement terminal de l'utilisateur.
L'article L. 34-1-V du CPCE indique enfin que « les données conservées et traitées dans les conditions définies aux II, III et IV portent exclusivement sur l'identification des personnes utilisatrices des services fournis par les opérateurs, sur les caractéristiques techniques des communications assurées par ces derniers et sur la localisation des équipements terminaux (...) ».
En outre, ces données ne sauraient porter sur le contenu des correspondances ou sur les informations qui ont pu être consultées au cours des différentes communications.
En ce qui concerne le projet d'article R. 9-1 :
L'Autorité note avec satisfaction que les remarques qu'elle avait pu formuler, dans le cadre de l'avis n° 2004-564 susvisé, ont été prises en compte afin de mettre en cohérence l'acception retenue par le projet de décret du terme de « données relatives au trafic » par rapport à la définition générique de la notion posée par l'article L. 32 (18°) du CPCE.
En ce qui concerne le projet d'article R. 9-1-1 :
Conformément aux prescriptions de l'article L. 34-1-II du CPCE, le projet d'article vise à définir, pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales, les catégories de données techniques pour lesquelles il peut être différé, pour une durée maximale d'un an, aux opérations tendant à effacer ou à rendre anonymes ces différentes données. Dans ce cadre, le projet de décret doit permettre de déterminer les modalités de compensation des surcoûts identifiables et spécifiques des prestations assurées par les opérateurs à la demande de l'Etat.
Le projet d'article R. 9-1-1-I impose ainsi aux opérateurs l'obligation de conserver cinq catégories de données qui portent à la fois sur l'identification de l'utilisateur et sur les informations techniques liées à la communication.
Il s'agit ainsi de conserver : « a) Les informations permettant d'identifier l'utilisateur ; b) Les données relatives aux équipements terminaux de communications utilisés ; c) Les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication ; d) Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ; e) Les données permettant d'identifier le ou les destinataires de la communication ».
D'une manière générale, l'Autorité constate que la liste des rubriques reste particulièrement floue de sorte que les opérateurs ne pourront être en mesure de connaître par avance les données qu'ils devront conserver. Afin de favoriser l'accessibilité et l'intelligibilité du texte réglementaire, une rédaction plus précise des dispositions du CPCE, au niveau du décret, paraît nécessaire.
En effet, l'article 3 du projet de texte se borne à renvoyer à un arrêté, dans le cadre de la mise en oeuvre du projet d'article R. 213-1 du code de procédure pénale, le soin de déterminer la nature des données susceptibles de faire l'objet d'une réquisition.
Au surplus, pour ce qui concerne spécifiquement « les activités de téléphonie », le projet de décret impose à l'article R. 9-1-1-II la conservation des données « permettant d'identifier l'origine et la localisation de la communication ». L'Autorité appelle l'attention du pouvoir réglementaire sur les difficultés de cerner le périmètre des activités de téléphonie dans la mesure où le code, au terme de l'article L. 32 (7°), ne définit que le « service téléphonique au public ».
Sans négliger les préoccupations liées à la défense et à la sécurité publique, l'obligation de conservation pendant la période d'un an soulève la question de la proportionnalité avec le but poursuivi et impose de prendre en compte les contraintes, en terme de stockage des données, qui vont peser sur les opérateurs.
A ce sujet, l'Autorité tient à souligner que, conformément à la décision du Conseil constitutionnel n° 2001-441 DC du 28 décembre 2000, les coûts que représente pour les opérateurs le concours apporté à la sauvegarde de l'ordre public ne sauraient leur incomber directement dès lors que les dépenses qui en résultent sont étrangères à l'activité d'exploitation des réseaux et de fourniture de services.
L'Autorité note que le projet de décret envisage les modalités d'une juste rémunération des opérateurs en distinguant les montants d'indemnisation des surcoûts selon que les données dont la communication est requise sont conservées par l'opérateur au titre des documents formalisant la relation contractuelle avec son client ou selon qu'elles sont conservées pour satisfaire aux prescriptions exigées par l'ordre public, la défense nationale et la sécurité publique, en application des dispositions de l'article L. 33-1-I (e) du CPCE.
Ainsi, il est renvoyé aux dispositions de l'article R. 213 du code de procédure pénale pour identifier le tarif permettant de compenser le coût des réquisitions lorsqu'elles ne portent que sur les informations d'origine contractuelle détenues par l'opérateur. Dans ce cadre, il est prévu une indemnité de 3,81 euros pour les recherches d'archives concernant des documents imprimés sans considération du support de conservation.
