Annexe 5
échéant, être utiles à une enquête. Il serait à craindre que le coût final d’une
telle obligation soit reporté sur les internautes.
— L’appréciation de la Commission
L’obligation faite aux fournisseurs d’accès de conserver à des fins de police
trace des connexions qui, par recoupement avec d’autres données, peuvent
dévoiler notre navigation sur le Web et, de manière plus générale, l’usage
privé que l’on fait du réseau, déroge aux principes fondamentaux de protection des libertés individuelles. Dès lors, il convient que la loi édictant une
telle obligation soit à la fois claire et précise et que le dispositif mis en œuvre
soit adapté et proportionné.
Or, le projet de loi renvoie au pouvoir réglementaire le soin de déterminer
les données en cause et leur durée de conservation précise, dans la limite
maximale d’un an. Certes, la rédaction du projet de loi sur ce point laisse
penser que la durée de conservation finalement retenue pourrait être, dans
certains cas, inférieure à un an et que seules certaines données de
connexion, et non pas toutes, seraient en définitive conservées.
Cependant, l’hypothèse d’un tri entre des données à caractère technique qui
sont rassemblées dans des fichiers dits « fichiers log » peut paraître assez
peu réaliste d’autant qu’un tel dispositif reviendrait à ajouter à la contrainte
faite aux opérateurs de conserver des données sans utilité pour eux une
deuxième contrainte consistant à leur demander de procéder à une sélection
a priori entre les données produites par la technologie. D’autre part et surtout, l’obligation ainsi instituée dérogeant au droit commun, sa portée et ses
modalités de mise en œuvre paraissent devoir être déterminées par le législateur. Il est en tout cas permis de s’interroger sur le point de savoir si un renvoi aussi général au pouvoir réglementaire, fût-ce après avis de la CNIL,
offre les garanties de précision et de clarté exigées dans une matière qui
touche aux libertés individuelles et publiques, étant observé qu’il ne s’agit
plus, comme dans la loi du 1er août 2000, de permettre l’identification d’auteurs de contenus diffusés sur Internet mais toutes les personnes se connectant à Internet.
Sur le fond, la Commission estime que dans la mesure où la pratique des
fournisseurs d’accès n’est pas aujourd’hui harmonisée et où certains d’entre
eux ne conservent que très peu de temps les données de connexion, ce qui
au demeurant ne peut que fragiliser la sécurité informatique de leurs propres
installations, l’obligation nouvelle qui serait désormais faite à l’ensemble
des fournisseurs d’accès de conserver les données de connexion pendant
une durée de trois mois serait adaptée aux objectifs d’intérêt public poursuivis par le projet de loi.
La Commission croit devoir souligner que, selon le témoignage recueilli auprès de ses homologues européens, ceux des États-membres ayant prévu une
obligation de conservation de ces données pendant une durée maximale de
cet ordre ne paraissaient pas avoir rencontré de problèmes particuliers en
matière de lutte contre la délinquance par le réseau.
Par ailleurs, dans une résolution législative portant avis du Parlement européen sur le projet d’action commune relative à la lutte contre la pornographie enfantine sur Internet 1, cette assemblée a estimé qu’une durée de
conservation des données de trafic de trois mois pouvait être adaptée.
1 JO C219 du 30 juillet 1999, p. 68 et p. 71.
e
CNIL 22 rapport d'activité 2001
235