Du nouveau sur la conservation des données de connexion

05.11.2021

Gestion d'entreprise

Trois décrets du 20 octobre 2021 précisent le cadre applicable en matière de conservation des données de connexion par les opérateurs de communications électroniques, les fournisseurs d’accès à internet (FAI) et les hébergeurs.

Suites de la décision « French Data Network et autres » du Conseil d’État

Les trois décrets du 20 octobre 2021 font suite à la décision « French Data Network et autres » du Conseil d’État du 21 avril 2021 (CE, 21 avr. 2021, n° 393099, 394922, 397844, 397851, 424717, 424718) dans laquelle la Haute juridiction administrative avait enjoint au Premier ministre de procéder à l’abrogation, dans un délai de 6 mois :

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité (analyse du bilan, compte de résultat, prévisionnel, budgétisation...), de la finance (la gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (choix du statut juridique, contrats commerciaux, fiscalité)

Découvrir tous les contenus liés

Tirant les conséquences de cette décision, l’article 17 de la loi n° 2021-998 du 30 juillet 2021 relative à la prévention d’actes de terrorisme et au renseignement a modifié l’encadrement de la conservation des données de connexion par les opérateurs de communications électroniques, les fournisseurs d’accès à internet (FAI) et les hébergeurs. Cette disposition précise la liste des données qu’il convient de conserver et renvoie à l’adoption de plusieurs décrets :

  • le premier (D. n° 2021-1361, 20 oct. 2021) est relatif aux catégories de données conservées par les opérateurs de communications électroniques, pris en application de l’article L. 34-1 du code des postes et des communications électroniques ;

  • le second (D. n° 2021-1362, 20 oct. 2021) concerne la conservation des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne, pris en application du II de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique ;

  • le troisième (D. n° 2021-1363, 20 oct. 2021) porte injonction, au regard de la menace grave et actuelle contre la sécurité nationale, de conservation pour une durée d’un an de certaines catégories de données de connexion.

Conservation des données de connexion :  entre principe et exceptions

Ces décrets sont le reflet de l’importance prise par les données de connexion dans la lutte contre les infractions. Le principe posé par l’article L 34-1 du code des postes et des communications électroniques est celui de l’effacement ou de l’anonymisation des données de communications électroniques, par les opérateurs de telles communications et les personnes offrant au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau (fournisseurs d’accès internet). L’article 6 II de la loi pour la confiance dans l’économie numérique impose une obligation semblable aux hébergeurs, à propos des données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont ils sont prestataires. Tout en posant ce principe d’effacement/anonymisation des données, le législateur le tempère par plusieurs « réserves ». Parmi celles-ci, on retrouve l’obligation par ces acteurs de conserver les données dites de « connexion » pour des raisons tenant à la lutte contre certaines infractions.

Dans un État de droit, cette conservation se doit d’être équilibrée de façon à préserver la liberté des internautes. Pour cette raison, la Cour de justice de l’Union européenne (CJUE) a posé le principe d’une interdiction de conservation généralisée et indifférenciée, tout en admettant des exceptions (CJUE, grande ch., 8 avr. 2014, aff. jtes C-293/12 et C-594/12, Digital Rights Ireland ; CJUE, grande ch., 21 déc. 2016, aff. jtes C-203/15 et C-698/15, Tele2 Sverige et a. ; CJUE, grande ch., 6 oct. 2020, aff. jtes C-511/18, C-512/18 et C-520/18, La Quadrature du Net et a.). En ce sens, la CJUE reconnaît la possibilité d’une telle conservation dans des situations où l’État membre concerné fait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, dès lors que l’injonction de conservation n’est applicable que pour une période temporellement limitée au strict nécessaire, et fait l’objet d’un contrôle effectif, soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant. Le troisième décret pose précisément ce cadre en prévoyant la possibilité d’enjoindre aux opérateurs de communications électroniques et aux hébergeurs de conserver des données de trafic et de localisation, pour une durée d’un an, aux fins de sauvegarde de la sécurité nationale.

Six catégories de données

Ces données sont précisées dans la liste de l’ensemble des données qui doivent être conservées et qui est fournie par les deux autres décrets. Ces informations sont classées en six catégories.

La première est relative aux informations sur l’identité civile. Celles-ci doivent être conservées par l’ensemble des acteurs visés pour une durée de 5 ans à compter de la fin de validité du contrat.

Les catégories incluant les informations recueillies à l’occasion de la souscription d’un contrat ou la création d’un compte et les informations relatives au paiement sont, quant à elles, conservées pour une durée d’un an à compter de la fin de validité du contrat ou de la clôture du compte.

Les données techniques permettant d’identifier la source d’une connexion ou celles relatives aux équipements terminaux utilisés doivent être conservées pendant un an à compter de la connexion ou de l’utilisation des équipements terminaux.

Les autres données de trafic et de localisation peuvent également se voir appliquer une durée de conservation d’un an si plusieurs conditions sont réunies. Cette opération nécessite une injonction du Premier ministre qui prend une telle mesure pour des motifs tenant à la sauvegarde de la sécurité nationale, lorsqu’est constatée une menace grave, actuelle ou prévisible, contre cette dernière. Ces mêmes données peuvent faire l’objet d’une injonction de conservation rapide par les autorités disposant, en application de la loi, d’un accès aux données relatives aux communications électroniques à des fins de prévention et de répression de la criminalité, de la délinquance grave et des autres manquements graves aux règles dont elles ont la charge d’assurer le respect, afin d’accéder à ces données.

En dernier lieu, les décrets posent l’obligation, pour les opérateurs de communications électroniques et les FAI, de conserver les informations permettant de localiser les communications assurées via le téléphone mobile ainsi que l’obligation, pour les hébergeurs, de conserver les informations relatives au contenu créé.

Jessica EYNARD, Co-Directrice du Master Droit du numérique de l'Université Toulouse 1 Capitole et Chercheuse associée dans la Chaire Law, Accountability and Social Trust in AI, ANITI
Vous aimerez aussi

Nos engagements