Les FADET divulguées doivent-elles être notifiées à la CNIL ?

Un paquet cadeau 4
Marc Rees
La question de la licéité ou non des FADET (factures détaillées, ou fadettes) demandées aux opérateurs risque de s'entrechoquer avec l'ordonnance Paquet Télécom, récemment publiée au Journal officiel.

Ces factures détaillées sont une précieuse source pour les administrations puisqu'elles permettent de tisser tout le réseau social d'une personne.

Dans une réponse parlementaire au député Lionel Tardy, le ministère de l'Économie a fondé la possibilité pour les agents du fisc de réclamer des FADET aux opérateurs en s'abritant derrière un article du code des Postes et des communications éléctroniques. L'article L34-I du Code des postes et des communications électroniques. Une justification hasardeuse puisque cet article concerne seulement les infractions pénales ou encore l'Hadopi. Non le fisc qui reste par principe dans un environnement administratif.

Interrogé, le juriste Benoit Tabaka nous résume l'économie du régime : "l'article L34-I pose un principe d'effacement des données, et deux exceptions, le pénal et la Hadopi. Pour moi, la conservation des données faite en dehors de ces deux buts est donc hors cadre légal". Tout comme l'est leur communication par FADET par exemple qui retrace par exemple l'ensemble des communications passées par ou vers le numéro d'un abonné.

La faute à qui ? "La loi a été mal rédigée, soutient Benoit Tabaka, alors que la logique était de pouvoir communiquer des informations sur toute demande judiciaire prévue large. Dans les faits, on applique donc plus l'esprit de la loi que sa lettre exacte." Dans le même sens, devant une juridiction civile, il n'est pas normal que des magistrats signent des ordonnances pour divulguer des données en dehors de toute procédure pénale/Hadopi... Du coup, le juriste se pose une question toute simple : "mais pourquoi les FAI communiquent ?"

On l'a vu vendredi, en bas de l'article L34-I, il est précisé que "les opérateurs prennent toutes mesures pour empêcher une utilisation de ces données à des fins autres que celles prévues au présent article". Les opérateurs doivent donc en théorie refuser la transmission de données personnelles en dehors du cadre pénal ou de l'Hadopi puisque ces transferts sont illicites.

CNIL notification fai

C'est ici que vient s'incruster l'ordonnance Paquet Télécom, fraichement publiée au Journal officiel. Le tout nouvel article 34 bis inséré dans la loi CNIL de 1978 oblige les opérateurs télécoms à alerter sans délai la CNIL en cas de violation de données à caractère personnel ou touchant à la vie privée. L'opérateur est même tenu d'informer l'abonné-victime sauf si la CNIL estime que les mesures de protection adéquates ont été finalement mises en œuvre.

Or, l'ordonnance Paquet Télécom précise qu' "on entend par violation de données à caractère personnel toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques".

Si l'on élague cette phrase, on obtient : "on entend par violation de données à caractère personnel toute violation de la sécurité entraînant de manière illicite la divulgation ou l’accès non autorisé à des données à caractère personnel". Selon cette grille de lecture, si les FAI conservent et diffusent des données FADET à des administrations en dehors du cadre des infractions pénales ou de l'Hadopi, l'ordonnance oblige ces mêmes FAI à transmettre à la CNIL les données illégalement divulguées. En théorie.