Conservation des données

Décision de la CJUE du 06/10/2020 sur les données de connexion

Dans une décision du 06 octobre 2020, la Cour de justice de l’Union européenne (CJUE) s’est prononcée sur plusieurs affaires tendant à questionner le régime français de conservation des données de connexion par les opérateurs, à des fins de renseignement ou de police judiciaire.

Plusieurs articles reviennent dans le détail sur cette décision (voir Nextinpact par exemple). Je vous propose pour ma part un avis personnel sur les différents points avancés dans cette décision et ce en quoi ils ne répondent pas forcément totalement aux nécessités objectives des enquêtes judiciaires.

J’avais déjà développé sur ce blog le dispositif de la loi pour la confiance dans l’économie numérique (LCEN) prévoyant les modalités de conservation des données par les fournisseurs d’accès à Internet et les hébergeurs, ainsi que celui qui concerne de façon parallèle les opérateurs de communications électroniques. Ce sont ces dispositions qui sont discutées (dans l’affaire numéro C‑512/18 de la CJUE)  et le cas échéant remises en cause par les parties demanderesses dans l’affaire jugée par la CJUE. La demande portait aussi sur certaines techniques spéciales de renseignement et sur la législation belge que je ne discuterai pas ici.

Vous noterez dans la décision ou dans les articles qui la commentent que cette affaire est issue d’une série de questions préjudicielles posées par le Conseil d’Etat français dans le dossier. Cette juridiction sera donc appelée à fonder sa décision sur la réponse apportée par la CJUE.

Le Conseil d’Etat posait ainsi les questions suivantes:

« 1)       L’obligation de conservation généralisée et indifférenciée, imposée aux fournisseurs sur le fondement des dispositions permissives de l’article 15, paragraphe 1, de la directive [2002/58], ne doit-elle pas être regardée, notamment eu égard aux garanties et contrôles dont sont assortis ensuite le recueil et l’utilisation de ces données de connexion, comme une ingérence justifiée par le droit à la sûreté garanti à l’article 6 de la [Charte] et les exigences de la sécurité nationale, dont la responsabilité incombe aux seuls États membres en vertu de l’article 4 [TUE] ?

2)      Les dispositions de la directive [2000/31], lues à la lumière des articles 6, 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la [Charte], doivent-elles être interprétées en ce sens qu’elles permettent à un État d’instaurer une réglementation nationale imposant aux personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne et aux personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services, de conserver les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires, afin que l’autorité judiciaire puisse, le cas échéant, en requérir communication en vue de faire respecter les règles relatives à la responsabilité civile ou pénale ? »

Enfin, il faut se rappeler qu’un cadre juridique européen de la conservation des données par les opérateurs (directive 2006/24/CE) existait jusqu’à sa remise en cause en 2014 par une décision de la même CJUE du 08 avril 2014.

Plusieurs points de l’arrêt méritent donc qu’on s’y attarde:

Conservation ciblée et uniquement en matière de criminalité grave

Les points 147 à 151 de la décision précisent qu’il serait possible, dans le cadre du droit européen, de prévoir la conservation ciblée des données relatives au trafic et des données de localisation aux fins de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, tout comme aux fins de la sauvegarde de la sécurité nationale.

Ce ciblage recouvrirait les « catégories de données à conserver, les moyens de communication visés, les personnes concernées ainsi que la durée de conservation retenue ».

Ce qui est décrit relève donc d’un acte d’investigation ou de surveillance, mais a fortiori pas de mesures « préventives » comme l’indique la Cour, puisque cela suppose d’avoir – au moment où la mesure est ordonnée – des éléments sur les personnes visées et les moyens de communication utilisés.

