B. LES DISPARITÉS ENTRE ÉTATS MEMBRES, ENTRAVES À LA COOPÉRATION POLICIÈRE ET JUDICIAIRE
Si tous les Etats membres n'ont pas mis en place une législation obligeant les opérateurs à conserver les données de trafic, on observe, par surcroît, d'importantes variations entre les pays qui ont adopté de tels dispositifs.
1. Le régime français : la conservation des données, dérogation au principe général d'effacement
a) Le caractère dérogatoire de l'obligation de conservation des données de connexion
Comme le rappelle la Commission nationale de l'informatique et des libertés (CNIL) dans son avis sur le projet de décret relatif à la conservation des données de communication 10 ( * ) , la finalité du traitement des données à caractère personnel détermine les catégories de données collectées et traitées et leur durée de conservation. Conformément à ce principe de finalité, certaines données de connexion doivent pouvoir être conservées dans un but commercial. En revanche, les traitements justifiés par la sécurité publique et la recherche des infractions pénales sont dérogatoires à ce principe.
Aux termes du I de l'article L. 34-1 du code des postes et des communications électroniques, créé par l'article 29 de la loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne, « les opérateurs de communications électroniques, et notamment les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne, effacent ou rendent anonyme toute donnée relative au trafic ».
Ces données techniques se distinguent des données administratives relatives aux clients (nom, prénom, adresse, mode de paiement de l'abonnement...). Elles désignent les informations liées à l'utilisation des réseaux, qu'il s'agisse de communications téléphoniques, de courriers électroniques, d'accès à un site Internet, des services de messages courts (SMS) ou des services de messageries multimédias (MMS) 11 ( * ) , et permettent d'identifier les interlocuteurs, leur localisation et la durée de leur communication.
Les trois possibilités de dérogation au principe général d'effacement sont strictement encadrées par l'article L. 34-1 :
- les opérateurs peuvent utiliser, conserver et, le cas échéant, transmettre à des tiers concernés directement les données relatives au trafic pour les besoins de la facturation et du paiement des prestations de communications électroniques, jusqu'à la fin de la période au cours de laquelle la facture peut être légalement contestée ou des poursuites engagées pour en obtenir le paiement, soit au maximum un an 12 ( * ) ;
- les opérateurs peuvent conserver certaines données en vue d' assurer la sécurité de leurs réseaux 13 ( * ) ;
- l'effacement des données relatives au trafic peut être différé pour une durée maximale d'un an , pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales , et seulement afin de mettre à disposition de l'autorité judiciaire des informations.
Conformément au principe de finalité, ces trois dérogations visent des catégories de données et des durées de conservation différentes, dont la détermination est renvoyée à un décret en Conseil d'Etat, pris après avis de la CNIL, en cours de finalisation (art. L. 34-1, II, du code des postes et des communications électroniques). Aux termes du projet de décret, pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales, les opérateurs seraient tenus de conserver les données pendant un an à compter du jour de leur enregistrement .
Pour les besoins de la facturation , les fournisseurs de services seraient autorisés à conserver certaines données pendant le temps strictement nécessaire à cette finalité, sans excéder un an à compter du jour de l'enregistrement . Enfin, la conservation des données nécessaires à la sécurité des réseaux et des installations ne pourrait dépasser trois mois après l'enregistrement . Une fois expirés les délais de conservation des données pour les besoins de la facturation ou de la sécurité des réseaux, les opérateurs ne pourront pas utiliser dans ces finalités les données conservées pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales.
Les exceptions au principe d'effacement ne visent que les données relatives au trafic , soit exclusivement celles qui portent sur l'identification des personnes utilisatrices des services fournis par les opérateurs, sur les caractéristiques techniques des communications assurées par ces derniers et sur la localisation des équipements terminaux (art. L. 34-1, V, du code précité) 14 ( * ) .
Le tableau suivant présente les catégories de données qui devraient ou pourraient, selon la finalité, être conservées par les opérateurs, telles que les définit le projet de décret :
|
Données conservées pour la recherche, la
constatation et la poursuite d'infractions pénales
|
Données conservées pour les besoins
|
Données conservées pour la
sécurité
|
|
|
Identification
|
Oui |
Oui |
Non 15 ( * ) |
|
Equipements terminaux utilisés |
Oui |
Oui |
Non |
|
Date, horaire et durée
|
Oui |
Oui |
Oui |
|
Services complémentaires demandés ou utilisés |
Oui |
Oui |
Oui |
|
Identification
|
Oui |
Non |
Oui |
|
Origine et localisation (activités de téléphonie) |
Oui |
Non |
Non |
Enfin, la conservation et le traitement des données doivent s'effectuer dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (art. L. 34-1, avant-dernier alinéa, du code des postes et des communications électroniques).
b) La compensation des surcoûts spécifiques pour les opérateurs
S'agissant des interceptions de sécurité qui portent sur le contenu même des communications, l'article L. 35-6 du code des postes et communications électroniques dispose que « les prescriptions exigées par la défense et la sécurité publique et les garanties d'une juste rémunération des prestations assurées à ce titre, à la demande de l'Etat, par les opérateurs, sont déterminées par décret ».
