Rapport Paquet Télécom

3.1 Introduction

La transposition en droit français de la Directive « vie privée et communications électroniques » est une occasion unique d'une part pour la mise en cohérence de la législation actuelle française relative à la protection des données personnelles et de la vie privée dans les communications électroniques ; d'autre part pour que cette législation devienne réellement protectrice des droits des citoyens, conformément aux textes fondamentaux du droit français, du droit européen et du droit international.

Deux enjeux principaux doivent être soulignés ici :

- Protection des données personnelles, de la vie privée et de la confidentialité des communications vis-à-vis de l'utilisation commerciale de leurs données personnelles,

- Protection des données personnelles, de la vie privée et de la confidentialité des communications vis-à-vis des atteintes aux droits et libertés fondamentaux.

Si le premier enjeu nous semble relativement bien couvert à la fois par le texte existant (loi « Informatique et Libertés »), par son projet de révision en cours ainsi que par les dispositions de la Directive « vie privée et communications électroniques » à transposer, il n'en va pas du tout de même pour ce qui est du second enjeu.

Durant la précédente législature, certains textes de loi ont en effet été modifiés dans des conditions très discutables : adoption d'amendements en urgence sans le nécessaire débat public digne d'un pays démocratique, amendements introduits dans des textes dont l'objet était très éloigné de la teneur de ces amendements (« cavaliers législatifs »), extension de la portée de ces amendements dans d'autres textes, menant à des incohérences dans la législation.

Cette situation a non seulement conduit à nombre de protestations de la part d'organisations citoyennes, allant jusqu'à la plainte contre la France déposée par l'association IRIS auprès de la Commission européenne pour violation de la législation communautaire, mais également à une forte insécurité ressentie par les intermédiaires techniques pour l'accès et l'hébergement à Internet, qu'il s'agisse des sociétés commerciales ou des fournisseurs du secteur associatif, coopératif et non marchand. Par ailleurs, la législation française en est devenue incohérente, ce qui explique, dans notre analyse, l'absence de publication de plusieurs décrets d'application à ce jour, pour des textes récents comme pour des textes adoptés voilà déjà deux ans. Enfin, une récente annonce, contenue dans la loi d'orientation et de programmation pour la sécurité intérieure, fait l'objet d'une forte

inquiétude qu'IRIS a manifestée dès le 16 juillet dernier. Il nous apparaît par conséquent nécessaire d'analyser finement les textes législatifs français actuels, pour en souligner à la fois les incohérences et les atteintes aux droits et libertés fondamentaux qu'ils présentent, avant de proposer nos recommandations pour leur modification, dans le cadre de la transposition du « paquet télécom » dans la législation nationale.

3.2 État actuel de la législation française

Les textes considérés comme posant problème et examinés ici sont la loi n°86-1067 du 30 septembre 1986 sur la liberté de communication (articles 43-9 et 43-10), la loi n°2001-1062 du 15 novembre 2001 sur la sécurité quotidienne (articles 29, 30 et 31), la loi n°2001-1276 du 28 décembre 2001, loi de finances rectificative pour 2001 (article 62) et la loi n°2002-1094 du 29 août 2002, loi d'orientation et de programmation pour la sécurité intérieure (article 1er approuvant l'annexe I).

3.2.1 Loi sur la liberté de communication

L'article 43-9 dispose que les intermédiaires techniques, fournisseurs d'accès et d'hébergement, sont tenus de conserver toute donnée permettant l'identification des auteurs de contenus hébergés par leurs services. L'application de cette disposition reste toutefois soumise à la publication d'un décret en Conseil d'État, qui devra être pris après avis de la Commission nationale de l'informatique et des libertés (CNIL). Ce décret devra déterminer la nature des données à conserver, ainsi que la durée et les modalités de cette conservation par les fournisseurs d'accès et d'hébergement. Notons que deux ans après l'adoption de cette disposition, ce décret n'a toujours pas été adopté. Si cette loi impose aux intermédiaires techniques de détenir ces informations concernant leurs abonnés, elle fixe néanmoins des garde-fou pour l'utilisation de ces données personnelles. Ainsi, seule l'autorité judiciaire peut en requérir communication auprès des prestataires techniques concernés et ces derniers peuvent être sévèrement punis pour toute autre utilisation des données : le défaut de préservation de la sécurité des données ou leur communication à des tiers est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende (article 226-17 du code pénal) ; le fait de détourner ces données de leur finalité est puni des mêmes peines (article 226-21 du code pénal). L'application de l'article 226-22 du code pénal au traitement de ces données vient encore renforcer ces garde-fou.

