Conservation des données de connexion : les pistes du gouvernement

L’épineux sujet de la conservation des données de connexion est loin d’être asséché. Le gouvernement a sur la rampe deux projets de décret afin d’obliger les intermédiaires techniques, hébergeurs, opérateurs et FAI, à ce devoir de mémoire. Explications détaillées.

Nouvelle saison d’une série aux multiples rebondissements, la conservation des données de connexion. Dans cette épopée qui pourrait figurer en bonne place sur Netflix ou équivalent, se retrouve relancé l’éternel arbitrage entre liberté et sécurité, vie privée et prévention ou lutte contre les infractions.

D’abord un rappel synthétique. Dans notre espace juridique, tous les intermédiaires, comme les opérateurs télécoms, les FAI ou les réseaux sociaux et autres hébergeurs, sont soumis à un beau principe… immédiatement battu en brèche. Ce beau principe est l’un des Commandements du Code des postes et des télécommunications électroniques : « les opérateurs de communications électroniques, affirme l’article L34-1 du CPCE, effacent ou rendent anonymes (…) les données relatives aux communications électroniques ».

Ainsi posé, l’article consacrerait le règne de l’absolutisme de la vie privée dans ses versants les plus protecteurs, mais bien aussi au-delà. Le principe est percé par une série d’exceptions. Et pas des moindres puisque pour nourrir les besoins du judiciaire, du renseignement, comme ceux de l’ANSSI, et même de l’estomac Hadopi, le coup de torchon sur la craie des données de connexion a été décalé d’une année.

Une période où les intermédiaires ont donc l’obligation de se souvenir de toutes les données de connexion concernées, à savoir les qui, quand, comment, de l’ensemble de ces échanges et activités en ligne, par opposition aux données de contenus (les mails, les photos attachées, les conversations, etc.)

En somme, un véritable conte du Petit Poucet 2.0 où les petits morceaux de pain ne périssent dans l’oubli du numérique que 365 longs jours après avoir été posés, souvent sans le savoir, par les internautes, clients et autres utilisateurs.

C’est ainsi grâce à la conservation des données de connexion que finalement les services du renseignement peuvent esquisser, parfois dans un luxe de détail, le graphe social d’une personne. C’est aussi avec cette fameuse obligation que la Hadopi parvient à savoir que telle adresse IP horodatée se rattache à tel abonné bientôt rappelé à l’ordre pour défaut de sécurisation. Et évidemment, le judiciaire n’est pas en reste puisqu’aujourd’hui une grande partie des enquêtes passent par l’exploitation des mines numériques.

Seulement, cet édifice construit depuis de longues années s’est ébréché, fendillé, abimé après de multiples secousses telluriques venues, non de France, mais d’Europe. Une jurisprudence de plus en plus pointilleuse de la Cour de justice de l’UE qui n’a guère eu de mal à constater, au fil de plusieurs arrêts, qu’une conservation indifférenciée de l’ensemble des données de connexion porte nécessairement une atteinte disproportionnée à la sacro-sainte vie privée. Et pour cause, tous les internautes y sont soumis, qu’ils fomentent un nouveau crime sur le territoire, ou pas.

Des arrêts, pour la plupart commentés longuement dans nos colonnes, trois références notables à retenir :

• 8 avril 2014 : l’arrêt fondamental « Digital Rights Ireland »
• 21 décembre 2016 : l’arrêt de consécration « Télé2 »
• 6 octobre 2020 : Les arrêts de précision « Quadrature du Net et FDN » et « Privacy International »

Dans les deux premiers, en substance, la Cour de justice de l’UE n’a pas condamné la conservation des données, mais a exigé de solides garanties et autres serrages de boulons de rigueur. Elle a tout autant demandé des États membres de n’imposer ce devoir de mémoire qu’aux infractions les plus graves, tout en encadrant les règles d’accès à ces bouts de vie privée laissés dans le sillage des communications électroniques.

L’arrêt LQDN et FDN a, quant à lui, été rendu suite à des questions préjudicielles posées par le Conseil d’État, avec une juridiction française en quête de justifications pour sauvegarder malgré tout cette obligation de conservation si pratique pour les services.

