Avis n° 2008-0227 en date du 13 mars 2008 sur le projet de décret relatif à la conservation des données de nature à permettre l'identification de toute personne physique ou morale ayant contribué à la création d'un contenu mis en ligne et sur le projet de décret portant modification du code de procédure pénale et relatif à la tarification des réquisitions aux opérateurs et autres prestataires de communications électroniques

Version initiale


L'Autorité de régulation des communications électroniques et des postes,
Vu la directive 97/66/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications ;
Vu la directive 2002/58/CE du Parlement européen et du Conseil en date du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ;
Vu le code des postes et des communications électroniques, notamment ses articles L. 33-1, L. 35-6 et L. 36-5 ;
Vu le code pénal ;
Vu le code de procédure pénale, notamment ses articles 100, 100-3, 800, 800-1 et R. 92 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu la loi n° 91-646 du 10 juillet 1991 relative au secret des correspondances émises par voie des communications électroniques ;
Vu la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, et notamment ses articles 6, 57 et 58 ;
Vu la saisine pour avis du ministre de la justice en date du 24 septembre 2007 ;
Après en avoir délibéré le 13 mars 2008,



  • I. ― Contexte juridique


    A titre liminaire, il convient de rappeler que, conformément aux dispositions de l'article L. 33-1-I (e) du code des postes et des communications électroniques, « l'établissement et l'exploitation des réseaux ouverts au public et la fourniture au public de services de communications électroniques sont soumis au respect de règles portant sur les prescriptions exigées par l'ordre public, la défense nationale et la sécurité publique, notamment celles qui sont nécessaires à la mise en œuvre des interceptions justifiées par les nécessités de la sécurité publique, ainsi que les garanties d'une juste rémunération des prestations assurées à ce titre ».
    Aux termes de l'article 6-II de la loi n° 2004-575 du 21 juin 2004, « Les personnes mentionnées aux 1 et 2 du I détiennent et conservent les données de nature à permettre l'identifaction de quiconque a contribué à la création du contenu ou de l'un des contenus des services dont elles sont prestataires. [...]
    L'autorité judiciaire peut requérir communication auprès des prestataires mentionnés aux 1 et 2 du I des données mentionnées au premier alinéa.
    Les dispositions des articles 226-17, 226-21 et 226-22 du code pénal sont applicables au traitement de ces données ».
    Il résulte des 1 et 2 de l'article 6-I de la loi précitée que les personnes concernées par la détention et la conservation des données de nature à permettre l'identification de quiconque a contribué à la création d'un contenu sont :
    ― « Les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne » ;
    ― et « Les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature ».
    Aux termes des articles 6-II et 6-II bis de la loi n° 2004-575 du 21 juin 2004, « L'autorité judiciaire peut requérir communication auprès des prestataires mentionnés aux 1 et 2 du I des données mentionnées au premier alinéa » du même article, tout comme « les agents individuellement désignés et dûment habilités des services de police et de gendarmerie nationales » spécialement chargés de la lutte contre le terrorisme.
    Selon les dispositions de l'article 6-VI de la loi précitée, sont sanctionnées pénalement les personnes exerçant l'une des activités définies aux 1 et 2 de l'article 6-I, qui n'ont pas conservé les éléments d'information visés au II du même article ou qui n'ont pas déféré à la demande d'une autorité judiciaire d'obtenir communication desdits éléments.
    Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, définit les données mentionnées au premier alinéa de l'article 6-II susvisé et détermine la durée et les modalités de leur conservation.
    De même, les modalités d'application des dispositions de l'article 6-II bis précité sont également fixées par décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés et de la Commission nationale de contrôle des interceptions de sécurité, et précise notamment la procédure de suivi des demandes et les conditions et durée de conservation des données transmises.
    Ainsi, le ministre de la justice a, par une lettre du 24 septembre 2007, saisi pour avis l'Autorité de régulation des communications électroniques et des postes sur deux projets de décrets qui visent à préciser les règles applicables en matière de conservation des données de nature à permettre l'identification de toute personne ayant contribué à la création d'un contenu mis en ligne.


