JORF n°19 du 23 janvier 2007

Avis n°2006-0864 du 7 septembre 2006

L'Autorité de régulation des communications électroniques et des postes,

Vu la directive 97/66/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications ;

Vu la directive 2002/58/CE du Parlement européen et du Conseil, en date du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ;

Vu le code des postes et des communications électroniques, et notamment ses articles L. 32-1, L. 33-1, L. 33-2, L. 34-1, L. 34-2 et L. 39-3 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, et notamment ses articles 15, 36 et 37 ;

Vu la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication, et notamment son article 43-9 ;

Vu la loi n° 91-646 du 10 juillet 1991 modifiée relative au secret des correspondances émises par la voie des communications électroniques ;

Vu la loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne, notamment son article 29 ;

Vu la loi n° 2003-239 du 18 mars 2003 pour la sécurité intérieure, et notamment son article 20 ;

Vu la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, notamment son article 6 ;

Vu la loi n° 2004-669 du 9 juillet 2004 relative aux communications électroniques et aux services de communication audiovisuelle ;

Vu la loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers, et notamment son article 6 ;

Vu la loi n° 2006-961 du 1er août 2006 relative au droit d'auteur et aux droits voisins dans la société de l'information ;

Vu le décret n° 78-774 du 17 juillet 1978 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 février 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;

Vu le décret n° 2006-358 du 24 mars 2006 relatif à la conservation des données de communications électroniques ;

Vu l'avis n° 2001-423 de l'Autorité de régulation des télécommunications, en date du 2 mai 2001, sur le projet de loi sur la société de l'information ;

Vu l'avis n° 2005-0918 de l'Autorité de régulation des communications électroniques et des postes, en date du 13 octobre 2005, sur les projets de loi relatifs à la lutte contre le terrorisme ;

Vu la demande d'avis du ministre délégué à l'industrie, en date du 25 juillet 2006 ;

Après en avoir délibéré le 7 septembre 2006,

I. - Remarques préliminaires

En application de l'article L. 36-5, alinéa 1er, du code des postes et des communications électroniques, l'Autorité de régulation des communications électroniques et des postes est consultée sur les projets de décrets ou de règlements relatifs au secteur des communications électroniques et participe à leur mise en oeuvre.
En l'espèce, l'Autorité est saisie d'une demande de consultation relative au projet de décret d'application de l'article L. 34-1-1 du code des postes et des communications électroniques qui donne compétence à des agents des services de police et de gendarmerie nationales pour exiger « des opérateurs et personnes mentionnées au I de l'article L. 34-1 », « la communication des données conservées et traitées par ces derniers en application dudit texte ».
Pour rappel, la conservation des données est présentée comme une dérogation au principe affirmé par le I de l'article L. 34-1 du code des postes et des communications électroniques qui dispose que : « Les opérateurs de communications électroniques, et notamment les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne, effacent ou rendent anonyme toute donnée relative au trafic (...). »
Ce projet de décret s'inscrit dans la continuité des dispositions législatives actuelles relatives à la lutte contre le terrorisme énoncées dans la loi n° 2006-64 du 23 janvier 2006.
Le I de l'article 6 de la loi n° 2006-64 du 23 janvier 2006 (1) insère un article L. 34-1-1 au code des postes et des communications électroniques et prévoit dans son dernier alinéa que : « Les modalités d'application des dispositions du présent article sont fixées par décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés et de la Commission nationale de contrôle des interceptions de sécurité, qui précise notamment la procédure de suivi des demandes et les conditions et durée de conservation des données transmises. » Ce projet de décret a pour objet de mettre en application ces dispositions.

II. - Sur le contenu du projet de décret

D'une part, l'objet de ce projet de décret est de fixer :
- la délimitation des types de données techniques pouvant faire l'objet d'une demande ;
- les modalités d'application de la compensation financière dont peuvent faire l'objet les opérateurs et les personnes précitées en cas de surcoûts identifiables et spécifiques éventuellement exposés ;
- les modalités procédurales et de motivation de la demande, auprès d'une personne qualifiée, par les agents habilités des services de police et de gendarmerie nationale spécialement chargés de mission de prévention des actes de terrorisme ;
- la mise en oeuvre de contrôles relatifs aux opérations de communications de données techniques.
D'autre part, ce décret doit préciser notamment la procédure de suivi des demandes et les conditions et la durée de conservation des données transmises.