En outre, cette reprise d’une distinction entre criminalité grave et d’autres formes de délinquance, présente dans des décisions précédentes de la Cour, se heurte notamment au fait que toutes les infractions commises, qui nécessitent des investigations sur les moyens de communication, ne relèvent pas de la criminalité dite grave. C’est le cas en particulier des infractions intégralement commises sur un moyen de communication électronique: que penser des infractions de l’article 24 de la loi sur la liberté de la presse punies d’un an de prison (provocation à la haine ou à la discrimination) ou le harcèlement par un moyen de communication électronique de l’article 222-16 du code pénal puni lui aussi d’un an d’emprisonnement ? On pourrait aussi citer parmi les nombreux exemples le délit de diffusion de fausse information (article 322-14 du code pénal) dans le but de faire croire qu’une destruction, une dégradation ou une détérioration dangereuse pour les personnes va être ou a été commise, puni de deux ans d’emprisonnement.

On notera enfin, qu’il n’existe à ce jour, aucune définition officielle, aucune liste de critères permettant de définir ce qui relèverait de la criminalité grave telle que l’entend la CJUE dans ses décisions, renvoyant à la sagesse des législateurs. On peut toutefois par exemple citer la Convention de Palerme, convention des Nations unies de lutte contre le crime transnational organisé, qui précise en son article 2 b) « L’expression “infraction grave” désigne un acte constituant une infraction passible d’une peine privative de liberté dont le maximum ne doit pas être inférieur à quatre ans ou d’une peine plus lourde; ». Cela recouvre un plan très large des délits définis dans notre code pénal. En tout état de cause, si on applique immédiatement cette décision de la CJUE plus aucune enquête pour ces criminalités « non graves » sur Internet ne pourrait avoir lieu, or comme nous le rappelait avant-hier Mathieu Audibert, « la recherche des auteurs d’infractions est nécessaire à la sauvegarde de principes et droits de valeur constitutionnelle ».

Conservation de l’adresse IP et des identités civiles

Dans la section suivante, aux points 152 à 160, la Cour distingue de façon bizarre la question de la conservation des adresses IP de connexion et celle des identités des utilisateurs des services. Elle conclut en effet que les adresses IP ne pourraient être conservées que pour les besoins liées à la criminalité grave, tandis que les identités civiles pourraient être conservées (aux fins d’identifier l’utilisateur d’un terminal) y compris pour des enquêtes sur des faits de moindre gravité.

Or, si aucun lien n’est fait entre l’équipement terminal (et donc l’usager) et l’adresse IP utilisée à un instant t, la conservation des données sur l’identité civile n’apporte rien à l’enquête judiciaire sur Internet.

En pratique, il convient d’attendre la décision que prendra le Conseil d’Etat pour ces affaires. Il se pourrait en outre que l’arrêt de la CJUE soit le support de recours devant les juridictions quant aux moyens de preuve utilisés actuellement dans de nombreuses affaires judiciaires. Pour moi, et encore une fois je m’exprime ici à titre personnel, il n’y a qu’une conclusion possible à ce débat qui date de l’abrogation de la directive 2006/24/CE en 2014: il est nécessaire, comme nous y appelait déjà François Molins, procureur général près la Cour de cassation en avril 2019, de clarifier urgemment la rédaction des directives 2000/31/CE et 2002/58/CE, et parvenir à un texte européen harmonisant le cadre de la conservation des données indispensables aux enquêtes judiciaires, y compris en rentrant dans le détail des critères minimum permettant de protéger les droits fondamentaux. 

Décret d’application de la LCEN sur la conservation des données par les FAI et hébergeurs

Le 1er mars 2011 était publié au Journal officiel le Décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne. Il s’agit notamment de préciser les mesures prévues par l’article 6, dans son paragraphe II, de la loi pour la confiance dans l’économie numérique du 21 juin 2004 (implémentant elle-même en droit français les dispositions de la directive européenne 2000/31/CE).

Ce texte comprend deux chapitres principaux. Le premier vient préciser les données à conserver par les fournisseurs d’accès et les hébergeurs pour permettre l’identification des personnes qui ont contribué à la création d’un contenu sur un service de communication au public en ligne. Le second précise les modalités d’accès à ces informations dans le cadre des enquêtes administratives relatives à la prévention des actes de terrorisme. Il s’agit dans ce dernier cas d’une extension à ce contexte des dispositions existant déjà pour l’accès aux données détenues par les opérateurs de communications électroniques au titre de l’article L34-1 du code des postes et communications électroniques.