L'article 43-10 fait obligation aux prestataires d'hébergement de fournir à leurs abonnés des moyens techniques d'indiquer leurs données d'identification : les personnes morales doivent tenir à disposition du public leur dénomination ou raison sociale ainsi que l'adresse de leur siège social. Elles doivent aussi indiquer publiquement le nom du directeur ou du codirecteur de la publication et celui du responsable de la rédaction du service s'il y a lieu ; les personnes physiques doivent tenir à disposition du public leurs nom, prénom et adresse de domicile. Toutefois, si elles éditent les contenus à titre non professionnel et qu'elles ne souhaitent pas cette publicité, elles peuvent ne tenir à la disposition du public qu'un pseudonyme. C'est le fournisseur d'hébergement qui devra alors détenir les données d'identification correspondantes. Dans tous les cas, ces informations doivent être accompagnées des coordonnées du fournisseur d'hébergement (nom et dénomination ou raison sociale). On notera que cette obligation de fourniture de données d'identification est dépourvue de sanction spécifique et que les fournisseurs d'hébergement n'ont aucune obligation de vérifier l'exactitude ou la complétude des données ainsi fournies.

3.2.2 Loi sur la sécurité quotidienne

L'article 29 précise, par un article L.32-3-1 à insérer dans le code des postes et télécommunications, les obligations des opérateurs de télécommunications (fournisseurs d'accès inclus) en matière d'effacement, de conservation, de traitement et/ou de transmission à des tiers des données techniques en leur possession.

Le I de l'article 32-3-1 transpose déjà l'article 6 de la Directive « vie privée et communications électroniques ». Il indique que les opérateurs « sont tenus d'effacer ou de rendre anonyme toute donnée technique relative à une communication dès que celle-ci est achevée ». Le III de l'article 32-3-1 autorise les opérateurs de télécommunications à utiliser et conserver certaines données pour des besoins de facturation et de paiement, ainsi que pour d'éventuels problèmes de contentieux, jusqu'à prescription. Les données concernées doivent être précisées par décret en Conseil d'État pris après avis de la CNIL, non encore adopté. Il dispose également que les opérateurs peuvent effectuer un traitement des données en vue de commercialiser leurs propres services de télécommunications, sous réserve du consentement exprès de leurs usagers. Le IV de l'article 32-3-1 implique que la conservation et le traitement autorisés pour les données restent soumis à la loi Informatique et libertés, et que les données techniques concernées sont limitées, de sorte que ces données « portent exclusivement sur l'identification des personnes utilisatrices des services fournis par l'opérateur et sur les caractéristiques techniques des communications assurées par ce dernier », et « ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit, dans le cadre de ces communications. ». Notons que ces formules excluent de la conservation et du traitement, outre bien entendu le contenu des correspondances privées, les données de navigation (consultation de sites web). Toutefois, elles n'excluent pas les données relatives à l'identité des personnes impliquées dans une communication, y compris une communication privée.

Le II de l'article 32-3-1 prévoit la possibilité, en dépit du I du même article, de conserver jusqu'à un an toute donnée technique relative à une communication, y compris les personnes impliquées, en tant qu'expéditrices ou destinataires d'une communication privée. Cette conservation de données a pour unique but éventuel leur mise à la disposition de l'autorité judiciaire. La teneur des données et leur temps de conservation sont déterminées par décret en Conseil d'État pris après avis de la CNIL. Ce décret n'a pas encore été adopté.