    II. ― Analyse de l'Autorité


    1. Sur le projet de décret portant application de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique et relatif à la conservation des données de nature à permettre l'identification de toute personne physique ou morale ayant contribué à la création d'un contenu mis en ligne.
    1.1. Sur les dispositions du chapitre Ier du projet de décret relatives à la conservation des données et portant application du II de l'article 6 de la loi du 21 juin 2004.
    Présentation des dispositions du chapitre Ier de ce projet de décret :
    Le projet de décret soumis pour avis à l'Autorité énumère, dans son article 1er, la liste limitative des données qui doivent être conservées par les personnes mentionnées aux 1 et 2 du I de l'article 6 de la loi précitée.
    Le deuxième alinéa de l'article 1er de ce projet de décret vient préciser que certaines données ne sont conservées que si elles sont habituellement collectées par les personnes mentionnées aux 1 et 2 du I de l'article 6.
    Le dernier alinéa de l'article 1er de ce projet de décret vient définir la notion de « contribution à une création de contenu » en indiquant que cela concerne les opérations portant sur la création initiale de contenus, les modifications des contenus eux-mêmes et des données liées aux contenus, mais aussi les suppressions de contenu.
    L'article 2 de ce projet de décret vient quant à lui fixer la durée de conservation des données à un an et fixer notamment le point de départ de ce délai en fonction de la nature des données.
    Enfin, l'article 3 de ce projet de décret vient rappeler la nécessité de respecter les dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, et notamment à travers les dispositions de l'article 34 de cette loi qui portent sur les précautions utiles à prendre pour préserver la sécurité des données et empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Cet article 3, dans son dernier alinéa, vient préciser que la conservation doit s'effectuer dans des conditions garantissant une extraction dans les meilleurs délais pour répondre aux demandes des autorités judiciaires.
    Analyse de l'Autorité :
    A titre liminaire, l'Autorité relève que les notions de « création du contenu » ou de « l'un des contenus des services dont elles sont prestataires » ne sont aucunement définies, ce qui laisse aux personnes chargées de la conservation des données la responsabilité de définir elles-mêmes l'étendue des données qu'elles doivent conserver.
    Eu égard à l'évolution des usages de l'internet, à l'absence notamment de la définition de la notion de création de contenu, à la large définition de la création (création initiale, modification et suppression) et aux sanctions pénales attachées à la non-conservation des données, l'Autorité note qu'il appartiendra aux personnes mentionnées à l'article 6-I de la loi du 21 juin 2004 de conserver une quantité exponentiellement croissante de données, ce qui risque de rendre les dispositions de ce projet de décret difficilement applicables tant pour des raisons techniques que financières.
    Concernant la liste des données dont la conservation est prévue au titre des dispositions de l'article 1er du projet de décret, l'Autorité tient à rappeler que les dispositions de l'article 6 de la loi du 21 juin 2004 ont pour unique objet de permettre l'identification des personnes physiques ou morales ayant contribué à la création d'un contenu en ligne et que, par conséquent, seules les données ayant un lien direct avec cet objet doivent pouvoir donner lieu à une conservation.
    L'Autorité, au regard de la liste des données prévue par l'article 1er, ne peut que s'interroger sur la finalité de certaines d'entre elles. En effet, certaines données n'ont que peu de rapport ou même aucun avec l'identification de la personne ayant créé un contenu. Il en est ainsi notamment des données suivantes :
    ― les caractéristiques de la ligne de l'abonné ;
    ― la nature de l'opération ;
    ― mot de passe ou données permettant de le vérifier ou de le modifier ;
    ― ou encore certaines données relatives au paiement.
    En outre, l'Autorité relève à ce stade que la durée de conservation des données susceptibles d'être conservées coïncide exactement avec celle rendue obligatoire en application de l'article L. 34-1 du code des postes et des communications électroniques.