Le Conseil constitutionnel a précisé la nécessité pour l'Etat d'assurer une telle rémunération lorsque l'appui offert par les opérateurs ne correspond pas directement à leur activité de fournisseur de service, afin d'éviter toute rupture caractérisée de l' égalité devant les charges publiques 16 ( * ) .
Il a en effet jugé, dans sa décision du 28 décembre 2000 17 ( * ) , que si le législateur pouvait, dans le respect des libertés constitutionnellement garanties, imposer aux opérateurs de réseaux de télécommunications de mettre en place et de faire fonctionner les dispositifs techniques permettant les interceptions justifiées par les nécessités de la sécurité publique, « le concours ainsi apporté à la sauvegarde de l'ordre public, dans l'intérêt général de la population, est étranger à l'exploitation des réseaux de télécommunications » et que les dépenses en résultant ne sauraient dès lors incomber directement aux opérateurs.
Une telle indemnisation par l'Etat est également requise pour les surcoûts engendrés par le traitement des données de connexion, que les opérateurs peuvent également conserver pendant un an pour les besoins de la facturation et du paiement des prestations de communications, (art. L. 34-1, III, du code des postes et des communications électroniques).
Aussi l'article L. 34-1, II, du code précité renvoie-t-il à un décret en Conseil d'Etat la définition des modalités de compensation, le cas échéant, des « surcoûts identifiables et spécifiques » des prestations assurées par les opérateurs à la demande de l'Etat pour mettre certaines informations à la disposition de l'autorité judiciaire.
En réponse au questionnaire adressé par le Conseil de l'Union à chaque Etat membre sur la rétention des données de trafic, la France a indiqué avoir préféré, pour la compensation des surcoûts, la voie réglementaire à la voie conventionnelle en raison du nombre d'opérateurs concernés, afin de limiter le risque d'un traitement inégalitaire.
Le décret, en cours d'élaboration, devrait ainsi prévoir la compensation des surcoûts identifiables et spécifiques supportés par les opérateurs pour chacune des réquisitions portant sur une ou plusieurs des catégories de données conservées 18 ( * ) . Cette compensation serait ajoutée à la liste des frais de justice criminelle, correctionnelle et de police établie à l'article R. 92 du code de procédure pénale.
A titre indicatif, l'association des fournisseurs d'accès et de services Internet, répondant à un questionnaire adressé par les directions générales « société de l'information » et « justice, liberté et sécurité » de la Commission européenne 19 ( * ) , a estimé que ses membres avaient procédé au traitement d'environ 10.000 demandes d'identification d'utilisateurs de l'Internet de la part des services judiciaires au cours des douze derniers mois.
2. Des régimes nationaux très disparates
De nombreux Etats membres ont voté ou sont en voie de voter des lois sur la rétention de données relatives au trafic des communications afin de permettre la prévention, le recherche, la détection ou la poursuite de délits et d'infractions pénales. Mais ces législations, quant elles existent, diffèrent considérablement d'un Etat à l'autre, comme l'illustre le tableau suivant :
Réglementation des Etats membres de l'Union
européenne
en matière de rétention des données
relatives au trafic des communications
20
(
*
)
|
Etat membre |
Législation
|
Obligation de conservation de données de trafic
pour
|
Durée
|
Compensation
|
|
|
Données téléphoniques |
Données électroniques |
||||
|
Allemagne |
Non 21 ( * ) |
Non |
Non |
- |
Compensation des frais de personnel si les services répressifs utilisent des données conservées pour des besoins de facturation |
|
Autriche |
Loi de 2003 sur les télécommunications |
Non |
Non |
- |
Non |
|
Belgique |
Art. 109 ter E de la loi Belgacom (21 mars 1991) |
Oui |
Oui |
Un an minimum |
Remboursement
|
|
Chypre |
Loi 112/2004 pour la régulation des communications électroniques |
Non |
Non |
- |
Non |
|
France |
Art. L. 34-1 du code des postes et des communications électroniques |
Oui |
Oui |
Un an maximum |
Oui, décret et arrêté
|
|
Grèce |
Loi 2774/99, seulement pour
|
Non |
Non |
- |
Non |
|
Hongrie |
Loi de 2003 sur
|
Oui |
Oui |
Trois ans |
Non |
|
Irlande |
Directives temporaires du ministère chargé des télécommunications 22 ( * ) |
Oui |
Oui |
Trois ans minimum |
Non |
|
Italie |
Décret législatif n° 196, 2003 |
Oui |