Face à une telle jurisprudence, qui a suscité de lourdes inquiétudes chez nombreux États membres dans leur capacité à prévenir et poursuivre les infractions, la décision d’octobre a finalement été plus nuancée que les précédentes.

L’arrêt, très dense, réserve notamment le cas des situations d’urgence, distinguant au surplus le régime des données de trafic et de localisation (hors IP) des données d’identification et enfin des seules adresses IP.

Crédits : Marc Rees (Licence CC-BY-SA 3.0)

Après cette décision européenne, le Conseil d’État a rendu un arrêt d’équilibriste, pour finalement sauver l’essentiel, certes en appelant une réforme des textes en vigueur suite à des incompatibilités manifestes du droit français.

Cette révision a été orchestrée par la loi du 30 juillet 2021 relative à la prévention d’actes de terrorisme et au renseignement, et tout particulièrement son article 17. Un article qui vient moduler l’obligation de conservation selon une ribambelle de finalités (procédures pénales, prévention des menaces contre la sécurité publique et sauvegarde de la sécurité nationale, la lutte contre la criminalité et la délinquance graves, etc.).

Crédits : Commission des lois du Sénat

L’article 17 exige, pour son application, la publication de deux décrets par le gouvernement, destinés à détailler concrètement la mise en œuvre de ces obligations.

Deux projets de décrets soumis à consultation

Le premier sera pris en application du Code des postes et des télécommunications électroniques, la seconde, de la loi sur la confiance dans l’économie numérique (LCEN).

Pourquoi deux pans légaux ? Tout simplement parce que l’obligation de conservation se retrouve à la fois dans l’article L. 34-1 du code des postes et communications électroniques, s’agissant des opérateurs de communications électroniques, mais aussi à l’article 6-II de l’inévitable loi sur la confiance dans l’économie numérique (ou LCEN) s’agissant cette fois des FAI et des hébergeurs.

• Les deux projets de décrets soumis à consultation jusqu'au 1er octobre inclus

C’est dans ce contexte que la Direction générale des Entreprises vient de lancer un appel à avis, en diffusant ces deux projets de décrets. Leur lecture permet de mieux comprendre les futures obligations qui pourraient peser sur les intermédiaires, ou – question d’angle, l’ampleur des atteintes à la vie privée des personnes physiques.

Les opérateurs de communications électroniques

Le premier projet de décret concerne donc les opérateurs de communications électroniques, soit les opérateurs déclarés et possiblement les opérateurs de communications électroniques comme Skype. Ceux-là devront donc conserver… :

Les informations relatives à l’identité civile de l’utilisateur

• Les nom et prénom ou la raison sociale
• Les adresses postales associées
• Les date et lieu de naissance
• Les adresses de courrier électronique ou de compte associées
• Les numéros de téléphone

Les informations relatives aux contrats ou aux créations de compte :

• L’identifiant de la connexion
• Les pseudonymes utilisés
• Les données permettant de vérifier le mot de passe ou de le modifier, le cas échéant par l’intermédiaire d’un double système d’identification de l’utilisateur, dans leur dernière version mise à jour
• Pour les opérations de paiements lors de la création d’un compte ou souscription d’un contrat :

1. 1. Le type de paiement utilisé
   2. La référence du paiement
   3. Le montant
   4. La date, l’heure et le lieu de la transaction

Les données techniques permettant d’identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés :

• L’adresse IP attribuée à la source de la connexion et le port associé
• Le numéro d’identifiant de l’utilisateur
• Le numéro d’identification du terminal
• Le numéro de téléphone à l’origine de la communication

Les données de trafic et de localisation

• Les caractéristiques techniques, la date, l’horaire et la durée de chaque communication
• Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs
• Les données permettant d’identifier le ou les destinataires de la communication
• Pour les activités de téléphonie, les données permettant d’identifier la localisation de la communication.

Quelle serait la durée de conservation ?

Contrairement à la situation d’avant la réforme entreprise par la loi du 30 juillet 2021, désormais, la durée va dépendre de finalités et des procédures engagées.

Les données relatives à l'identité civile de l'utilisateur seront par exemple conservées cinq ans, « pour les besoins des procédures pénales, de la prévention des menaces contre la sécurité publique et de la sauvegarde de la sécurité nationale ». Ces cinq ans sont calculés « à compter de la fin de validité de son contrat », donc possiblement des dizaines d’années pour les utilisateurs trop fidèles à un opérateur.

