Délibération 01-018 du 3 mai 2001

Commission Nationale de l'Informatique et des Libertés
Délibération n°01-018 du 3 mai 2001
Délibération portant avis sur le projet de loi sur la société de l'information
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés,

Saisie pour avis par le garde, des Sceaux et le secrétaire d'Etat à l'Industrie, le 30 mars 2001, du projet de loi sur la société de l'information.

Vu la Convention européenne de sauvegarde des droits de l'Homme et des libertés fondamentales du 4 novembre 1950 ;

Vu la Convention 108 du 28 janvier 1981 du conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel.

Vu la directive européenne 95/46 du 24 octobre 1995 relative à la protection des données à caractère personnel et à la libre circulation de ces données ;

Vu la directive européenne n° 97/66 du 15 décembre 1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, pris ensemble le décret d' application du 17 juillet 1978,

Après avoir entendu M. Michel Gentot, en son rapport et M. Michel Capcarrère, commissaire-adjoint du Gouvernement, en ses observations,

EMET L'AVIS SUIVANT

Le projet de loi sur la société de l'information aborde plusieurs sujets concernant internet qui correspondent aux débats de fond que le développement du réseau suscite depuis plus années dans l'ensemble des pays développés.

La CNIL se réjouit que ces débats puissent être tranchés, grâce à cette initiative législative destinée à adapter les règles de notre droit à la société de l'information, par le Parlement.

Elle rappelle que l'un des premiers débats qu'Internet a provoqués tenait à l'interrogation sur la portée ou l'efficacité de l'application d'une législation nationale à un réseau international. Aussi, souhaite-t-elle souligner que, dans le domaine de compétence qui est le sien, deux directives européennes (la directive du 24 octobre 1995 sur la protection des données personnelles et la libre circulation de ces données et la directive du 15 décembre 1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications) ont établi un socle de principes communs à l'ensemble des Etats membres de l'Union européenne, applicables à Internet. Plusieurs pays tiers se sont d'ailleurs, depuis lors, largement inspiré de ces principes, soit en adoptant des dispositions législatives destinées à assurer la protection des données personnelles, soit en développant des mécanismes d'auto-régulation poursuivant la même fin, lorsque le recours à de tels moyens d'agir correspondait davantage à leur manière de faire.

Ainsi, la protection des données personnelles et de la vie privée, qui faisait encore figure, d'exception au moment de l'adoption de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés est devenue la règle commune en Europe. En outre, les préoccupations que l'usage grand public ou commercial du réseau ont par ailleurs suscitées, à peu près dans les mêmes termes partout dans le monde, ont fait d'Internet un puissant vecteur de transmission de la culture européenne de protection des données personnelles. Aussi la CNIL est-elle très attentive aux choix auxquels le projet de loi procède et qui auront à n'en pas douter, un écho particulier compte tenu de l'influence française en ce domaine.

La Commission croit à cet égard devoir souligner que sous des abords qui peuvent paraître techniques, plusieurs dispositions de ce projet touchent à des sujets qui excèdent très largement les spécificités de la technologie et qui concernent l'ensemble de nos concitoyens.

Ainsi en est-il tout particulièrement pour l'usage, policier ou commercial, qui peut être fait de données personnelles qui relèvent par nature de notre vie privée et qui sont traditionnellement protégées par le secret de nos correspondances, le secret des choix audiovisuels ou l'inviolabilité de notre domicile. Il en est de même pour la diffusion d'une information personnelle sur le réseau international qui concerne non seulement les internautes mais toute personne dont le nom figure sur le net.

En effet, les protocoles de communication utilisés par Internet produisent des "traces" sur notre comportement ou nos habitudes qui sont détenues par des tiers, intermédiaires techniques, tels que les opérateurs de communication, les fournisseurs d'accès et les hébergeurs de sites. Le volume des fichiers ainsi constitués et les possibilités d'exploitation des informations qu'ils comportent sont sans précédent. Aussi la question de l'utilisation qui peut être faite de telles données est-elle d'abord un débat sur la liberté dans une société numérique. Ce débat met naturellement en jeu, voire en conflit, non seulement les nécessités d'ordre public et le respect de la vie privée mais aussi la liberté du commerce et de l'industrie, ses exigences et les limites qu'imposent les capacités inédites de "ciblage, de "profilage et de "pistage".

La capacité de diffusion des informations sur le réseau est également sans précédent. On ne peut que se réjouir de l'élargissement considérable du périmètre de la liberté d'information et de l'accès aux savoirs qui en résulte. Cependant la technologie n'est pas neutre : il n'y a pas de commune mesure entre l'affichage d'un document à la porte d'un tribunal ou d'une mairie et sa diffusion sur Internet. Avec Internet, toute information diffusée en clair devient accessible depuis quelque endroit du monde que ce soit, sans que la profusion des informations disponibles ne constitue même une limite puisque les moteurs de recherche permettent de la retrouver dans l'instant. Cette possibilité technique de diffuser, dupliquer, récupérer, à l'échelle du monde, toute information disponible sur le réseau renouvelle sans doute les termes du débat sur la portée des mesures de publicité qui doivent entourer certaines informations lorsque ces dernières revêtent un acte nominatif. C'est la raison pour laquelle, au-delà de l'avis que le Gouvernement a, en particulier, demandé à la Commission sur les dispositions du projet relatives à la publicité non sollicitée et à la conservation des données de connexion, la CNIL fera part de ses réflexions sur les dispositions du Titre 1er du projet relatives à l'accès à l'information.

Possibilités nouvelles d'exploitation des traces informatiques sur nos activités, possibilités sans précédent de diffusion de l'information à l'échelle mondiale : dans ces deux cas, la Commission estime que la recherche de l'intérêt général devrait s'inspirer d'une exigence de retenue. Les possibilités d'intrusion de la vie privée n'étant, désormais, nullement limitées par la technologie qui, bien au contraire, les facilite à un degré jusqu'alors jamais atteint, cette exigence pourrait clairement signifier que les autorités de l'Etat mais aussi les professionnels concernés ne s'autoriseront pas à faire tout ce que permet la technologie. Loin de toute "diabolisation" d'Internet, cette retenue devrait être perçue comme le prolongement naturel du principe de proportionnalité.

Dans cet esprit, la Commission se félicite que le principe de la liberté d'utilisation des moyens de cryptologie, y compris lorsque ces derniers recouvrent une fonction de confidentialité, soit consacré par la future loi, une telle mesure étant incontestablement décisive pour assurer la confiance.

En conséquence, les observations de la Commission porteront successivement sur les problèmes liés à la conservation des données de connexion, la publicité par la voie électronique, l'accès aux données publiques et l'accès aux archives publiques.

CONSERVATION DES DONNEES DE CONNEXION (articles 17, 18 et 19 du projet de loi)

Le dispositif prévu

Le Titre II "De la liberté de communication en ligne" comporte un chapitre III, intitulé "L'effacement des données relatives aux communications", relatif à ce que l'on nomme communément, mais sous un vocable à coloration technique qui pourrait en dissimuler l'importance, les données de connexion, c'est-à-dire les informations qui sont produites ou nécessitées par la technologie, qu'il s'agisse de nos communications téléphoniques ou de nos connexions au réseau Internet.

Les informations relatives à l'usage que l'on fait du téléphone ou d'Internet sont de celles qui touchent le plus intimement à notre vie privée : les personnes que l'on appelle, quand d'où (avec le téléphone mobile), notre navigation sur Internet, les services que nous utilisons et les sites que nous consultons, l'heure exacte de nos communications ou de nos connexions, leur durée.

Cette matière est d'ailleurs si intimement liée à notre vie privée que les Etats membres de l'Union européenne ont estimé, au moment de l'ouverture à la concurrence du marché des télécommunications, qu'elle devait faire l'objet d'une réglementation spécifique et harmonisée. Tel est l'objet de la directive 97/66 du 15 décembre 1997 "concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications" que le projet de loi transpose dans notre ordre interne.

Le projet, qui vise les données de connexion dont disposent les opérateurs de téléphonie mais aussi les fournisseurs d'accès à Internet (1), pose le principe d'un effacement ou d'une anonymisation de "toute donnée technique relative à une communication lorsque celle-ci est achevée", transposant ainsi l'article 6 de la directive 97/66. Deux exceptions sont cependant ménagées pour prévoir, d'une part, que certaines données nécessaires à la facturation ou au paiement de prestations pourront être conservés jusqu'à la fin de la période au cours de laquelle la facture peut être légalement contestée, d'autre part et surtout, que certaines données pourront conservées pendant une durée maximale d'un an, "pour les besoins de la recherche et de la poursuite des infractions pénales et dans le seul but de permettre, en tant que de besoin, la mise à disposition de l'autorité judiciaire de ces données".

(1) Sont donc visés par ce texte les personnes physiques ou morales exploitant un réseau de télécommunications ouvert au public ou fournissant au public un Service de télécommunication c'est-à-dire fournissant toute prestation incluant la transmission ou l'acheminement des signaux ou une combinaison de ces fonctions par des procédés de télécommunication.