III. - Analyse de l'Autorité

  1. Sur les personnes susceptibles d'être soumises
    à l'obligation de communication de données

Le projet de décret a vocation à permettre aux agents des services de police et de gendarmerie nationale d'exiger auprès de certaines catégories de personnes la communication de données conservées et traitées par ces derniers.
L'article 1er du projet de décret énonce en effet que les agents précités « (...) peuvent exiger des opérateurs de communications électroniques et personnes mentionnées au I de l'article L. 34-1 du code des postes et des communications électroniques et des fournisseurs d'accès et prestataires mentionnés à l'article 6 de la loi du 21 juin 2004 susvisée la communication de données (...) ».
L'Autorité prend acte de l'obligation qui incombera désormais à ces catégories de personnes mais entend cependant s'assurer des destinataires de ces mesures.
A la lecture de ce projet, sont ainsi susceptibles d'être sollicités :
a) Les opérateurs de communications électroniques : L'Autorité souhaite rappeler que l'article 2 de la directive 2002/19/CE « Accès » du 7 mars 2002 définit l'opérateur de communications électroniques comme « une entreprise qui fournit ou est autorisée à fournir un réseau de communications public ou une ressource associée ». Cette disposition communautaire a ainsi été transposée par le 15° de l'article L. 32 du CPCE, qui définit l'opérateur comme « toute personne physique ou morale exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communications électroniques ».
b) Les personnes mentionnées au I de l'article L. 34-1 du code des postes et des communications électroniques : « Les personnes qui, au titre d'une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l'intermédiaire d'un accès au réseau, y compris à titre gratuit, sont soumises au respect des dispositions applicables aux opérateurs de communications électroniques en vertu du présent article. »
c) Des fournisseurs d'accès et prestataires mentionnés à l'article 6 de la loi du 21 juin 2004, qui se définissent comme :

  1. « Les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne (...) » ;

  2. « Les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis par des destinataires de ces services (...) ».
    L'Autorité n'a pas de remarque à formuler sur les catégories retenues pour l'application des dispositions règlementaires. Elle note cependant la grande étendue du champ d'application de ces dispositions.

  3. Sur le contenu du projet de décret
    relatif aux éléments « fixés » par décret

La délimitation des données pouvant faire l'objet d'une demande :
L'Autorité souligne les deux types de données pouvant faire l'objet de demande en application de l'alinéa 2 du projet de décret :
« - les données énumérées à l'article L. 34-1-1 du code précité [code des postes et des communications électroniques] et conservées par les opérateurs de communications électroniques en application de l'article L. 34-1 du même code ;
- les données d'identification mentionnées au II de l'article 6 de la loi n° 2004-575 du 21 juin 2004 susvisée et conservées par les personnes mentionnées aux 1 et 2 du I de ce même article. »
Les premières sont délimitées dans l'alinéa 2 de l'article L. 34-1-1 du code des postes et des communications électroniques comme les « (...) données techniques relatives à l'identification des numéros d'abonnement ou de connexion à des services de communications électroniques, au recensement de l'ensemble des numéros d'abonnement ou de connexion d'une personne désignée, aux données relatives à la localisation des équipements terminaux utilisés ainsi qu'aux données techniques relatives aux communications d'un abonné portant sur la liste des numéros appelés et appelants, la durée et la date des communications ».
Les secondes sont définies par la loi du 21 juin 2004 précitée comme les « données de nature à permettre l'identification de quiconque à contribuer à la création du contenu ou de l'un des contenus des services dont elles sont les prestataires ».
L'Autorité observe que le projet de décret se borne sur ce point à renvoyer aux dispositions législatives sans détailler davantage les informations contenues déjà dans la loi. Notamment, il aurait été utile pour la personne interrogée d'identifier, d'un point de vue technique, les données sollicitées.
Autres remarques :
Le renvoi par l'article 8 du projet de décret à l'article R. 213-1 du code de procédure pénale pour la fixation de la compensation des surcoûts identifiables et spécifiques éventuellement exposés par les opérateurs et personnes mentionnées n'appelle pas de commentaire de l'Autorité.
Il en est de même concernant les modalités procédurales et de motivation de la demande, auprès d'une personne qualifiée, par les agents habilités des services de police et de gendarmerie nationale spécialement chargés de mission de prévention des actes de terrorisme.

  1. Sur la procédure de suivi des demandes
    et les conditions et la durée de conservation des données transmises

Les articles 4 et 6 du projet de décret prévoient que des modalités sécurisées, « (...) définies par voie de convention ou, à défaut, d'arrêté », permettent d'assurer le suivi :
- des demandes approuvées transmises aux opérateurs ou aux fournisseurs d'accès et prestataires (art. 4) ;
- des données transmises par les opérateurs ou les fournisseurs d'accès et prestataires (art. 6).
L'Autorité s'interroge quant à la possibilité d'une harmonisation de ces modalités si la mise en oeuvre se fait uniquement par conventions. Elle estime que la définition préalable par arrêté de ces modalités permettrait plus de transparence avant d'être mises en oeuvre par convention.
Sous réserve des remarques énoncées ci-dessus, l'Autorité émet un avis favorable sur le projet de décret.
Le présent avis sera transmis au ministre délégué à l'industrie et publié au Journal officiel de la République française.
Fait à Paris, le 7 septembre 2006.

1 version

Article Annexe

A N N E X E

PROJET DE DÉCRET PRIS POUR L'APPLICATION DU I DE L'ARTICLE 6 DE LA LOI N° 2006-64 DU 23 JANVIER 2006 RELATIVE À LA LUTTE CONTRE LE TERRORISME ET PORTANT DISPOSITIONS DIVERSES RELATIVES À LA SÉCURITÉ ET AUX CONTRÔLES FRONTALIERS

1 version

Le président,

P. Champsaur