La Quadrature du Net poursuit son infatigable bataille contre la conservation généralisée des données de connexion. Dernier épisode en date, quatre bénévoles viennent de saisir la CNIL suite au refus opposé par Bouygues Telecom, Free Mobile, Orange et SFR de leur ouvrir l’accès à leurs données personnelles.
La législation en vigueur en France contraint les intermédiaires techniques à conserver l’ensemble des données de connexion pendant un an. Comme déjà relaté dans nos colonnes, le périmètre de ces informations – sur le terrain de la loi Renseignement – est particulièrement vaste et intrusif au regard des informations collectées aussi bien en temps différé qu’en temps réel :
Les données glanées en temps différé
Opérateurs de communications électroniques :
- Les informations permettant d'identifier l'utilisateur, notamment pour les besoins de facturation et de paiement
- Les données relatives aux équipements terminaux de communication utilisés
- Les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication
- Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs
- Les données permettant d'identifier le ou les destinataires de la communication
Les opérateurs de téléphonie :
- Les données permettant d'identifier l'origine et la localisation de la communication
- Les données permettant d’établir la facturation
Les « opérateurs » :
- Les données permettant d'identifier l'origine de la communication
- Les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication
- Les données à caractère technique permettant d'identifier le ou les destinataires de la communication
- Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs
Les FAI :
- L'identifiant de la connexion
- L'identifiant attribué par ces personnes à l'abonné
- L'identifiant du terminal utilisé pour la connexion lorsqu'elles y ont accès
- Les dates et heure de début et de fin de la connexion
- Les caractéristiques de la ligne de l'abonné
Les FAI et hébergeurs :
Au moment de la création du compte :
- l'identifiant de cette connexion
- Les nom et prénom ou la raison sociale
- Les adresses postales associées
- Les pseudonymes utilisés
- Les adresses de courrier électronique ou de compte associées
- Les numéros de téléphone
- Les données permettant de vérifier le mot de passe ou de le modifier, dans leur dernière version mise à jour
Lorsque la souscription du contrat ou du compte est payante, les informations suivantes relatives au paiement, pour chaque opération de paiement :
- Le type de paiement utilisé
- La référence du paiement
- Le montant
- La date et l'heure de la transaction.
Les données recueillies en temps réel
- Celles permettant de localiser les équipements terminaux
- Relatives à l'accès des équipements terminaux aux réseaux ou aux services de communication au public en ligne
- Relatives à l'acheminement des communications électroniques par les réseaux
- Relatives à l'identification et à l'authentification d'un utilisateur, d'une connexion, d'un réseau ou d'un service de communication au public en ligne
- Relatives aux caractéristiques des équipements terminaux et aux données de configuration de leurs logiciels.
Droit d'accès et de rectification
C’est à partir de ce stock que quatre bénévoles de la Quadrature du Net ont considéré que « ces données très personnelles n'ont, à notre connaissance, jamais été fournies aux titulaires de ligne ». En octobre dernier, ils ont donc sollicité la communication de ces informations auprès de Free Mobile, Bouygues Telecom, SFR et Orange, au titre du droit d’accès et de rectification.
Une démarche un peu vaine : « Nous avons reçu une réponse incomplète de SFR, et une fin de non recevoir de Free, qui prétend que ces informations personnelles ne sont pas communicables aux personnes concernées ! Orange et Bouygues Telecom, eux, n'ont jamais répondu ».
Dans sa réponse citée par LQDN, Free prévient qu'« en application de la législation en vigueur, celles-ci ne peuvent être transmises que sur réquisition des autorités judiciaires uniquement ».
Après cette tentative, ils ont saisi la CNIL pour éprouver leur demande sur le socle de la loi de 1978 sur l’Informatique et les Libertés. Selon le sens de la réponse apportée par l’autorité indépendante, ils pourront poursuivre leur procédure devant les juridictions administratives.
Les données de connexion, la CJUE et la France
Ce chapitre s’inscrit dans un ouvrage déjà très dense, riche de plusieurs arrêts de la Cour de justice de l’Union européenne et de réponses du gouvernement français minorant leur impact.
Dans son arrêt Tele2 Sverige, la CJUE a jugé le 21 décembre 2016 qu’ « eu égard à la gravité de l’ingérence dans les droits fondamentaux en cause que constitue une réglementation nationale prévoyant, aux fins de la lutte contre la criminalité, la conservation de données relatives au trafic et de données de localisation, seule la lutte contre la criminalité grave est susceptible de justifier une telle mesure ».
De ces lignes, la justice laisse entendre qu’une conservation généralisée des données de connexion est proscrite. La France n’est pas de cet avis. Intervenant dans une autre affaire en cours, elle rétorque que « la conservation des données techniques de communications électroniques, telles que les données de connexion ou de localisation, est strictement nécessaire pour garantir la disponibilité de ces données à des fins de préservation des intérêts vitaux de la sécurité nationale ».
Sur la même longueur d’onde, le député LREM Fabien Gouttefarde, membre de la commission de la Défense nationale, ajoute que « l’idée d'une collecte sélective des données semble peu opérationnelle et impliquerait de faire renoncer les services à l'exploitation administrative ou judiciaire des données de connexion qui repose nécessairement sur une collecte générale et préalable de ces données par les opérateurs dans des objectifs commerciaux ».
Le nouveau dossier lancé par la Quadrature est utile puisqu’il permettra de remettre au chaud le sujet de la collecte généralisée, cette fois sous l’angle de l’accès aux données. Sauf réponse favorable de la CNIL, la procédure devrait prendre des mois.