Le projet précise que les données qui seront conservées à de telles fins ainsi que, dans la limite prévue par la loi, leur durée de conservation seront précisées par décret en conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés, qu'en aucun cas ces données ne pourront porter sur le contenu des correspondances échangées ou des informations consultées, enfin que la conservation et le traitement de ces données devront s'effectuer dans le respect des dispositions de la loi du 6 janvier 1978.

Le dispositif tel qu'il est arrêté par le projet de loi appelle plusieurs observations.

Observation générale

En évoquant dans un même article, les données dont la conservation est justifiée par les nécessités de la facturation - ces données étant alors accessibles à la police judiciaire selon le droit commun - et celles dont la conservation, sans utilité pour l'internaute ou l'opérateur de télécommunication, sera prescrite par la loi à des fins exclusivement policières - c'est-à-dire, pris ensemble, le droit commun et l'exception - la présentation retenue par le projet de loi a pour effet d'estomper le caractère inédit du dispositif retenu. Cet effet ne peut qu'être renforcé par l'apparent parallélisme qui est établi entre les modalités de conservation des données dans les deux hypothèses, pourtant bien distinctes : référence, dans les deux cas, à une durée de conservation d'un an (2), renvoi, dans les deux cas, à un décret en conseil d'Etat pris après avis de la CNIL, référence commune aux dispositions de la loi du 6 janvier 1978.

Une telle présentation ne doit pas dissimuler les termes du débat important et légitime qui va être tranché par le législateur et qui concerne l'éventuelle utilisation par les services de police judiciaire des données liées à nos communications. L'enjeu est incontestablement d'importance à un moment où les pouvoirs publics souhaitent établir un cadre juridique suscitant la confiance pour l'entrée de la France dans la société de l'information.

(2) article L. 32-3-3 nouveau du code des postes et télécommunications, paragraphe II pour les données conservées à des fins de police, article L. 32-3-3 nouveau, paragraphe III et article L. 32-3-5 nouveau pour les données de facturation.

Si, selon une certaine approche, les potentialités d'Internet (rapidité des communications et volatilité des informations) nécessitent la mise en place de mesures particulières propres à éviter le développement par le réseau de certaines formes de délinquance ou d'atteintes aux droits des tiers, une autre approche consiste à soutenir qu'une technologie de communication et d'information ne doit pas déroger aux principes fondamentaux de l'Etat de droit qui méritent sans doute d'être adaptés aux spécificités d'Internet mais qui ne sauraient être considérés comme caducs par le seul effet de la nouveauté technologique.

Les termes de ce débat ne sont pas nouveaux, ni inédits en matière de nouvelles technologies. Ce fût d'ailleurs une des intuitions des législations de protection des données personnelles et de la vie privée, au premier rang desquelle figure la loi française du 6 janvier 1978 et la Convention du 18 janvier 1981 du Conseil de l'Europe pour la protection des données personnelles, que d'avoir prévu que l'informatisation de nos sociétés allait permettre la collecte, le stockage, la conservation et le traitement de données de plus en plus nombreuses sur nos comportements les plus intimes (l'usage d'une carte bancaire, la nature et le montant de nos achats, le lieu où l'on se trouve à tel moment, l'heure d'une connexion, le lieu d'où l'on passe un appel depuis un mobile, le passage à tel péage d'autoroute, etc.). Les nouvelles technologies contribuent à créer de nouveaux gisements de données qui constituent, pour la police, autant d'éléments de preuves aisément accessibles, lui offrant ainsi des possibilités d'investigation sans précédent.

Aussi, ayant pressenti que les capacités de stockage et de traitement de l'information pourraient se développer quasiment sans connaître de limites techniques - ce qui est précisément advenu - le législateur a t-il souhaité définir, dès les premiers balbutiements de la société numérique, des garanties destinées à prévenir toute rupture de l'équilibre entre les droits du citoyen et les prérogatives de l'Etat.

En subordonnant le traitement d'informations nominatives au principe de finalité (quelles données collectées et traitées et à quelles fins ?), en limitant la durée de conservation de ces données à ce que justifie la finalité des traitements en cause, en exigeant que les données conservées soient "pertinentes" et non "excessives" au regard de la finalité de la collecte et en imposant des mesures générales d'information des citoyens sur ces différents points, les lois de protection des données personnelles et de la vie privée ont décliné, à l'aube de la société de l'information, les principes fondamentaux de proportionnalité et de retenue qui avaient précédemment et successivement conduit l'Etat à s'interdire d'opérer des perquisitions de nuit au domicile d'un particulier, de saisir des objets ou des effets lui appartenant en enquête préliminaire sans son consentement exprès ou encore de le placer sous écoute téléphonique hors un cadre juridique rigoureux et dans certaines circonstances d'une gravité particulière dont l'appréciation est soumise au contrôle d'une autorité indépendante (l'autorité judiciaire pour les écoutes judiciaires, une autorité administrative indépendante pour les interceptions de sécurité).

Ces principes de protection des données personnelles n'ont nullement eu pour effet de priver la police de moyens d'action dans la mesure où, tout au contraire, ces derniers se sont développés, quasi mécaniquement, au fur et à mesure de l'informatisation de nos sociétés. C'est précisément la raison pour laquelle les législations de protection des données personnelles et de la vie privée ont posé le principe suivant: tant que des données personnelles sont conservées dans un traitement ou un fichier, elles demeurent accessibles à l'autorité judiciaire et à la police judiciaire. En revanche, sauf exception proportionnée et justifiée, des données à caractère personnel ne peuvent être conservées au-delà de ce que justifie la finalité de leur collecte ou de leur traitement initial.

Le projet de loi dérogeant à ces principes, le dispositif retenu mériterait d'être apprécié dans la plus grande clarté compte tenu des intérêts en cause.

Observations sur la conservation des données nécessaires à la facturation

S'agissant des opérateurs de téléphonie (fixé ou mobile), les données générées par nos communications (qui on appelle ? quand ? pendant combien de temps ? où ? d'où ?) sont fondamentalement liées à la facturation qui est d'ailleurs très largement déterminée par elles. Ces données sont évidemment particulièrement sensibles, mais nul ne met en cause la légitimité de leur conservation aussi longtemps que la facture peut être contestée. Sans doute la téléphonie mobile a-t-elle apporté une information supplémentaire par rapport aux informations "plus classiques" liées à la téléphonie fixe : notre localisation lorsque nous passons ou recevons un appel depuis un portable.

S'agissant de ceux des fournisseurs d'accès à Internet dont la tarification du service est liée à un forfait, les données dont la conservation est justifiée par nécessité de facturation sont plus limitées dans la mesure où le tarif des connexions à Internet est toujours celui d'une communication locale, quels que soient la distance du serveur auquel l'abonné se connecte, la nature du site Web consulté ou l'identité du destinataire d'un message électronique.

La CNIL a déjà appelé de ses voeux (3) une harmonisation de la durée de conservation de telles données. En effet, jusqu'à présent seul l'opérateur historique était tenu, en conséquence des dispositions de l'article L. 126 du code des P et T, de ne les conserver que pendant une durée d'un an, les règles de droit commun en matière de prescription des créances civiles autorisant les opérateurs entrants à conserver ces informations pendant le délai ordinaire de prescription, soit 5 ans, durée qui pouvait, à tous égards et compte tenu en particulier de la sensibilité des informations en cause, paraître tout à la fois excessive et susceptible de provoquer des atteintes injustifiées à la vie privée des personnes.

Aussi, la CNIL ne peut-elle qu'être favorable à ce que le projet de loi consacre le principe de finalité, principe cardinal de la protection des données personnelles et de la vie privée, en prévoyant que les opérateurs ne pourront conserver les données en cause pour les besoins de la facturation et du paiement des prestations que jusqu'à l'expiration de la période au cours de laquelle la facture peut être légalement contestée ou des poursuites engagées pour en obtenir le paiement et en fixant, pour tous les opérateurs, ce délai à un an. Il résultera d'un tel dispositif d'harmonisation un raccourcissement des durées de conservation actuellement pratiquées par certains opérateurs.

(3) dans une délibération du 27 janvier 2000 portant avis sur un avant projet de loi présenté par le secrétariat d'Etat à l'industrie portant diverses dispositions d'harmonisation communautaire, 20e rapport d'activité pour 1999, p. 113 sqq

S'agissant d'une éventuelle utilisation de ces données par les opérateurs souhaitant commercialiser leurs propres produits et services, la Commission prend également note avec satisfaction qu'un traitement de ces données à de telles fins ne pourra être entrepris qu'avec le consentement exprès des personnes. Cette disposition, que commande la transposition de l'article 6 de la directive 97/66 du 15 décembre 1997, renforcera les garanties jusqu'alors offertes aux usagers, le droit actuel ne distinguant pas entre ces données et des données plus "classiques" telles qu'un nom ou une adresse. En revanche, le texte proposé laisse entier le problème de savoir si un tel consentement, une fois acquis, autoriserait ou non l'opérateur à conserver les données de facturation au-delà de la durée d'un an. Ce point mériterait incontestablement d'être éclairci.