Non (envisagé) |
Deux ans, renouvelables une fois |
Remboursement du coût engendré par
|
|
Finlande |
- |
Non |
Non |
- |
Non |
|
Lettonie |
Art. 19 de la loi sur les communications électroniques
|
Oui |
Oui |
Trois ans |
Non |
|
Lituanie |
Art. 64 de la loi sur les communications électroniques
|
Oui |
Oui |
Un an maximum |
Oui |
|
Malte |
Notice légale n° 16 de 2003 sur
|
Non |
Non |
- |
Non |
|
Pays-Bas |
Art. 13-1 à 13-4
|
Oui |
Non |
Trois mois |
Remboursement des frais de personnel liés au traitement des requêtes |
|
Pologne |
Loi sur les télécommunications du 21 juillet 2000 |
Oui |
Oui |
Un an |
Non |
|
Portugal |
Art. 8 de la loi n° 69/98 du 28 octobre 1998 |
Non |
Non |
- |
Non |
|
République tchèque |
Loi n° 151/2000 |
Oui |
Oui |
Deux mois, sauf requête des services répressifs |
Non |
|
Royaume-Uni |
Anti-Terrorism, Crime and Security Act de 2001 |
Oui |
Oui |
Six à douze mois selon les données |
Contribution aux frais de stockage et de recherche des données |
|
Slovaquie |
Loi sur les communi-cations électroniques n° 610-2003 |
Non |
Non |
- |
Non |
Ces disparités constituent un obstacle à la coopération entre les autorités compétentes, rendant indispensable une harmonisation de la durée de rétention a priori des données relatives au trafic des communications et des catégories de données à retenir.
* 10 Délibération n° 03-056 du 9 décembre 2003 portant avis sur le projet de décret relatif à la conservation des données relatives à une communication par les opérateurs de télécommunications.
* 11 La nouvelle définition des communications électroniques inscrite à l'article L. 32 du code des postes et des communications électroniques par l'article 2 de la loi n° 2004-669 du 9 juillet 2004 relative aux communications électroniques et aux services de communication audiovisuelle permet d'englober toutes les technologies existantes.
* 12 Aux termes de l'article L. 34-2, second alinéa, du code des postes et des communications électroniques : « La prescription est acquise, au profit de l'usager, pour les sommes dues en paiement des prestations de communications électroniques d'un opérateur appartenant aux catégories visées au précédent alinéa lorsque celui-ci ne les a pas réclamées dans un délai d'un an courant à compter de la date de leur exigibilité . »
* 13 Disposition introduite à l'article L. 34-1 du code des postes et des communications électroniques par l'article 20 de la loi n° 2003-239 du 18 mars 2003 pour la sécurité intérieure.
* 14 Les données conservées ne peuvent porter sur le contenu des correspondances échangées ou des informations consultées. En effet, l'interception du contenu des communications, pour les échanges téléphoniques comme pour les courriers électroniques, reste encadrée par la loi n° 91-646 du 10 juillet 1991 relative au secret des correspondances émises par la voie des communications électroniques.
* 15 Les opérateurs pourraient néanmoins, pour la sécurité des réseaux, conserver les données permettant d'identifier l'origine de la communication.
* 16 Principe énoncé à l'article 13 de la Déclaration des droits de l'Homme de 1789 : « pour l'entretien de la force publique et pour les dépenses d'administration, une contribution commune est indispensable : elle doit être également répartie entre tous les citoyens, en raison de leurs facultés ».
* 17 Décision n° 2000-441 DC du 28 décembre 2000, loi de finances rectificative pour 2000.
* 18 Deux tarifs seraient institués, selon que les réquisitions portent sur des informations d'origine contractuelle ou des données relatives aux communications. L'énumération des données relevant de chacune de ces catégories devrait faire l'objet d'un arrêté du ministre de l'économie, des finances et de l'industrie et du garde des sceaux.
* 19 Réponse en date du 15 septembre 2004.
* 20 Source: réponses au questionnaire du Conseil n° 12076/04 du 17 septembre 2004.
* 21 La législation allemande permet seulement aux opérateurs de conserver les données relatives au trafic pendant les six mois suivant la facturation et pour les besoins de celle-ci. Les autorités judiciaires ne peuvent donc obtenir de telles données, en application des sections 100g et 100h du code de procédure criminelle, que dans la mesure où elles ont été conservées par l'opérateur pour des raisons commerciales.
* 22 Directives prises, dans l'attente d'une législation, sur le fondement de la section 110 du Postal and Telecommunications Services Act de 1983.