La référence à la notion de « documents imprimés » peut fragiliser la base juridique de l'indemnisation forfaitaire qui est ainsi envisagée dans la mesure où certains éléments contractuels ne revêtent pas la forme de documents imprimés.
S'agissant de l'indemnisation de la fourniture des données non contractuelles conservées par les opérateurs pour les besoins de la lutte contre les infractions pénales, le projet d'article R. 213-1 du code de procédure pénale fixe le tarif à 20 euros.
Sur ce point, l'Autorité tient à préciser que dans l'exercice de ses compétences, elle n'a pas eu à connaître les tarifs pratiqués dans le cadre pénal par les services de l'Etat et les opérateurs en matière de recherche et de fourniture de données liées aux échanges de communications. Par ailleurs, elle ne dispose que d'informations parcellaires quant au mode de détermination qui a présidé à la fixation du montant des tarifs compensatoires.
Dans ces conditions, et sous réserve que la somme prévue permette la complète indemnisation des opérateurs pour la sujétion supplémentaire que représente la prestation de recherche et de fourniture des données aux fins de constatation et de poursuite pénales, l'Autorité n'entend pas se prononcer sur son montant.
En ce qui concerne le projet d'article R. 9-1-2 :
Le projet d'article vise à préciser les catégories de données susceptibles de faire l'objet d'une utilisation ou d'une conservation par l'opérateur, voire d'une transmission à des tiers, pour les besoins de la facturation et du paiement des prestations de communications électroniques. De même, le projet de texte reconnaît aux opérateurs la faculté de conserver certaines données en vue d'assurer la sécurité de leurs réseaux.
S'agissant de la facturation, les catégories de données susceptibles d'être conservées sont identiques à celles qui figurent dans le projet d'article R. 9-1-1-I, à l'exception des données permettant d'identifier le ou les destinataires de la communication.
Il est à nouveau fait mention, dans le projet d'article R. 9-1-2-II des « activités de téléphonie » pour autoriser les opérateurs à conserver, en plus des données susmentionnées, les informations relatives à « la localisation de la communication, à l'identification du ou des destinataires de la communication et les données permettant d'établir la facturation ». L'Autorité réitère sa remarque concernant l'absence de définition dans le code de la notion d'« activités de téléphonie » au profit de la seule définition de « service de téléphonie au public ».
En outre, l'Autorité relève à ce stade que le périmètre des données susceptibles d'être conservées coïncide exactement avec le périmètre des données dont la conservation est rendue obligatoire par le projet d'article R. 9-1-1 précité.
Le projet d'article R. 9-1-2-III rappelle la finalité de l'utilisation des données et limite à un an le délai de leur conservation. Ce délai apparaît justifié au regard de la période d'un an au terme de laquelle, en application des dispositions de l'article L. 34-2 du CPCE, la prescription est acquise au profit de l'usager pour les sommes dues en paiement des prestations de communications électroniques d'un opérateur.
Enfin, l'Autorité s'interroge sur les raisons qui expliquent la différence de choix entre cette période d'un an applicable à la conservation des données en matière de facturation et de paiement et le délai de trois mois applicable à la conservation des données relatives à la sécurité des réseaux et des installations.
En dehors du fait que la protection des réseaux constitue l'une des exigences essentielles mentionnées à l'article L. 32 (12°) du CPCE, l'Autorité constate que les données susceptibles d'être conservées au titre de la sécurité des installations figurent parmi la liste des données dont la conservation est déjà autorisée afin d'établir la facturation et le paiement. En conséquence, un délai identique pourrait trouver à s'appliquer pour la conservation de données de même nature.

Remarques finales

L'Autorité remarque que l'article 2 du projet de décret continue de faire référence aux articles R. 9-1 à R. 9-4 pour mettre en place une nouvelle numérotation qui tienne compte de l'insertion dans le code des articles R. 9-1-1 et R. 9-1-2. Les articles R. 9-2 à R. 9-4 n'ont pourtant plus de base légale depuis l'entrée en vigueur de la loi n° 2004-669 du 9 juillet 2004 relative aux communications électroniques et aux services de communication audiovisuelle.
Par ailleurs, l'Autorité relève qu'il n'y a pas d'indication de délai pour permettre aux opérateurs d'adapter leurs infrastructures en vue de mettre en oeuvre les obligations prévues dans le projet de décret.
Sous réserve des remarques formulées ci-dessus, l'Autorité de régulation des communications électroniques et des postes émet un avis favorable sur le projet de décret.
Le présent avis sera transmis au ministre délégué à l'industrie et publié au Journal officiel de la République française.
Fait à Paris, le 7 octobre 2005.

1 version

Le président,

P. Champsaur