De même, la CNIL prend note avec satisfaction qu'en aucun cas de telles données ne pourront être utilisées pour le compte de tiers et qu'enfin la conservation et le traitement de ces données seront soumis aux dispositions de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

La Commission s'interroge toutefois sur la rédaction proposée pour l'article L. 32-3-3 nouveau paragraphe III du code des postes et télécommunications (article 17 du projet) qui évoque l'hypothèse d'une transmission de ces données de facturation à des tiers. Outre l'apparente contradiction entre une telle hypothèse et les garanties ci-dessus rappelées, une telle précision pourrait paraître sans réelle portée dans la mesure où la référence faite à la loi du 6 janvier 1978 suffit à autoriser une telle transmission dès lors qu'elle serait justifiée par la finalité de facturation ou de recouvrement.

En définitive, le principe d'une conservation des seules données nécessaires à la facturation, la fixation de la durée de conservation de ces données à un an, quel que soit l'opérateur, ainsi que le renvoi à un décret en conseil d'Etat pris après avis de la CNIL pour déterminer celles des données qui pourront être conservées à ce titre reçoivent l'approbation de la Commission.

Observations sur la conservation des données de connexion sans lien avec la facturation

L'enjeu

Il convient d'emblée de relever qu'en faisant obligation aux opérateurs de télécommunications de conserver des données de connexion dépourvues d'utilité pour la facturation, le projet de loi ne poursuit pas un objectif d'ordre public qui serait justifié par la nécessité d'identifier les auteurs de contenus illégaux ou attentatoires aux droits des tiers (sites pédophiles, négationistes, racistes, diffamatoires et autres). En effet, la loi du 1er août 2000 a déjà établi à la charge des hébergeurs de sites mais aussi des fournisseurs d'accès - visés ensemble par l'article 43-9 nouveau de la loi du 30 septembre 1986 - une obligation générale de "détenir et conserver les données de nature à permettre l'identification de toute personne ayant contribué à la création d'un contenu", dans des conditions et pour une durée qui doivent être précisées par un décret en conseil d'Etat pris après avis de la CNIL, les données ainsi conservées pouvant être requises par l'autorité judiciaire.

Le projet de loi sur la société de l'information est de portée beaucoup plus large puisqu'il concerne tous les internautes qui échangent des mails ou naviguent sur le Web, même s'ils ne créent aucun contenu accessible au public.

Certes, le projet précise que les données ainsi conservées "ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit". Mais cette rédaction, qui se borne à un constat exclusivement technique, si elle n'est pas inexacte pourrait cependant donner à penser que de telles données sont anodines. Or, elles ne le sont nullement dans la mesure où, comme Le précise le projet par ailleurs, elles portent notamment "sur l'identification des personnes utilisatrices des services fournis par l'opérateur de télécommunication".

Concrètement, il s'agit de faire obligation aux fournisseurs d'accès de conserver ce que l'on nomme les "adresses IP" des ordinateurs connectés aux services accessibles par Internet, adresses qui constituent l'équivalent d'un numéro minéralogique que le fournisseur d'accès attribue à l'ordinateur utilisé par l'abonné, soit de manière permanente, soit à chacune de ses connexions. La conservation de cette adresse IP permet d'identifier tout ordinateur connecté au réseau (et donc la personne physique titulaire de la ligne) et ses heures de connexion. Certes, à elle seule, la conservation de ces informations ne permet pas d'identifier l'activité de l'internaute.

Mais si le projet de loi prescrit la conservation de telles données, c'est précisément pour associer à un comportement sur Internet une identité précise. La technologie d'Internet (c'est-à-dire le protocole de communication entre ordinateurs distants) permet déjà à certains robots de récupérer l'ensemble des adresses IP des ordinateurs connectés ; la conservation des données de connexion par les fournisseurs d'accès permettra d'identifier individuellement leurs utilisateurs ou tout au moins la personne physique titulaire de la ligne. De même, le rapprochement des données devant être conservées par les fournisseurs d'accès avec celles dont la loi du 1er août 2000 a prescrit la conservation aux hébergeurs de site, permettrait d'identifier, non pas seulement les personnes ayant rendu un contenu accessible sur Internet, mais beaucoup plus généralement les internautes s'étant bornés à consulter tel ou tel site.

Ces quelques précisions techniques donnent la mesure de ce qui est en cause dans le projet de la loi : l'absolue et inédite transparence de notre activité d'internaute lorsque pourtant nous nous abstenons de mettre un contenu à la disposition du public via le réseau.

Les termes du débat

Nul ne paraît contester la nécessité de prévoir des mesures de précaution afin de lutter contre certaines formes de délinquance ou de criminalité sur le réseau, tout particulièrement en matière d'intrusion ou de propagation de virus informatique. Ce souci d'intérêt public nécessite, à n'en pas douter, la conservation par les fournisseurs d'accès des données de connexion. Mais c'est la portée des mesures à prévoir à cette fin et les garanties qui doivent les entourer qui font légitimement débat depuis plusieurs années entre les acteurs de la société de l'information et les pouvoirs publics dans l'ensemble des pays développés.

Compte tenu du caractère dérogatoire aux principes généraux de protection des données personnelles et de la vie privée et, de manière plus générale, des atteintes possibles au respect de la vie privée et des libertés individuelles qu'emporte la conservation à des fins exclusivement policières de données dépourvues d'utilité technique, une fois la connexion établie entre un internaute et son interlocuteur (qu'il s'agisse de la personne physique avec laquelle l'internaute communique par courrier électronique ou d'un serveur distant, support d'un site public d'information), la sagesse et le principe de proportionnalité que commande tout particulièrement l'article 6 de la Convention de sauvegarde des droits de l'Homme et des libertés fondamentales devraient présider au débat public que le projet de loi ne manquera pas de susciter.

Les intérêts en cause sont nombreux et de nature diverse.

S'agissant des impératifs de sécurité publique, ne sont pas en cause la prévention et la recherche des contenus illégaux accessibles au public (le dispositif légal institué par la loi du 1er août 2000 y répond déjà), mais celles des actes de délinquance que la communication par le réseau pourrait faciliter ou permettre.

Il est déjà possible aux autorités de l'Etat, dans les conditions prévues par la loi du 1er août 1991 relative au secret des correspondances émises par la voie des télécommumications, de procéder à des interceptions de communications sur Internet, comme elles peuvent le faire pour les communications téléphoniques, ce qui résulte d'ailleurs clairement de l'article 52 du projet de loi. De telles interceptions, placées sous le contrôle du juge ou d'une autorité indépendante, permettent déjà d'identifier les comportements délictuels ou criminels.

Le projet de loi n'a donc pas pour objet de rechercher un moyen de sustitution à une technique qui ne serait pas applicable à Internet - l'interception est possible sur Internet - mais à étendre les possibilités dont devraient disposer les autorités publiques, en ajoutant aux moyens traditionnels dont elles disposent déjà (les interceptions de communication), des moyens nouveaux que la technologie et les protocoles de communication permettent de mettre en oeuvre (le rapprochement et l'analyse des données de connexion).

S'il a pu être regretté par les autorités policières, dans tous les pays du monde, que certains fournisseurs d'accès ne conservent que durant quelques jours les données de connexion de leurs usagers, une telle situation ne doit pas faire perdre de vue le fait que la plupart des fournisseurs d'accès, en tout cas les plus importants, conservent, à des fins de sécurité informatique interne, les données de connexion de leurs abonnés pendant une durée de l'ordre de trois mois, ces données étant alors accessibles aux forces de police, dans le cadre des enquêtes judiciaires qu'elles diligentent. Imposer une obligation de conservation des données de connexion pendant un an, au motif que, jusqu'à présent et dans le silence de la loi, certains fournisseurs d'accès ne conservaient ces données que durant quelques jours pourrait paraître, sur le terrain des libertés individuelles et publiques, manquer de mesure.

Il convient de mettre en regard des impératifs d'intérêt public, qui méritent donc d'être nuancés, la liberté personnelle : celle de consulter un site internet sans avoir le sentiment d'être sous surveillance, celle de pouvoir adresser un message électronique, comme on adresse un courrier postal ou un appel téléphonique, non pas avec un sentiment particulier de liberté, tant celle-ci nous paraît acquise, mais sans calcul ni préoccupation. Le développement du minitel en France a suscité, en termes de libertés personnelles, des débats de même nature que ceux qui sont aujourd'hui abordés, s'agissant d'Internet. Ne convenait-il pas de se prémunir contre certains des usages "inconvenants" de la télématique, de veiller au respect de l'ordre public et d'une certaine civilité par les kiosques ? Le choix a pourtant été fait de ne pas lier la facturation à la nature des services offerts et de renoncer à installer une "mémoire vive" (4) dans les terminaux de sorte que la nature des services consultés par les usagers ne soit ni conservée, ni traitée. Et nul n'avance qu'en procédant ainsi l'Etat se serait désarmé face à certaines formes de délinquance. Il s'agissait, à l'heure d'une technologie jusqu'alors inédite, de s'en tenir aux principes fondamentaux de protection de la vie privée des services de personnes qui président également à l'accès aux services de communication audiovisuelle : en cette matière, le secret de ses choix, dans une société de libertés, devrait demeurer la règle et les exceptions très rigoureusement pesées.