Ces données ont vocation à être accédées dans le cadre d’une réquisition judiciaire, ou d’une demande administrative prévue par la loi. On rappellera que pour l’enquête pénale, les demandes judiciaires sont notamment encadrées par les articles 60-1 et 60-2 du code de procédure pénale.

Au contraire de l’article L34-1 du code des postes et communications électroniques, il n’était pas demandé ici au pouvoir réglementaire de préciser les catégories de données qui doivent être conservées, mais de façon plus précise les données qui sont concernées par cette obligation. Ainsi, on se retrouve avec un texte à la fois plus précis que le décret portant plus généralement sur les opérateurs – cf. articles R.10-12 à R.10-22 du code des postes et communications électroniques (et qui concerne donc aussi les fournisseurs d’accès à Internet), mais difficile à comparer. On notera toutefois au passage que la durée de conservation a été uniformisée dans les deux cas à un an.

Les exemples et les précisions que je donne ici ne représentent que mon point de vue personnel sur ce texte, ils ne sauraient évidemment engager une juridiction sur son interprétation éventuelle. Toutefois, ces informations sont basées sur ma connaissance des pratiques en la matière, aussi bien du côté des prestataires techniques que des besoins des enquêteurs.

L’article 1 liste les données à conserver

Les termes utilisés dans le décret sont volontairement génériques et cherchent à maintenir une certaine neutralité technologique. L’objectif est bien dans tous les cas de contribuer à l’identification de la personne ayant publié un contenu donné.

– Pour les personnes fournissant un accès à Internet :

  • L’identifiant de la connexion (en pratique une adresse IP) ;
  • L’identifiant attribué par ces personnes à l’abonné (selon les FAI il s’agira d’un identifiant de connexion, d’un pseudonyme choisi par l’utilisateur, d’un identifiant de carte SIM ou d’un numéro de téléphone) ;
  • L’identifiant du terminal utilisé pour la connexion lorsqu’elles y ont accès (l’adresse MAC de l’équipement par exemple) ;
  • Les dates et heure de début et de fin de la connexion (cette notion est superflue pour les FAI qui ne gèrent pas de sessions de connexion) ;
  • Les caractéristiques de la ligne de l’abonné (s’il s’agit d’une connexion par ADSL, par appel téléphonique RTC grâce à un modem, via un point d’accès Wifi, etc.) ;

Selon les configurations, il n’y a pas de sessions mais des accès permanents possibles pendant toute la durée de l’abonnement, dans ce cas les dates et heures de début et de fin n’ont pas de sens. En revanche, un FAI peut autoriser des modes de connexion différents pour un même abonné. Et par exemple, un même abonné pourrait se connecter de chez lui en ADSL (sans forcément de notion de début et de fin de session) et accéder ponctuellement via des points d’accès Wifi, avec une authentification et des débuts et fins de sessions.

– Pour les hébergeurs et pour chaque opération de création :

Rappelons que les hébergeurs sont, selon la loi pour la confiance dans l’économie numérique, « les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services ».

  • L’identifiant de la connexion à l’origine de la communication (adresse IP d’origine, ou toute autre information pertinente – dans une structure intégralement gérée par un opérateur de téléphonie mobile il pourrait envisager d’utiliser le numéro de téléphone mobile ou le numéro IMSI de son abonné qui publie des informations sur un site géré par le même opérateur) ;
  • L’identifiant attribué par le système d’information au contenu, objet de l’opération (une référence d’article ou de commentaire, l’URL ou la position dans une arborescence d’une page Web, la référence d’une petite annonce, etc.) ;
  • Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus (accès via l’interface Web, via un accès FTP, par envoi de SMS ou MMS, etc.) ;
  • La nature de l’opération (création, modification ou suppression) ;
  • Les date et heure de l’opération ;
  • L’identifiant utilisé par l’auteur de l’opération lorsque celui-ci l’a fourni (si par exemple, la personne utilise un pseudonyme pour se connecter ou une adresse de courrier électronique, qu’il y ait une authentification ou une simple déclaration) ;