Le défaut d'effacement ou d'anonymisation des données, ainsi que le défaut de conservation des données, sont punis d'un an d'emprisonnement et de 75 000 Euros d'amende. Les personnes physiques encourent également l'interdiction d'exercer leur activité professionnelle pendant cinq ans, les personnes morales peuvent être déclarées responsables pénalement et encourir les sanctions prévues aux articles 131-9, 131-38 et 131-39 du Code pénal.

L'article 30 autorise le procureur de la République, la juridiction d'instruction ou la juridiction de jugement à prescrire le déchiffrement de données saisies ou obtenues dans le cadre d'une enquête ou d'une instruction. Il peut être fait appel pour le déchiffrement à toute personne ou organisme qualifié, ou, si la peine encourue est au moins égale à deux ans d'emprisonnement, aux moyens de l'État couverts par le secret de défense nationale. Dans ce dernier cas, le service de police judiciaire auquel la réquisition est adressée transmet cette dernière à un organisme technique soumis au secret de la défense nationale. Cet organisme a été créé par le décret n° 2002-1073 du 7 août 2002. Les décisions judiciaires prises en application de l'article 30 n'ont pas de caractère juridictionnel et ne sont susceptibles d'aucun recours.

L'article 31 modifie la loi n°91-646 du 10 juillet 1991 relative au secret des correspondances émises par la voie des télécommunications. Elle impose, à la demande d'« autorités habilitées » par le Premier ministre ou les personnes qu'il aura délégués, aux fournisseurs de prestations de cryptographie de fournir les conventions secrètes de déchiffrement, ou de les mettre en oeuvre sous peine de deux ans d'emprisonnement et de 30 000 Euros d'amende. La procédure de mise en oeuvre de cette obligation est fixée par le décret n° 2002-997 du 16 juillet 2002. Par ailleurs, cet article 31 oblige, sous peine de trois ans d'emprisonnement et de 45 000 Euros d'amende, toute personne ayant connaissance d'une convention de déchiffrement d'un moyen de cryptographie « susceptible d'avoir été utilisé pour la préparation, la facilitation ou la commission d'un crime ou d'un délit », à remettre cette convention aux autorités judiciaires.

3.2.3 Loi de finances rectificative pour 2001

L'article 62 modifie l'article 65 du Code des douanes, l'article L.83 du Livre des procédures fiscales et l'article L.621-10 du Code monétaire et financier. Il implique que les données conservées et traitées par les intermédiaires techniques d'accès et d'hébergement peuvent être également exigées par les agents des douanes ayant au moins le grade d'inspecteur ou d'officier et ceux chargés des fonctions de receveur, par l'administration fiscale, et par les enquêteurs habilités par le président de la Commission des opérations de bourse. Ces données conservées et traitées sont celles mentionnées tant dans la loi sur la liberté de communication que dans la loi sur la sécurité quotidienne.

3.2.4 Loi d'orientation et de programmation pour la sécurité intérieure

Cette loi, adoptée pendant la législature actuelle, ne comporte aucune disposition normative sur la conservation et le traitement des données. Toutefois, en tant que loi d'orientation et de programmation, elle affirme, dans son annexe I approuvée par l'article 1er de la loi, la volonté du gouvernement et du Parlement de « permettre aux officiers de police judiciaire, agissant dans le cadre d'une enquête judiciaire, sur autorisation d'un magistrat, d'accéder directement à des fichiers informatiques et de saisir à distance par la voie télématique ou informatique, les renseignements qui paraîtraient nécessaires à la manifestation de la vérité ». Il s'agit donc de permettre à la fois l'interception des communications et l'accès direct aux données conservées par les intermédiaires techniques d'accès et d'hébergement, ou transitant par leurs machines.

3.3 Problèmes posés par la législation actuelle

3.3.1 Inintelligibilité et absence de débat démocratique

Nous ne nous étendrons pas ici sur l'absence de débat démocratique qui a caractérisé l'adoption des textes évoqués ci-dessus. Cela a déjà été amplement dénoncé, par plusieurs organisations citoyennes dont IRIS (voir les dossiers et documents sur notre site). Retenons d'abord que le caractère d'urgence, invoqué notamment pour l'adoption des articles de la loi sur la sécurité quotidienne, a même permis de passer outre l'inconstitutionnalité patente, sur le plan procédural comme sur le fond, pourtant reconnue par certains parlementaires eux-mêmes. Retenons ensuite qu'il n'y avait rien d'urgent à adopter des mesures prévues de longue date dans le défunt projet de loi sur la société de l'information. Retenons surtout que l'argument de l'urgence se révèle aujourd'hui particulièrement spécieux puisque ces dispositions si urgentes attendent toujours, près d'un an, parfois deux, après leur adoption, leurs décrets d'application.