Le dernier intérêt en cause, qui ne se situe pas sur le terrain des libertés mais qui mérite sans doute d'être évoqué, est celui des fournisseurs d'accès eux-mêmes, acteurs sans lesquels les connexions à Internet ne seraient pas possibles. Sans doute les contraintes d'une catégorie de professionnels ne sauraient-elles dicter ce que commande l'intérêt général. Cependant, c'est sur eux que pèsera, techniquement et financièrement, l'obligation de conserver pendant de longues durées les données dé connexion. Les estimations les plus sérieuses évaluent le nombre de pages Web consultées par jour, en France, à 4 ou 5 milliards. S'agissant des messages électroniques, l'Association des fournisseurs d'accès précise que les abonnés des professionnels qu'elle fédère auraient envoyé, pour la seule journée du 3 janvier 2001, 3.600.000 messages. De tels volumes donnent incontestablement la mesure de l'obligation qui leur serait faite s'ils étaient tenus de conserver pendant une durée d'un an trace de l'ensemble des connexions et du coût que représenterait, alors, la recherche de celles des données qui pourraient les cas échéant, être utiles, à une enquête. Il serait à craindre que le coût final d'une telle obligation soit reporté sur les internautes.

(4) cf. 6ème rapport d'activité de la CNIL, pour 1985, p. 66 à 68.

L'appréciation de la Commission

L'obligation faite aux fournisseurs d'accès de conserver à des fins de police trace des connexions qui, par recoupement avec d'autres données, peuvent dévoiler notre navigation sur le Web et, de manière plus générale, l'usage privé que l'on fait du réseau, déroge aux principes fondamentaux de protection des libertés individuelles. Dès lors, il convient que la loi édictant une telle obligation soit à la fois claire et précise et que le dispositif mis en oeuvre soit adapté et proportionné.

Or, le projet de loi renvoie au pouvoir réglementaire le soin de déterminer les données en cause et leur durée de conservation précise, dans la limite maximale d'un an. Certes, la rédaction du projet de loi sur ce point laisse penser que la durée de conservation finalement retenue pourrait être, dans certains cas, inférieure à un an et que seules certaines données de connexion, et non pas toutes, seraient en définitive conservées.

Cependant, l'hypothèse d'un tri entre des données à caractère technique qui sont rassemblées dans des dits "fichiers log" peut peut paraître assez peu réaliste d'autant qu'un tel dispositif reviendrait à ajouter à la contrainte faite aux opérateurs de conserver des données sans utilité pour eux une deuxième contrainte consistant à leur demander de procéder à une sélection a priori entre les données produites par la technologie. D'autre part et surtout, l'obligation ainsi instituée dérogeant au droit commun, sa portée et ses modalités de mise en oeuvre paraissent devoir être déterminées par le législateur. Il est en tout cas permis de s'interroger sur le point de savoir si un renvoi aussi général au pouvoir réglementaire, fût-ce après avis de la CNIL, offre les garanties de précision et de clarté exigées dans une matière qui touche aux libertés individuelles et publiques ; étant observé qu'il s'agit plus, comme dans la loi du 1er août 2000, de permettre l'identification d'auteurs de contenus diffusés sur Internet mais toutes les personnes se connectant à Internet.

Sur le fond, la Commission estime que dans la mesure où la pratique des fournisseurs d'accès n'est pas aujourd'hui harmonisée et où certains d'entre eux ne conservent que très peu de temps les données de connexion, ce qui au demeurant ne peut que fragiliser la sécurité informatique de leurs propres installations, l'obligation nouvelle qui serait désormais faite à l'ensemble des fournisseurs d'accès de conserver les données de connexion pendant une durée de trois mois serait adaptée aux objectifs d'intérêt public poursuivis par le projet de loi.

La Commission croit devoir souligner que, selon le témoignage recueilli auprès de ses homologues européens ceux des Etats-membres ayant prévu une obligation de conservation de ces données pendant une durée maximale de cet ordre ne paraissaient pas avoir rencontré de problèmes particuliers en matière de lutte contre la délinquance par le réseau.

Par ailleurs, dans une résolution législative portant avis du Parlement européen sur le projet d'action commune relative à la lutte contre la pornographie enfantine sur Internet (5), cette Assemblée a estimé qu'une durée de conservation des données de trafic de trois mois pouvait être adaptée.

Enfin, la commission européenne, saisie pour avis par la Belgique d'un projet de loi de réforme du code pénal qui retenait, notamment, une durée de conservation des données d'appels et d'identification des utilisateurs d'au moins douze mois, et qui renvoyait à des arrêtés royaux le soin d'arrêter les durées de conservation précises en fonction des services utilisés, a émis un avis circonstancié estimant que l'obligation ainsi définie était insuffisamment précise au regard des exigences européennes, qu'elle constituait une restriction excessive à l'exercice des activité économiques et une atteinte non justifiée aux principes de protection des données personnelles.

L'ensemble de ces considérations conduit la CNIL à estimer qu'un délai de conservation de trois mois serait parfaitement proportionné et adapté aux intérêts en cause.

Enfin, les conditions dans lesquelles de telles données personnelles pourraient être saisies ou accessibles dans le cadre d'une procédure judiciaire mériteraient sans doute d'être précisées compte tenu de la nature particulière de telles données qui ne sont pas conservées par les personnes concernées par la communication, mais par un tiers (le fournisseur d'accès). En effet, le projet de loi, en son état, ne parait subordonner un tel accès à ces données à aucune condition tenant à la gravité de l'infraction recherchée et donne à penser que ces données pourraient être consultées ou saisies dans le cadre d'une enquête préliminaire qui se caractérise, pourtant par le fait qu'à ce stade l'infraction n'est pas patente et ne permet pas à la police judiciaire de procéder à des saisies ou perquisitions, sans l'accord exprès des personnes concernées.

(5) JO C 219 du 30 juillet 1999, p. 68 et p. 71.

LA PUBLICITE PAR VOIE ELECTRONIQUE (articles 25 et 26 du projet de loi)

Le dispositif prévu

Le Titre III "Du commerce électronique" comporte un chapitre relatif à la publicité par une voie électronique qui institue une obligation de transparence à l'égard des consommateurs par l'identification claire et non messages électroniques de publicité non sollicitée ainsi que des offres promotionnelles telle à que les rabais, primes, cadeaux, concours ou jeux. Cette obligation est tout à fait satisfaisante.

Le projet de loi introduit par ailleurs dans le code de la consommation un article L. 121-15-3 nouveau faisant obligation aux personnes physiques ou morales utilisant la messagerie électronique des internautes pour leur adresser des messages publicitaires qu'ils n'ont pas sollicités de "veiller" à ce que de tels messages "ne soient pas adressés à des personnes physiques qui ne souhaitent pas recevoir ce type de communication et qui se sont inscrites à cet effet dans des registres d'opposition". Le projet de loi renvoie à un décret en conseil d'Etat le soin de fixer les conditions de fonctionnement de tels registres.

Les enjeux

Cette dernière disposition appelle plusieurs observations.

Elle tranche un débat auquel tous les internautes dans tous les pays sont extrêmement sensibles puisqu'il met en cause, à la fois, la nature d'Internet dont il paraît souhaitable qu'il ne soit pas considéré comme un outil à vocation exclusivement marchande, le sort des données personnelles et tout particulièrement l'utilisation à des fins commerciales des adresses électroniques que les internautes ont pu communiquer à de toutes autres fins dans les espaces publics de l'Internet (forum de discussion, liste de diffusion, etc.) et enfin la tranquillité de ceux qui peuvent souhaiter ne pas voir leur boîte aux lettres électronique inondée de messages indésirables, sans avoir à accomplir de démarche particulière à cet effet.

Ce débat qui s'est focalisé autour de ce que l'on nomme communément le "spamming" qui est la forme la plus controversée du publipostage électronique et qui consiste à adresser des messages électroniques à des centaines, des milliers, voire des millions de destinataires avec lesquels l'expéditeur n'a jamais eu de contact et dont il a capté l'adresse électronique dans les espaces publics de l'Internet, est beaucoup plus important qu'il n'y paraît.

En effet, le publipostage électronique ne concerne pas le seul commerce électronique. Il peut être le support de communication de messages de nature très différente : prosélytisme religieux ou sectaire, messages à caractère pornographique, etc. Par ailleurs, les adresses électroniques des internautes ne sont pas toutes celles de personnes majeures : des mineurs peuvent être concernés.