    L'Autorité relève l'absence de disposition financière relative à la prise en charge par l'Etat des dépenses étrangères aux activités des personnes mentionnées aux 1 et 2 du I de l'article 6 de la loi du 21 juin 2004 et résultant en particulier des nécessités de la sécurité publique, du concours apporté à la sauvegarde de l'ordre public, dans l'intérêt général de la population.
    L'Autorité tient à souligner que, conformément à la décision du Conseil constitutionnel n° 2001-441 DC du 28 décembre 2000, les coûts que représente pour les opérateurs le concours apporté à la sauvegarde de l'ordre public ne sauraient leur incomber directement dès lors que les dépenses qui en résultent sont étrangères à l'activité d'exploitation des réseaux et de fourniture de services. Par extension, il en est de même pour les hébergeurs.
    L'Autorité note que le projet de décret n'envisage aucunement les modalités d'une juste rémunération des opérateurs en distinguant les montants d'indemnisation des surcoûts selon que les données dont la communication est requise sont conservées par les personnes concernées au titre de la relation contractuelle avec son client ou selon qu'elles sont conservées pour satisfaire aux prescriptions exigées par les dispositions de l'article L. 6 de la loi précitée.
    Seule est envisagée, selon le rapport, une indemnisation pour chaque réquisition, ce qui correspondra aux frais correspondant à la fourniture des données détenues et conservées par les personnes visées aux 1 et 2 du I de l'article 6 de la loi. Cependant, rien ne semble envisagé pour les frais relatifs aux investissements nécessaires pour assurer la conservation et le stockage des données.
    L'Autorité relève enfin que le projet de décret ne prévoit pas de délai pour permettre aux personnes concernées d'adapter leurs infrastructures et leurs outils informatiques en vue de satisfaire aux obligations qu'il prévoit et ainsi d'être en mesure de répondre aux demandes des autorités judiciaires et des personnes habilitées. Ainsi, dès la publication du projet de décret et au regard des dispositions de son article 6-VI, lesdites personnes risquent d'être poursuivies pénalement.
    De plus, les informations que n'aurait pas conservées la personne durant l'année précédant l'entrée en vigueur du présent décret ne pourront être communiquées et il est fort probable que certaines des données listées dans les points 1 et 2 de l'article 1er du projet de décret ne soient pas à ce jour conservées par certaines des personnes mentionnées dans le I de l'article 6 de la loi du 21 juin 2004.
    L'Autorité recommande donc l'instauration d'un délai au terme duquel les personnes devront être en mesure de répondre aux demandes de l'autorité judiciaire et des personnes habilitées.
    1.2. Sur les dispositions du chapitre II du projet de décret relatives à la conservation des données et portant application du II bis de l'article 6 de la loi du 21 juin 2004.
    Présentation des dispositions du chapitre II de ce projet de décret :
    Ce chapitre prévoit les modalités des demandes administratives, et notamment les personnes pouvant formuler des demandes.
    Ainsi, les articles 4 à 6 du projet de décret viennent définir les modalités de désignation des personnes susceptibles de formuler des demandes administratives et le formalisme à respecter pour une demande. Il est notamment prévu le traitement des demandes par la personnalité qualifiée mentionnée à l'article L. 34-1-1 du code des postes et des communications électroniques ainsi que l'archivage de ces demandes.
    L'article 7 du projet de décret vient préciser le formalisme des demandes approuvées pour la communication de ces dernières aux personnes visées aux 1 et 2 du I de l'article 6 de la loi du 21 juin 2004.
    Il renvoie par ailleurs à une convention ou, à défaut, à un arrêté pour ce qui est de la définition des modalités de la transmission des informations entre le demandeur et les personnes visées aux 1 et 2 du I de l'article 6 de la loi suscitée.
    Cet article prévoit également que lesdites personnes transmettent sans délai les données demandées à l'auteur de la demande.
    Il fixe enfin à trois ans la durée de conservation des données par les autorités habilitées.
