Délibérations adoptées en 2001
après avis de la CNIL pour déterminer celles des données qui pourront être
conservées à ce titre reçoivent l’approbation de la Commission.
Observations sur la conservation des données de connexion sans lien
avec la facturation
— L’enjeu
Il convient d’emblée de relever qu’en faisant obligation aux opérateurs de télécommunications de conserver des données de connexion dépourvues d’utilité pour la facturation, le projet de loi ne poursuit pas un objectif d’ordre
public qui serait justifié par la nécessité d’identifier les auteurs de contenus illégaux ou attentatoires aux droits des tiers (sites pédophiles, négationistes,
racistes, diffamatoires et autres). En effet, la loi du 1er août 2000 a déjà établi à la charge des hébergeurs de sites mais aussi des fournisseurs d’accès
— visés ensemble par l’article 43-9 nouveau de la loi du 30 septembre 1986
— une obligation générale de « détenir et conserver les données de nature à
permettre l’identification de toute personne ayant contribué à la création
d’un contenu », dans des conditions et pour une durée qui doivent être précisées par un décret en Conseil d’État pris après avis de la CNIL, les données
ainsi conservées pouvant être requises par l’autorité judiciaire.
Le projet de loi sur la société de l’information est de portée beaucoup plus
large puisqu’il concerne tous les internautes qui échangent des mails ou naviguent sur le Web, même s’ils ne créent aucun contenu accessible au public.
Certes, le projet précise que les données ainsi conservées « ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit ». Mais cette rédaction, qui
se borne à un constat exclusivement technique, si elle n’est pas inexacte, pourrait cependant donner à penser que de telles données sont anodines. Or, elles
ne le sont nullement dans la mesure où, comme le précise le projet par ailleurs,
elles portent notamment « sur l’identification des personnes utilisatrices des
services fournis par l’opérateur de télécommunication ».
Concrètement, il s’agit de faire obligation aux fournisseurs d’accès de
conserver ce que l’on nomme les « adresses IP » des ordinateurs connectés
aux services accessibles par Internet, adresses qui constituent l’équivalent
d’un numéro minéralogique que le fournisseur d’accès attribue à l’ordinateur utilisé par l’abonné, soit de manière permanente, soit à chacune de ses
connexions. La conservation de cette adresse IP permet d’identifier tout ordinateur connecté au réseau (et donc la personne physique titulaire de la
ligne) et ses heures de connexion. Certes, à elle seule, la conservation de ces
informations ne permet pas d’identifier l’activité de l’internaute. Mais si le
projet de loi prescrit la conservation de telles données, c’est précisément
pour associer à un comportement sur Internet une identité précise. La technologie d’Internet (c’est-à-dire le protocole de communication entre ordinateurs
distants) permet déjà à certains robots de récupérer l’ensemble des adresses
IP des ordinateurs connectés la conservation des données de connexion par
les fournisseurs d’accès permettra d’identifier individuellement leurs utilisateurs ou tout au moins la personne physique titulaire de la ligne. De même, le
rapprochement des données devant être conservées par les fournisseurs
d’accès avec celles dont la loi du 1er août 2000 a prescrit la conservation
aux hébergeurs de sites, permettrait d’identifier, non pas seulement les per-
232
e
CNIL 22 rapport d'activité 2001