Aussi convient-il que la règle de droit qui sera posée en la matière puisse prévenir toute dérive. En n'évoquant que la seule publicité commerciale, et en faisant obligation aux internautes ne souhaitant pas être sollicités de s'inscrire sur des registres d'opposition, le projet de loi dans sa rédaction actuelle pourrait laisser penser que serait régulier tout envoi de message non sollicité, quelle qu'en soit la nature, à l'égard d'une personne, quel qu'en soit l'âgé, qui ne se serait pas inscrite dans un registre d'opposition. Une telle manière de voir, si elle devait prospérer, pourrait avoir des effets tout à fait désastreux, compte tenu notamment du nombre de jeunes adolescents disposant d'une adresse électronique.

Par ailleurs, la prospection électronique tire sa force des caractéristiques particulières d'Internet qui doivent être prises en compte au moment de légiférer sur le sujet. En effet, à la différence de la prospection traditionnelle, dans laquelle l'expéditeur supporte entièrement les frais de prospection (qu'elle soit postale, téléphonique ou par télécopie), la prospection électronique est quasiment à coût nul pour le prospecteur. Il est possible de se procurer sur Internet pour des sommes modiques des CD-Rom concernant jusqu'à 60 millions d'adresses électroniques. Les frais de production et de communication des messages sur Internet sont, grâce à la numérisation et aux possibilités de duplication immédiate qu'autorise la technologie, sans commune mesure avec les coûts élevés que nécessitent les envois postaux (fabrication de maquette, coût du papier, mise sous pli, affranchissement). Or, jusqu'à présent, le législateur national ou européen, a toujours considéré que plus le coût de la prospection était faible pour le commerçant, plus les risques d'abus étaient réels, comme l'ont manifesté, tour à tour, la prospection téléphonique par automate d'appels (dans les années 80) et surtout la prospection par télécopie (dans les années 90).

C'est la raison pour laquelle l'Union européenne s'est accordée pour limiter l'usage de telles formes de prospection en subordonnant l'utilisation des automates d'appels et, désormais, de la télécopie à des fins de prospection au consentement de la personne concernée ; sans consentement, ces modalités de prospection sont irrégulières.

Enfin, et surtout, le problème traité par le projet de loi ne se limite pas aux inconvénients qui s'attacheraient à la seule réception d'un message non sollicité par l'internaute. Il ne peut y avoir sur Internet d'envoi de messages que s'il y a eu précédemment collecte automatisée des adresses électroniques des internautes, c'est-à-dire, constitution de véritables bases de données dont l'ampleur a été soulignée ci-dessus. Telle est la pratique de certains opérateurs qui n' hésitent pas à lancer des robots sur Internet afin de récupérer toutes les adresses électroniques disponibles sur les espaces publics d'Internet. Dès lors, l'adresse électronique utilisée, et éventuellement le "profil" de son titulaire tel qu'il peut être déduit des échanges que l'internaute considéré a pu librement avoir sur tel sujet particulier dans un forum de discussion, sont conservés, à son insu dans une base de données, à des fins commerciales ou de prosélytisme, par un tiers avec lequel il n'a jamais eu de contact. Soutenir que la mise en place de registres d'opposition constituerait une mesure suffisante revient à espérer qu'en évitant d'alarmer l'internaute, ce dernier n'exercera aucun des droits qui lui sont pourtant reconnus à l'égard des traitements de données personnelles le concernant : les données le concernant continueront à être traitées et, le cas échéant, cédées à des tiers mais, tenu dans l'ignorance du fait, il ne disposera plus d'aucun moyen de demander la radiation de ses coordonnées des fichiers dans lesquels elles figurent.

Au regard de ces trois caractéristiques, qui distinguent clairement la prospection électronique sur Internet d'autres formes plus classiques de prospection commerciale, on ne peut que s'interroger sur les justifications du dispositif prévu dans le projet de loi.

Sans doute la directive européenne 2000/31 dite "Commerce électronique", prévoit-elle la mise en place de tels registres d'opposition. Mais, contrairement à ce que soutiennent certains groupes professionnels, cette directive n'a aucunement entendu choisir entre les deux solutions qui ont été passionnément discutées sur le sujet, la première consistant à permettre que toute prospection électronique soit possible à l'égard des personnes qui n'auraient pas manifesté, par un geste positif, leur refus d'en recevoir (dite "opt out"), la deuxième soutenant au contraire que, compte tenu de ses caractéristiques, la prospection par courrier électronique était une des plus intrusives qui soient dans le monde du commerce et qu'il convenait, comme pour la publicité par automates d'appels ou par télécopie, d'en subordonner l'usage aux seules personnes qui y avaient consenti (dite "opt in"). En effet, l'article 7 de la directive concernée n'évoque que "les Etats membres qui autorisent les communications commerciales non sollicitées", signifiant ainsi clairement que le choix d'autoriser ou non de telles formes de publicité relevait du niveau national et n'était nullement imposé par la législation communautaire. La rédaction de cet article fait en outre une référence expresse aux exigences prévues par le droit communautaire parmi lesquelles figure la directive "protection des données personnelles" du 24 octobre 1995, le considérant 30 du texte européen précisant par ailleurs que "la question du consentement du destinataire pour certaines formes de communications commerciales non-sollicitées n'est pas traitée par la présente directive". Dès lors aucun argument tenant aux exigences communautaires n'impose à la France d'arrêter un tel dispositif.

L'appréciation de la Commission.

La Commission ne peut, dans ces conditions, que rappeler les conclusions qu'elle a rendues publiques dans son rapport d'ensemble sur le sujet, adopté le 14 octobre 1999 (6).

(6) Rapport "Le publipostage électronique et la protection des données personnelles" adoptée par délibération du 14 octobre 1999 www.cnil.fr.

Outre les caractéristiques particulières de la prospection électronique qui ont été rappelées plus haut la Commission souhaite souligner, qu'à la différence des autres formes de prospection, la prospection par courrier électronique est très "intrusive" et directement ciblée. Une boîte aux lettres électronique, à la différence d'une "boîte aux lettres physiques", est directement ouverte sur le monde et dépourvue des "barrières" que constituent un hall d'entrée, un digicode ou une gardienne.

Par ailleurs, ce mode de prospection est coûteux pour les internautes, un récent document d'étude de la commission européenne (7) évaluant à 10 milliards d'euros le coût annuel mondial supporté par eux au titre de la réception de messages non sollicités (le coût étant déterminé en fonction de la durée moyenne de lecture des messages avant effacement).

(7) "Communications commerciales non sollicitées et protection des données" - Internal Market DG, octobre 2000.

C'est la raison pour laquelle, la pratique du "spam" est vécue, par les internautes mais aussi par les fournisseurs d'accès à Internet dont les installations peuvent être utilisées à leur insu pour dupliquer un même message à des milliers d'exemplaires - encombrant ainsi, au détriment des usagers, le volume de la bande passante et donc la rapidité des connexions - comme une pratique intolérable.

Aussi, certains pays européens ont-ils subordonné l'usage de la prospection non sollicitée par courrier électronique, comme c'est déjà le cas pour la prospection par automates lanceurs d'appels ou par télécopie, au consentement des personnes. Telle est déjà la norme dans les deux pays européens qui connaissent le plus fort taux de pénétration de l'Internet grand public (Finlande et Danemark) ainsi qu'en Allemagne et en Autriche.

En outre, les acteurs professionnels qui sont nés avec l'Internet et qui perçoivent sans doute mieux que d'autres les attentes et les exigences des internautes à l'égard des bonnes pratiques sont très majoritairement favorables à la solution du "consentement",(opt in) qui, à leurs yeux, présente un considérable avantage en terme de communication commerciale dans la mesure où, à la différence des registres d'opposition (opt out) qui ne permettent de communiquer qu' à partir de souhaits inexprimés, les listes compilées d'adresses de personnes "consentantes" exprimeraient une "multitude de désirs de consommation et de centres d'intérêts précis" à valeur ajoutée marchande beaucoup plus élevée. C'est en tout cas ce qui résulte de l'étude des pratiques les plus récentes aux Etats-Unis à laquelle a procédé la commission européenne (8).

(8) Rapport déjà cité - Internal Market DG.

Pour sa part, la CNIL souhaite que le débat qui s'engagera sur ce sujet permette d'établir une règle claire, de nature à assurer la confiance et le respect des droits des internautes, alors que les dispositifs arrêtés par plusieurs directives européennes paraissent sur ce point contradictoires.

Aussi, convient-il d'en revenir aux principes généraux posés par la directive européenne du 24 octobre 1995 :

- toute collecte de données opérée dans un espace public de l'internet, sans le consentement des personnes concernées, doit être considérée comme irrégularité et déloyale,

- toute personne (client ou visiteur du site) doit pouvoir s'opposer en ligne à une utilisation commerciale de ses données ou à une cession commerciale de données ainsi collectées à un tiers, à des fins de prospection commerciale.