– Dans les cas où il y a un contrat, ou la création d’un compte auprès du fournisseur d’accès ou de l’hébergeur, et dans la mesure où ces données sont collectées :

  • Au moment de la création du compte, l’identifiant de cette connexion (par exemple, l’adresse IP depuis laquelle la personne se connecte pour créer son compte) ;
  • Les nom et prénom ou la raison sociale ;
  • Les adresses postales associées ;
  • Les pseudonymes utilisés ;
  • Les adresses de courrier électronique ou de compte associées ;
  • Les numéros de téléphone ;
  • Le mot de passe (si le système utilisé stocke le mot de passe en clair) ainsi que les données permettant de le vérifier (hashs ou autres techniques permettant de stocker de façon sécurisée un mot de passe) ou de le modifier, dans leur dernière version mise à jour ;

– Dans les cas où des opérations de paiement sont réalisées dans le cadre du service offert par le fournisseur d’accès ou l’hébergeur, et pour chaque opération de paiement :

  • Le type de paiement utilisé ;
  • La référence du paiement ;
  • Le montant ;
  • La date et l’heure de la transaction.

L’article 2 précise ce qui constitue une opération de création de contenu

« La contribution à une création de contenu comprend les opérations portant sur :

  • a) Des créations initiales de contenus ;
  • b) Des modifications des contenus et de données liées aux contenus ;
  • c) Des suppressions de contenus. »

L’article 3 fixe la durée de conservation

La durée de conservation de ces informations est fixée à un an à partir de chaque connexion ou contribution à un contenu. Pour la fiche reprenant les informations personnelles du compte ou du contrat, elles doivent être conservées un an après la clôture de ce compte.

L’article 4 précise les conditions de conservation

Il est rappelé que leur sensibilité justifie des mesures de sécurité proportionnées, conformément à l’article 34 de la loi informatique et libertés.

Les conditions de conservation doivent aussi permettre de répondre « dans les meilleurs délais » aux demandes de l’autorité judiciaire.

Conclusion

Dans la très large partie des cas, ce texte ne change rien aux pratiques existantes de la part des professionnels ou des plateformes d’hébergement y compris basées sur des logiciels libres. Pour les fournisseurs d’accès à Internet, ce sont exactement les mêmes données qu’ils conservent déjà dans le cadre de l’application de l’article L34-1 du code des postes et communications électroniques, formulées de façon différente parce que répondant à une législation distincte et des objectifs qui ne sont pas exactement les mêmes.

Pour les hébergeurs, il s’agit d’une clarification bienvenue sur ce qui pourrait leur être demandé, chacun étant concerné par les données qu’il collecte lui-même.

Ainsi, dans les situations complexes où plusieurs acteurs interviennent dans le processus d’hébergement, il leur revient de fixer – éventuellement par le biais de contrats – les responsabilités des uns et des autres et d’être en mesure d’indiquer aux autorités susceptibles de les requérir le bon interlocuteur. Par exemple, un blog et ses commentaires, même s’il est sous la responsabilité de son titulaire, peut être administré sur le plan technique par une plateforme hébergeant des milliers de blogs différents. C’est bien à elle que revient la responsabilité de conserver ces données et de répondre aux réquisitions.

Dans le cas où une personne, une entreprise, une association loue un serveur et l’administre elle-même auprès d’un « grand » hébergeur, il lui revient de le configurer (ou de le faire configurer par un prestataire) de façon à conserver les bonnes informations lorsqu’elle y installera un forum ou la possibilité de poster des commentaires. Le « grand » hébergeur évoqué ici a en revanche l’obligation de disposer des coordonnées de la personne à laquelle il loue le serveur, et éventuellement les informations de paiement.

D’ores et déjà, dans ces situations et dans la plupart des cas, les enquêteurs parviennent déjà très facilement à identifier le bon interlocuteur.