Toujours pour ces mêmes finalités, les autres informations fournies par l'utilisateur lors de la souscription d'un contrat ou de la création d'un compte et les informations relatives au paiement seront conservées cette fois un an, mais là encore à compter de la fin de validité de son contrat ou de la clôture de son compte.
Pour les besoins maintenant...

• de la lutte contre la criminalité et la délinquance grave,
• la prévention des menaces graves contre la sécurité publique
• et la sauvegarde de la sécurité nationale,

... toutes « les données techniques permettant d'identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés » seront conservées au maximum un an à compter de la connexion ou de l'utilisation des équipements terminaux.

Enfin, pour la sauvegarde de la sécurité nationale, et en cas de « menace grave », « actuelle » ou menace « prévisible », le Premier ministre pourra adresser une injonction aux opérateurs pour les obliger à conserver en supplément d’autres données.

C’est la voie de l’injonction rapide qui concernera toutes les données techniques permettant d'identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés, « jusqu'à l'expiration d'un délai d'un an à compter de la connexion ou de l'utilisation des équipements terminaux ».

Les hébergeurs et les FAI (LCEN)

Là aussi, les informations relatives à l’identité civile de l’utilisateur seront stockées durant cinq ans après la fin du contrat. Cela concernera :

• Les nom et prénom ou la raison sociale
• La ou les adresses postales associées
• Les date et lieu de naissance
• Les adresses de courrier électronique ou de comptes associées
• Le ou les numéros de téléphone

D’autres informations fournies lors de la souscription du contrat ou de la création du compte seront conservées un an, après la fin de validité du contrat ou la clôture de son compte. Ce sont :

• L’identifiant fourni par l’utilisateur lors de la création du compte
• Tous les pseudonymes utilisés par cette personne
• Mais aussi « les données permettant de vérifier le mot de passe ou de le modifier, le cas échéant par l’intermédiaire d’un double système d’identification de l’utilisateur, dans leur dernière version mise à jour ».

Même délai d’un an s’agissant des informations relatives au paiement :

• Type de paiement utilisé
• Référence du paiement ;
• Montant
• Date, heure et lieu de la transaction

Les données techniques permettant d’identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés seront conservées là encore un an à compter du jour de la connexion s’agissant des FAI, ou de la création d’un contenu, pour chaque opération y contribuant (création initiale, modification et suppression) s’agissant des hébergeurs.

Cela visera…

Pour les FAI, à chaque connexion de leurs abonnés :

1. L’identifiant de la connexion ;
2. L’identifiant attribué par ces personnes à l’abonné ;
3. L’adresse IP attribuée à la source de la connexion et le port associé.

Pour les hébergeurs, à chaque opération de création d’un contenu (ex : un commentaire sous une vidéo, envoi d’un fichier partagé sur Soundcloud, ou d’un tweet), devront être conservés :

• L’identifiant de la connexion à l’origine de la communication ;
• Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus.

L'injonction rapide, version LCEN

FAI et hébergeurs pourront enfin être visés par une « injonction rapide ».

Les FAI devront alors conserver pour une durée d'un an pour chaque connexion de leurs abonnés :

• Les dates et heures de début et de fin de la connexion ;
• Les caractéristiques de la ligne de l’abonné.

Les hébergeurs devront conserver durant un an pour chaque opération de création d’un contenu :

• L’identifiant attribué par le système d’information au contenu, objet de l’opération
• La nature de l’opération
• Les date et heure de l’opération
• L’identifiant utilisé par l’auteur de l’opération lorsque celui-ci l’a fourni

Le projet de décret, dont on peut s'interroger sur les conséquences sur le traitement  Hadopi et même ANSSI , indique que la conservation devra concerner des données « pertinentes au regard des finalités poursuivies par la loi ». En outre, ces opérations devront être soumises aux prescriptions de la loi de 1978, s’agissant de l’obligation de sécurisation des données à caractère personnel.

Enfin, le texte prévient que « les conditions de la conservation [devront] permettre une extraction dans les meilleurs délais en cas d’injonction des autorités habilitées ». Une manière d’imposer la réactivité des intermédiaires techniques qui pourraient être tentés de trainer la patte.