Une telle manière de voir n'est en rien contraire aux intérêts du commerce électronique puisqu'elle permettrait à tout commerçant en ligne de recourir à la messagerie électronique pour adresser des offres ou propositions nouvelles à l'ensemble de ses clients ou des visiteurs du site, dès lors que ces derniers auraient été préalablement informés, par une mention en ligne, d'une telle éventualité, et de leur possibilité de s'y opposer, comme l'exigent d'ailleurs les règles ordinaires de protection des données personnelles et comme le pratique déjà l'ensemble des professionnels dans le monde hors ligne.

Elle permettrait également aux professionnels de céder leurs fichiers de clients ou de prospects, ou d'utiliser le fichier d'un tiers mis à leur disposition, dès lors que les adresses électroniques ainsi utilisées, cédées ou acquises, concerneraient des personnes ayant été préalablement informées de telles cessions ou de tels usages, et de leur droit de s'y opposer.

La solution préconisée par la Commission interdirait en revanche, clairement deux pratiques :

- la collecte massive (et à l'insu des personnes concernées) d'e-mail dans les espaces publics de l'Internet où l'on peut souhaiter avoir un échange au sein d'une communauté partageant un même sujet d'intérêt sans que son adresse ou ses propos soient immédiatement exploités par un tiers à des fins étrangères au forum ou à la liste de discussion,

- la cession de données personnelles collectées par un site A à un tiers lorsque les internautes ayant communiqué leur adresse électronique au site A n'ont pas été informés de l'éventualité d'une telle cession et mis en mesure de s'y opposer, aussitôt et en ligne.

De nombreux organismes de labellisation de sites commerciaux s'engagent déjà à respecter de telles recommandations. Tel est notamment le cas de Lbelsite et du Bureau Veritas. On comprend mal que la loi sur la société de l'information ne soit pas mise à profit pour consacrer ces "bonnes pratiques" loin de tout débat, un peu dogmatique, entre le "opt-in" et -le "opt-out".

Aussi, un principe général d'interdiction de collecte des adresses électroniques ou de toute autre donnée personnelle à partir des espaces publics de l'Internet, sans le consentement des internautes, devrait-il être posé par la loi. Toute collecte irrégulière d'adresse électronique dans ces conditions devrait être sanctionnée d'une amende par adresse, une disposition de cette nature paraissant mieux adaptée et plus dissuavive que les dispositions générales de l'article 226-18 du code pénal qui sanctionne la collecte frauduleuse ou déloyale d'une peine de cinq ans d'emprisonnement.

Cette proposition n'exclut nullement la mise en oeuvre de registres d'opposition que le projet de loi envisage et dont certains sont déjà mis par des organisations professionnelles. Mais elle leur conférerait, alors, la nature d'ultime "filet de sécurité" qui doit être la leur, comme dans le monde du commerce hors-ligne.

Cette proposition serait conforme au socle de garanties reconnues en la matière par l'ensemble de l'Union européenne et de nature à prévenir les effets du "spamming" en Europe.

L'ACCES AUX DONNEES PUBLIQUES (articles 3 à 6 du projet de loi)

Observations liminaires

Sous un même intitulé le chapitre II du Titre 1er du projet de loi regroupe des dispositions de nature et de portée différentes : les premières sont principalement destinées à faciliter l'accès du citoyen aux informations détenues par l'Etat ou les collectivités publiques (les données sont alors dites "publiques" parce qu'elles sont collectées ou produites dans le cadre d'une mission de service public) ; les secondes posent un principe général de gratuité et une obligation de mise en litige sur l'internet de l'ensemble des actes et décisions pris dans le cadre d'une mission de service public soumis à une obligation de publicité en vertu de dispositions législatives ou réglementaires (les données sont alors dites "publiques" parce qu'il s'agit de données soumises à un certain régime de publicité).

Une telle présentation ne facilite pas la compréhension des champs d'application (respectifs ou bien se recouvrant pour partie) des deux séries de dispositions.

Le souci d'une plus grande accessibilité de l'information administrative et celui de favoriser les activités économiques liées à la valorisation de l'information administrative ne peuvent qu'être partagés. A cet égard le projet de loi prolonge, à l'heure de la société numérique la volonté de plus grande transparence que le législateur a manifestée en adoptant la loi du 17 juillet 1978 portant diverses mesures d'améliorations des relations entre l'administration et le public, laquelle a d'ailleurs été modifié récemment, par une loi du 12 avril 2000, dans le souci de mieux harmoniser ses dispositions avec les dispositions de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

L'article 3 du projet de loi n'appellera dès lors que des observations d'ordre juridique et technique.

Tel n'est pas le cas de l'article 4 du projet dont le dispositif d'ensemble, pris dans sa généralité, appelle des observations de fond.

Sur l'obligation de mise en ligne sur Internet de l'ensemble des actes et décisions pris dans le cadre d'une mission de service public, soumis à une obligation de publicité (article 4 du projet)

Le dispositif prévu

L'article 4 du projet de loi fait obligation à l'ensemble des services de l'Etat et des établissements publics à caractère administratifs de mettre à la disposition du public, sur des sites web accessibles en ligne gratuitement, les données essentielles qui les concernent parmi lesquelles figure "l'ensemble des actes et décisions (...) qui sont soumis à une obligation de publicité en vertu de disposition législative ou réglementaire".

Un décret en Conseil d'Etat pris après avis de la CNIL "peut" déterminer les actes et les décisions échappant à l'obligation de mise en ligne "en raison des risques particuliers que leur utilisation par des tiers pourrait faire peser sur les libertés individuelles". Le projet prévoit en outre que la mise en oeuvre d'un traitement automatisé de données à caractère personnel préalablement diffusées en ligne est "soumise aux règles posées par la loi du 6 janvier 1978".

Il résulte clairement de l'ensemble de ce dispositif que dès lors qu'un acte ou une décision (y compris ceux revêtant un caractère nominatif) sera considéré comme "donnée essentielle", sa mise en ligne obligatoire sera de droit sauf exception posée par décret en Conseil d'Etat après avis de la CNIL.

Les enjeux

Au regard de la protection des données personnelles et de la vie privée, on peut s'interroger sur le point de savoir si, d'une part, dans la généralité de ses termes, l'obligation qui serait faite de diffuser sur Internet toute donnée publique, y compris des données personnelles, a suffisamment pris en compte les spécificités liées à un mode de diffusion tel qu'Internet et, d'autre part, si la réserve faite, par exception, pour certains actes et décisions, au motif de risques particuliers que leur utilisation pourrait faire peser sur les libertés individuelles, constitue une garantie suffisante.

En effet, la diffusion d'une information sur Internet réalise un changement d'échelle tout à fait considérable. Toute information diffusée sur Internet devient accessible au plan mondial, et, surtout, les possibilités de duplication et de capture de l'information sont sans limite et ne peuvent être contrôlées. Ainsi, non seulement un site d'information peut être copié à l'infini et stocké sur une multitude de serveurs informatiques sans que le responsable de la diffusion initiale le sache, mais il est également possible, grâce aux prouesses des moteurs de recherche, d'accéder à l'information sans même connaître l'existence du site de diffusion.

Ainsi suffit-il d'indexer le nom d'une personne physique sur un moteur de recherche pour obtenir l'ensemble des informations la concernant diffusées sur Internet à partir de sites géographiquement épars ou de nature différente. Ce qui est techniquement possible lorsqu'une recherche documentaire via Internet est entreprise sur Rabelais, l'est aussi lorsqu'il s'agira de se renseigner sur un candidat à l'emploi ou à un logement, sur un voisin ou un proche, sur demandeur au crédit, et ce, à l'insu des personnes concernées.

Souligner ces caractéristiques techniques, manifeste qu'au-delà des "risques particuliers" qu'une telle diffusion d'informations nominatives est susceptible de présenter au regard des libertés individuelles, et qui justifieraient alors le dispositif d'exception par décret en conseil d'Etat pris après avis de la CNIL, la diffusion d'une information se rapportant à une personne physique génère un risque "très ordinaire" mais permanent - dès lors qu'il peut suffire d'une diffusion de quelques minutes sur Internet pour générer la duplication et la conservation de l'information en cause, sans limite contrôlable de durée et sur une multitude de serveurs - de réutilisation des informations à l'insu des personnes concernées et étrangère à la finalité de publicité qui a pu, un instant, être recherchée.

Pour n'évoquer que quelques exemples "d'actes ou de décisions pris au nom d'une personne publique qui sont soumis à une obligation de publicité en vertu de dispositions législatives ou réglementaires" et qui devraient, à suivre le projet de loi, être mis en ligne par les administrations ou collectivités publiques concernées, sauf intervention d'un décret dérogatoire en conseil d'Etat : un jugement portant sur un licenciement pour faute grave, un homicide involontaire, la responsabilité professionnelle d'un praticien, un contentieux fiscal, etc., est naturellement soumis à une obligation de publicité, de même que le rôle des impôts (articles L. 104 et L. 111 du Livre de procédure fiscale), la liste électorale qui comporte la date de naissance et l'adresse personnelle des personnes (article L. 28 du code électoral), les bans de mariage qui comportent la profession et le domicile des futurs époux (article 63 du code civil), le cadastre dont la publicité est organisée par l'article 37 du décret de valeur législative du 7 messidor An II, les permis de construire (article R. 421-39 du code de l'urbanisme).