    L'article 8 du projet de décret organise le contrôle opéré par la Commission nationale de contrôle des interceptions de sécurité.
    L'article 9 du projet de décret a pour objet de rappeler le principe du remboursement par l'Etat des surcoûts identifiables et spécifiques supportés par les personnes visées aux 1 et 2 du I de l'article 6 de la loi sus-citée pour la fourniture des données prévue par l'article 6-II bis et de renvoyer à un arrêté le soin de définir des tarifs et les modalités de remboursement.
    Analyse de l'Autorité :
    L'Autorité relève dans les dispositions de l'article 7 du projet de décret que les personnes visées aux 1 et 2 du I de l'article 6 de la loi du 21 juin 2004 auront l'obligation de communiquer des données sans délai à l'auteur de la demande.
    Au regard des recherches que suppose le traitement d'une demande, l'Autorité s'interroge sur la notion de sans délai, d'autant qu'au sein de l'article 3 du même projet de décret il est fait état des meilleurs délais.
    Dans un souci de cohérence et de simplification, l'Autorité serait favorable à une harmonisation des notions et dans un souci de réalisme opterait pour la notion de meilleurs délais.
    L'Autorité, ainsi qu'elle l'a rappelé ci-dessus, tient à ce que, conformément à la décision du Conseil constitutionnel précitée, les coûts que représente pour les opérateurs et les hébergeurs le concours apporté à la sauvegarde de l'ordre public ne leur incombent pas dès lors que les dépenses qui en résultent sont étrangères à l'activité d'exploitation des réseaux et de fourniture de services.
    Ainsi, en ne prévoyant que pour la fourniture des données le remboursement des surcoûts identifiables et spécifiques supportés par les personnes mentionnées aux 1 et 2 du I de l'article 6 de la loi du 21 juin 2004, le projet de décret semble exclure le remboursement des investissements en matériel de stockage et les développements informatiques associés et aller à l'encontre de la décision précitée.
    2. Sur le projet de décret portant modification du code de procédure pénale et relatif à la tarification des réquisitions aux opérateurs et autres partenaires de communications électroniques.
    Présentation des dispositions du projet de décret :
    Le projet de décret ayant pour objet la modification de la deuxième partie du code de procédure pénale vient introduire dans les articles R. 92 et R. 213-1 la notion d'« autres prestataires de communications électroniques » afin de pouvoir permettre le remboursement des frais occasionné par les demandes formulées par l'autorité judiciaire en application des dispositions de l'article 6-II de la loi du 21 juin 2004.
    Analyse de l'Autorité :
    L'Autorité relève que la notion d'« autres prestataires de communications électroniques », utilisée à plusieurs reprises dans le projet de décret, n'est définie par aucun texte et qu'il serait plus approprié de parler des personnes mentionnées aux 1 et 2 de l'article 6-I de la loi du 21 juin 2004.
    De même, l'Autorité propose de modifier le titre de la section XI du chapitre II afin de supprimer toute référence à la notion d'« autres prestataires de communications électroniques » en lui substituant la rédaction suivante : « Des frais relatifs à la conservation des données dans le secteur des communications électroniques ».


    Remarques finales


    Outre les problèmes d'applicabilité des dispositions du décret sus-évoqués, l'Autorité relève qu'aucun délai n'est prévu pour la mise en œuvre du projet de décret relatif à la conservation des données permettant l'identification des personnes ayant contribué à la création d'un contenu en ligne. En conséquence, il conviendrait de fixer un délai commençant à courir à la publication de ces textes au Journal officiel de la République française et à l'expiration duquel les personnes concernées par la conservation des données auront l'obligation d'être en mesure de répondre aux demandes tant judiciaires qu'administratives. Il convient en effet de laisser le temps raisonnable pour la mise en place des outils.
    Le présent avis sera transmis au ministre de la justice et publié au Journal officiel de la République française.
    Fait à Paris, le 13 mars 2008.


Le président,
P. Champsaur

Extrait du Journal officiel électronique authentifié PDF - 274 Ko
Retourner en haut de la page