Par ailleurs, l'inintelligibilité de la législation devient de plus en plus préoccupante. Il en va de même de la dispersion des dispositions dans des textes qui ne présentent parfois aucune proximité avec la question du traitement des données personnelles et de la protection de la vie privée. Nous ne citerons à cet égard que les dispositions présentes dans la loi de finances rectificative pour 2001. Outre qu'elle contredit la jurisprudence de la Cour européenne des droits de l'homme, et plus généralement les principes les plus simples de gouvernement démocratique, cette inintelligibilité conduit à des incohérences dans la législation, sur lesquelles nous reviendrons.

3.3.2 Graves incohérences dans la législation

Comme nous l'avons déjà exprimé, l'inintelligibilité des dispositions actuelles et leur dispersion dans différents textes mène à des incohérences. L'une d'elle, la plus grave, est due aux dispositions ajoutées à la loi de finances rectificative de 2001. En effet, le I de l'article 62 de cette loi se contente d'ajouter un élément à une longue énumération figurant à l'article 65 du Code des douanes :

« Article 62
I. - A. - Le i de l'article 65 du code des douanes devient le j.
B. - Il est rétabli, dans le 1° du même article, un i ainsi rédigé :
« i) Chez les opérateurs de télécommunications et les prestataires mentionnés aux articles 43-7 et 43-8 de la loi no 86-1067 du 30 septembre 1986 relative à la liberté de communication, pour les données conservées et traitées par ces derniers, dans le cadre de l'article L. 32-3-1 du code des postes et télécommunications ; »

Or le 3° de l'article 65 du Code des douanes dispose que :

« Article 65
3° Les divers documents visés au 1° du présent article doivent être conservés par les intéressés pendant un délai de trois ans, à compter de la date d'envoi des colis, pour les expéditeurs, et à compter de la date de leur réception, pour les destinataires. »

Il y a donc incohérence entre le délai de conservation des données de trois ans imposé par le Code des douanes et le délai maximal de un an imposé par l'article 29 de la loi sur la sécurité quotidienne. De plus, la durée maximale de conservation des données imposée par la loi sur la liberté de communication n'a pas encore été fixée puisque le décret d'application de cette disposition n'est toujours pas paru.

Il ne s'agit évidemment pas ici d'une incohérence technique bénigne, mais d'une incohérence grave dans des dispositions limitant les droits et libertés fondamentaux des citoyens, garantis par la Constitution. Si cette incohérence est probablement la cause du retard de parution de plusieurs décrets d'application - ce dont IRIS ne peut que se féliciter eu égard aux atteintes aux droits et libertés fondamentaux que nous avons dénoncées - elle n'en témoigne pas moins d'une incurie qu'il faut impérativement réparer.

3.3.3 Difficulté de déterminer et de séparer les différentes données

La loi sur la liberté de communication fait référence à des « données de nature à permettre l'identification de toute personne ayant contribué à la création d'un contenu des services dont elles sont prestataires ».

La loi sur la sécurité quotidienne considère des « données relatives à une communication » et des « catégories de données techniques », tout en précisant que ces données « portent exclusivement sur l'identification des personnes utilisatrices des services fournis par les opérateurs et sur les caractéristiques techniques des communications assurées par ces derniers ».

Dans ces deux cas, la teneur de ces données doit être précisée par décret en Conseil d'État, pris après avis de la CNIL. La loi d'orientation et de programmation sur la sécurité intérieure envisage très largement tous « fichiers informatiques » et plus généralement tous « renseignements qui paraîtraient nécessaires à la manifestation de la vérité », pour autant qu'ils soient saisissables « à distance par la voie télématique ou informatique ».