Certes, de tels documents sont déjà publics ou communicables aux personnes intéressées.

Mais la publicité jusqu'alors organisée autour de tels actes ou décisions peut poursuivre une finalité particulière ou être assortie de réserves d'usage dont le respect ne pourrait plus être assuré si ces actes et décisions étaient accessibles en ligne. Ainsi la consultation des listes électorales est libre mais il ne peut en être fait une utilisation à des fins exclusivement commerciales, le rôle de l'impôt sur le revenu est consultable à la direction à des services fiscaux mais par les seuls contribuables qui relèvent de sa compétence territoriale (le livre des procédures fiscales précisant de surcroît que la publication ou la diffusion par tout autre moyen est interdite sous peine d'amende fiscale), la publicité dont est assortie la délivrance des permis de construire cesse dès la fin du chantier, celle des bans de mariages est exclusivement justifiée par le souci de permettre d'éventuelles oppositions à mariage, celle des décisions de justice par celui de manifester l'impartialité du tribunal et de restituer dans leurs droits toutes les personnes concernées par la décision rendue.

Ces réflexions ne signifient pas qu'il conviendrait pour autant de proscrire toute accessibilité par Internet de telles informations. Ainsi, dans certains cas, la technique peut venir au soutien des précautions à prendre : il pourrait être envisagé, à titre d'exemple, que le cadastre puisse être accessible par Internet dès lors que serait mis en place un système d'accès par cartographie permettant pour un bien immobilier particulier, d'en connaître le propriétaire. A défaut d'une telle précaution, dont il conviendrait de s'assurer techniquement de l'effectivité, on transformerait un registre de propriétés (à qui appartient cette parcelle que je souhaite acheter en une liste de propriétaires (quels sont les biens que possède Monsieur X ?).

Mais le souci de précaution appelle assurément à un strict encadrement de la diffusion sur Internet d'informations nominatives. Ainsi, le Gouvernement a exclu de la diffusion du Journal officiel sur Internet les décrets de naturalisation afin que la publicité dont sont assortis ces décrets, qui s'apparente à une mesure de bienvenue dans la communauté nationale, ne se transforme pas en menace pesant sur les intéressés, par les possibilités de recherche et de capture de telles informations que peut offrir Internet à certains groupes ou officines de leur pays d'origine. Dans le même esprit, la CNIL mène depuis plusieurs mois une large concertation avec les diffuseurs publics et privés de jurisprudence sur Internet afin d'apprécier les mesures propres à éviter tout détournement de finalité des bases de données des décisions des décisions de justice, initialement conçues à des fins exclusives de recherche documentaire, mais qui pourraient se transformer aisément, accessibles gratuitement sur Internet en comportant le nom et quelquefois l'adresse des parties, en véritables bases de renseignements sur les personnes.

En tout état de cause, au-delà de précautions toujours possibles, c'est une certaine retenue dans la diffusion d'informations nominatives qui s'impose, dans le souci de la protection et de la tranquillité des personnes concernées, alors surtout que le projet de loi s'efforce de régler un long contentieux entre l'Etat et les diffuseurs privés qui ne porte que très marginalement sur des données à caractère nominatif.

L'appréciation de la Commission

Pour l'ensemble de ces motifs, la Commission souhaite que, s'agissant des données essentielles revêtant un caractère nominatif, le projet puisse inverser le principe (mise en ligne) et l'exception en limitant l'obligation de mise en ligne des données essentielles aux seuls les actes et décisions ne revêtant pas de caractère nominatif, un décret en conseil d'Etat pris après avis de la CNIL pouvant déterminer ceux des actes et décisions à caractère nominatifs qui pourraient obéir au nouveau régime juridique des données essentielles".

Au demeurant une telle suggestion paraît seule conforme aux dispositions de la directive du 24 octobre 1995 relative à la protection des données personnelles et à la libre circulation de ces données qui n'exclut nullement de son champ d'application les données à caractère personnel revêtant ou ayant revêtu un caractère public, se bornant à ménager quelques exceptions de portée limitée (exception à l'obligation de notification des traitements et exception à l'exigence de subordonner les flux transfrontières de données aux seuls pays disposant d'un niveau de protection adéquat pour les registres qui, en vertu de dispositions législatives où réglementaires sont destinés à l'information du public et ouverts à la consultation du public). Ces dérogations n'ont ni pour objet ni pour objet ni pour effet de priver les personnes concernées des droits fondamentaux qu'elles tiennent des législations de protection des données personnelles : droit d'opposition à une utilisation commerciale de données droit de contrôle de la finalité des traitements mis en oeuvre.

Sur l'obligation de mise à disposition des données numérisées collectées ou produites dans le cadre d'une mission de service public (article 3 du projet)

Le dispositif prévu

Le projet de loi crée une obligation nouvelle aux personnes publiques et aux personnes privées chargées d'une mission de service public : celle de mettre à la disposition du public les données qu'elles collectent ou quelles produisent.

A la différence du dispositif déjà prévu par la loi du 17 juillet 1978 qui, dans son article 10, interdit "la possibilité de reproduire, de diffuser ou d'utiliser à des fins commerciales les documents communiqués", le public ou les diffuseurs privés qui pourront accéder à des données sur le fondement de ces dispositions nouvelles, pourra les exploiter pour son propre compte, les utiliser, les diffuser y compris à des fins commerciales, sous réserve de conclure une convention avec la personne ou l'administration détentrice des données, cette mise à disposition pouvant donner lieu à perception d'une redevance.

Seront exclues d'une telle mise à disposition les données qui ne sont pas communicables à d'autres personnes que la personne concernée en application de la loi du 17 juillet 1978, modifiée par la loi du 12 avril 2000, soit les données suivantes :

- les documents administratifs dont la consultation ou la communication porterait atteinte au secret des délibérations du Gouvernement et des autorités responsables du pouvoir exécutif, au secret de la défense nationale, à la conduite de la politique extérieure de la France, à la sûreté de l'Etat, à la sécurité publique ou à la sécurité des personnes, à la monnaie et au crédit public, au déroulement des procédures engagées devant les juridictions ou d'opérations préliminaires à de telles procédures, à la recherche par les services compétents, des infractions fiscales et douanières, ou, de façon générale, aux secrets protégés par la loi,

- les documents administratifs dont la communication porterait atteinte au secret de la vie privée et des dossiers personnels, au secret médical et au secret en matière industrielle et commerciale,

- les documents portant une appréciation ou un jugement de valeur sur une personne physique, nommément désignée ou facilement identifiable ou faisant apparaître le comportement d'une personne, dès lors que la divulgation de ce comportement pourrait lui porter préjudice.

Le projet de loi précise que la mise à disposition des données à caractère personnel devra s'effectuer dans le respect des règles posées par la loi du 6 janvier 1978.

Les observations de la Commission

Elles portent principalement sur l'articulation de l'article 3 du projet avec la loi du 17 juillet 1978 modifiée par la loi du 12 avril 2000 et la loi du 6 janvier 1978.

En effet, la loi du 12 avril 2000 avait principalement pour objet de mieux harmoniser les dispositions des deux lois de 1978 dans le souci que l'informatisation de l'administration ne la conduise pas à invoquer la loi "informatique et libertés" pour refuser de communiquer à un tiers un document administratif comportant des informations nominatives, au sens de la loi du 6 janvier 1978, au motif que ce document serait informatisé.

Aussi, suivant en cela les suggestions de la CNIL et du Conseil d'Etat, le législateur a-t-il entendu que l'on ne puisse pas opposer une loi à une autre : le titulaire du droit de communication à l'information administrative est considéré comme un "tiers autorisé" à avoir accès à un traitement, sans que la finalité de, ce dernier puisse être opposée à l'exercice de ce droit à la transparence administrative (article 29-1 nouveau de la loi du 6 janvier 1978). Encore convient-il de relever que cet accès ne peut, sur le fondement de ces récentes dispositions, qu'être ponctuel, l'article 10 de la loi du 17 juillet faisant de surcroît interdiction au titulaire du droit de communication de reproduire, diffuser ou d'utiliser à des fins commerciales les documents ainsi communiqués".

A cet égard, le projet de loi change la donne puisqu'il paraît ajouter au droit individuel et ponctuel de demander communication d'un document administratif, fût-il numérisé, une obligation générale de mise à disposition de tout document communicable en application de la loi du 17 juillet 1978.

Le problème de coordination entre ces diverses lois serait moins aigu si les informations nominatives étaient exclues du dispositif. Mais, précisément des informations nominatives peuvent se trouver en cause. Certes, sont considérées comme relevant des exceptions prévues par la loi du 17 juillet 1978 au titre du secret de la vie privée, et à ce titre non communicables à un tiers, la date de naissance, l'âge, la situation familiale, la situation matrimoniale et patrimoniale, l'adresse personnelle, le numéro de téléphone, la formation et les origines professionnelles, le numéro INSEE, les numéros d'immatriculation des véhicules de victimes et de témoins d'accidents.

