L’année 2001 et la protection des données
4 — L’OBLIGATION FAITE AUX OPÉRATEURS
DE TÉLÉCOMMUNICATIONS ET AUX INTERMÉDIAIRES
TECHNIQUES DE L’INTERNET DE CONSERVER LES DONNÉES
DE CONNEXION À DES FINS DE POLICE
Cette disposition, introduite par l’article 29 de la loi relative à la sécurité
quotidienne dans le code des postes et télécommunications, a fait l’objet de très nombreux commentaires soulignant qu’elle serait directement liée aux événements du
11 septembre. Force est pourtant de constater que tel n’est pas le cas dans la mesure
où, à la différence d’autres amendements finalement inclus dans le projet de loi sur la
sécurité quotidienne, l’obligation faite aux intermédiaires techniques de communication de conserver les données de connexion à des fins de police figurait précédemment dans le projet de loi sur la société de l’information, préparé et rendu public bien
antérieurement au 11 septembre. Ce projet de loi sur la société de l’information avait
fait l’objet de nombreuses prises de position publiques et avait été soumis, pour avis,
à la CNIL et au Conseil d’État. Sans doute, cependant, les événements du 11 septembre ont conduit le Gouvernement à accélérer le calendrier initialement prévu.
La loi prévoit désormais que les données de connexion ne peuvent pas être
conservées au-delà d’un an et renvoie à un décret en Conseil d’État pris après avis de
la CNIL le détail de la durée de conservation selon les données en cause, connexion
à Internet, données de localisation des téléphones portables, etc. La loi précise explicitement qu’en aucun cas les données conservées ne pourront permettre d’identifier
la navigation d’un internaute mais il résulte du dispositif législatif que la police judiciaire pourra, en cas d’infraction et d’enquête, avoir accès aux données en cause.
Le 21e rapport d’activité pour 2000 avait très largement rappelé l’avis de la
CNIL sur ce projet (p. 21, sqq.). Il peut ainsi être résumé.
La volatilité des informations numériques et la difficulté d’identifier les
auteurs d’infraction qui peuvent agir dissimulés contraignent l’ensemble des États
démocratiques à faire obligation aux fournisseurs d’accès à Internet de conserver
pendant un temps déterminé les éléments permettant d’identifier les internautes en
cause. Chacun paraît aujourd’hui s’accorder sur un tel objectif.
Toutefois, le caractère dérogatoire d’une telle mesure d’identification qui
n’a été appliquée ni pour le minitel ni pour les autres moyens de télécommunication,
impose de rechercher le juste équilibre puisqu’il s’agit de rien de moins que d’identifier tous les internautes se connectant à Internet pour poursuivre les agissements illégaux d’une infime partie d’entre eux.
La CNIL a observé que la majorité des pays européens qui ont imposé une
telle obligation aux fournisseurs d’accès se sont arrêtés à des durées de conservation
de l’ordre de trois mois (Allemagne, Pays-Bas, Finlande) à six mois (Suisse), certains
imposant une durée plus courte (deux mois en République Tchèque), d’autres plus longues (au moins un an pour la Belgique).
Au fur et à mesure qu’une société s’informatise et que se généralise l’utilisation de moyens informatiques nomades (une carte bancaire, un téléphone mobile) ou
e
CNIL 22 rapport d'activité 2001
21