En revanche, sont communicables, en application de la loi du 17 juillet 1978, l'adresse administrative, l'indice de rémunération, le grade et l'échelon des fonctionnaires et autres agents publics, la liste des commerçants d'une commune avec les montants de la taxe professionnelle acquittée par chacun, la liste des sous-traitants d'un marché public et le montant des interventions effectuées. Aux termes, du projet de loi, de tels documents devront désormais être tenus à la disposition du public qui en fait la demande.

Le projet de loi prévoit, certes, qu'une telle mise à disposition devra "s'effectuer dans le respect des règles posées par la loi du 6 janvier 1978", ce qui constitue une utile garantie dans certaines hypothèses où la CNIL subordonne la diffusion de certaines informations statistiques, particulièrement sensibles mais sur de petits échantillons, pour éviter tout risque de réidentification des personnes, directement ou indirectement par recoupement.

Mais, le dispositif d'ensemble manque singulièrement de clarté dans la mesure où il prévoit qu'en cas de désaccord entre la personne qui détient les données et celle qui en sollicite la communication, une instance de médiation dont la composition est renvoyée à un décret en Conseil d'Etat pourra être saisie. Or, le projet envisage explicitement que le désaccord puisse porter soit sur la "nature des données communicables", ce qui aurait pu justifier l'intervention exclusive de l'autorité qui est naturellement chargée de porter une appréciation sur ce point (la Commission d'accès aux documents administratifs), soit sur "les modalités d'utilisation ou de diffusion des données", ce qui aurait pu justifier une intervention de la CNIL dans les cas où de telles données revêtiraient directement ou indirectement un caractère nominatif.

La création d'une instance ad hod venant s'ajouter aux deux autorités précédemment citées ne contribue pas à clarifier le dispositif dans son ensemble.

Aussi, tout en partageant pleinement l'objectif général poursuivi par le texte et l'intérêt qui s'attache à mettre à profit les possibilités offertes par la numérisation pour renforcer la transparence administrative et assurer un plus efficace partage de l'information entre l'Etat et les diffuseurs privés, dans le respect de la vie privée des personnes, la Commission ne peut-elle que faire part de sa perplexité sur l'articulation des dispositions de larticle 3 du projet avec celles de la loi du 12 avril 2000.

L'ACCES AUX ARCHIVES PUBLIQUES (articles 7 et 8 du projet)

Le dispositif prévu

Le projet de loi réaffirme le principe de libre communication des archives publiques quels que soient leur support, leur lieu, leur mode de conservation et réaménage et de manière générale, raccourcit les délais spéciaux établis pour certains documents présentant un caractère particulier de confidentialité.

Ainsi, le délai de droit commun de communicabilité de ces documents est ramené de 30 à 25 ans.

Le délai de communicabilité des documents dont la communication porterait atteinte au secret médical et ramené de 150 ans après la naissance à 25 ans après le décès ou, si la date du décès est inconnue, à 125 ans à compter de la naissance.

S'agissant des documents dont la communication porterait atteinte à la protection de la vie privée ou rendrait public une appréciation, un jugement de valeur ou le comportement d'une personne dans des conditions susceptibles de lui nuire, le délai de libre communication est ramené de 60 à 50 ans à compter de la date du document, ou à 25 ans à compter de la date du document, l'intéressé. Ces mêmes délais s'appliqueraient aux documents judiciaires. S'agissant des mineurs l'ensemble de ces délais serait prolongé à 100 ans à compter de la date du document.

S'agissant enfin des délais de communication des registres de l'état-civil, le délai de 100 ans est maintenu pour les registres de naissances mais ramené à 50 ans pour les registres de mariages.

Des possibilités de dérogation sont aménagées permettant la consultation des documents protégés avant l'expiration des délais de libre communication lorsque "l'intérêt qui s'attache à la consultation de ces documents ne conduit pas à porter une atteinte disproportionnée aux intérêts que la loi a entendu protéger". Le bénéficiaire de l'autorisation est alors tenu de ne publier et de ne communiquer aucune information recueillit dans les documents qui soit susceptible de porter atteinte aux intérêts protégés par la loi.

L'appréciation de la Commission

La libéralisation de l'ouverture des archives est considérée comme souhaitable depuis plusieurs années, de nombreux acteurs s'accordant à reconnaître que le dispositif actuel est au moins dans certains cas, trop restrictif et les dérogations accordées, souvent discrétionnaires (9).

(9) "Les archives de France" rapport remis par M. Guy Braibant au Premier ministre le 28 mai 1996 - La documentation Française.

La Commission croit cependant devoir souligner que l'informatisation des documents versés aux archives, les facilités d'exploitation des informations qu'elle permet et les usages possibles de telles exploitations par des tiers devraient appeler à une certaine prudence, hors le cas où les informations seraient traitées à des fins historiques, statistiques ou scientifiques. Mais précisément ces dernières hypothèses ont déjà conduit à modifier la loi du 6 janvier 1978 en autorisant la conservation des informations nominatives au-de la de la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été initialement collectées ou traitées et leur traitement à des fins historiques, statistiques ou scientifiques. La loi du 12 avril 2000 a, en effet, modifié à cette fin l'article 28 de la loi "informatique et libertés". Il résulte, en outre, de cette récente modification législative que tout traitement des données ainsi conservées à des fins autres qu'historiques, statistiques ou scientifiques devra être autorisé, à défaut d'accord exprès des intéressés, par la CNIL ou par décret en Conseil d'Etat sur proposition ou avis conforme de la CNIL.

L'articulation de ces récentes dispositions avec les dispositions du projet de loi soulève deux difficultés.

La première concerne la compatibilité entre un régime de liberté de communication d'archives, une fois les délais de libre communicabilité expirés, et un régime d'autorisation du traitement des données concernées.

La deuxième concerne le sens qu'il convient de donner à la notion de "personnes intéressées". S'agit-il uniquement des personnes auxquelles les informations nominatives se rapportent ou, le cas échéant de leurs ayant-droits ?

Cette question est d'importance.

En effet, s'agissant tout particulièrement des informations dont le projet de loi précise qu'elles seraient susceptibles de porter atteinte à la protection de la vie privée ou de rendre publique le comportement d'une personne dans des conditions susceptibles de lui porter un préjudice ou encore des affaires portées devant des juridictions, les ayant-droits ne disposent-ils pas d'un droit légitime à ce que de telles informations ne puissent être révélées sans garantie pour la mémoire de leurs parents ou leur tranquillité personnelle ? A cet égard. une libre communication, 50 ans après l'établissement du document ou 25 ans après le décès de la personne concernée, illustre le caractère pratique d'une telle interrogation.

S'agissant des données médicales, les progrès de la recherche génétique peuvent également donner à penser que la libre communication de telles données 25 ans après le décès de la personne concernée (qui, de surcroît, peut avoir décédé à un jeune âge) n'est pas sans soulever de difficultés.

Il pourrait certes être soutenu que le régime d'autorisation aménagé par la loi du 12 avril 2000 pour les traitements de données archivées ne poursuivant pas une finalité historique, scientifique ou statistique est suffisant pour prévenir toute dérive. Cependant, aucune disposition du projet ne subordonne la communication des documents ou des traitements automatisés en cause à la délivrance préalable de cette autorisation de traitement. Que deviendraient de telles données, une fois communiquées à un tiers, si l'autorisation de les traiter n'était finalement pas accordé ?

La Commission croit devoir appeler l'attention sur l'ensemble de ces difficultés.

Il lui apparaît en définitive que les risques particuliers d'atteinte à la vie privée des personnes concernées ou à celle de leurs proches devraient conduire à clairement distinguer les délais et les procédures de communication de documents nominatifs, et plus encore de traitements automatisés de données personnelles, versés aux archives, lorsque la demande, de communication ou de traitement de ces informations relève de la recherche historique, scientifique ou statistique.

Dans ces cas, une plus grande libéralisation de l'accès aux archives parait tout à fait légitime sous. la réserve qu'aucune information ainsi recueillie ou traitée puisse être diffusée, traitée ou communiquée à un tiers sous une forme individualisée ou susceptible de porter atteinte aux intérêts protégés par la loi Seuls la notoriété 6 de la personne en cause, le caractère historique ou public des faits devraient justifier une exception à ce dernier principe.

Dans les autres cas, compte-tenu tout à la fois du fait que l'information archivée sera de plus en plus fréquemment numérisée et que les possibilités d'exploitation de cette information par des tiers s'en trouvera accrue (songeons à une diffusion de telles informations sur internet ou à leur utilisation à des fins marchandes par des compagnies d'assurance, s'agissant des données médicales par exemple, ou bien encore de données à caractère personnel couvertes par le secret statistique), la Commission ne peut qu'émettre des réserves sur le dispositif prévu, sur ce point, par le projet de loi.




Nature de la délibération: AVIS
Date de la publication sur legifrance: 14 octobre 2015