La Directive « vie privée et communications électronique » définit en son article 2 les notions suivantes :

- « données relatives au trafic : toutes les données traitées en vue de l'acheminement d'une communication par un réseau de communications électroniques ou de sa facturation »

- « données de localisation : toutes les données traitées dans un réseau de communications électroniques indiquant la position géographique de l'équipement terminal d'un utilisateur d'un service de communications électroniques accessible au public »

- « communication : toute information échangée ou acheminée entre un nombre fini de parties au moyen d'un service de communications électroniques accessible au public. Cela ne comprend pas les informations qui sont acheminées dans le cadre d'un service de radiodiffusion au public par l'intermédiaire d'un réseau de communications électroniques, sauf dans la mesure où un lien peut être établi entre l'information et l'abonné ou utilisateur identifiable qui la reçoit »

Malgré des réflexions intenses au niveau du G8 et d'Europol, ayant mené à la publication de listes très exhaustives de données dont la conservation est jugée nécessaire par ces organismes, la détermination de la teneur des données à conserver n'est à ce jour publiquement arrêtée ni au niveau français ni au niveau européen. La distinction reste en effet très difficile à établir entre « données de localisation relatives au trafic » et « données de localisation autres que relatives au trafic ». Plus généralement, avec l'évolution de l'architecture et des protocoles du réseau Internet (notamment IPv6), le développement de nouveaux services et logiciels de communication et la convergence de ces services (par exemple les « webmail », pour ne citer qu'un service déjà très répandu), il devient impossible de cloisonner les données en « données d'identification », « données de trafic » et même « données de contenu », toutes catégories de données qui constituent dès aujourd'hui un continuum d'informations. Par ailleurs, la quantité astronomique de données circulant sur le réseau Internet, ajoutée aux possibilités immenses de les interconnecter, y compris avec des données hors réseaux, rend les données dites simplement de trafic extrêmement signifiantes de la vie privée des personnes.

Il est donc nécessaire de déterminer avec précision et de manière restrictive dans la loi, et non par décret, les seules données permettant l'identification de personnes pouvant faire l'objet d'une enquête dans le cadre d'une instruction judiciaire.

3.3.4 Atteintes aux droits et libertés fondamentaux

Nous nous contenterons de rappeler ici les atteintes aux droits et libertés fondamentaux déjà largement dénoncées par IRIS lors de la discussion parlementaire des quatre textes législatifs mentionnés ci-dessus. On trouvera sur le site web de l'association des analyses plus détaillées à ce sujet.

La détermination de la teneur des données à conserver et de la durée de cette conservation, par décret en Conseil d'État, même pris après avis de la CNIL, contredit l'article 34 de la Constitution : seul le législateur peut limiter les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques. Étant donné la difficulté de déterminer avec précision une séparation entre « données d'identification », « données de trafic » et même « données de contenu », les données mentionnées à l'article 29 de la loi sur la sécurité quotidienne induisent que les précisions qui y seront apportées par décret permettront de surveiller qui écrit à qui et qui consulte quoi sur Internet, ce qui constitue à l'évidence la limitation d'une liberté constitutionnelle.

Les dispositions relatives au déchiffrement des données ne présentent pas de garanties suffisantes pour encadrer la prescription du déchiffrement, ainsi que les conditions de sa réalisation. Cela vient d'être corroboré par la teneur des décrets parus respectivement en juillet et août 2002. Ces dispositions portent atteinte au secret garanti par certaines professions dans la législation française. L'absence de caractère juridictionnel et de possibilité de recours n'est absolument pas justifiée, et porte atteinte aux garanties qu'un citoyen est en droit d'attendre d'une justice loyale et équitable et d'un État démocratique, d'autant plus que l'application de cette disposition n'est pas limitée aux cas où la peine encourue est supérieure à un maximum donné. Ces dispositions portent en outre atteinte à la présomption d'innocence, et permettent non seulement l'auto-incrimination, mais également l'incrimination par les proches, ce qui les met encore en contradiction avec la législation française.

La conservation a priori de données, surtout pendant une durée pouvant aller jusqu'à un an, pratiquée de manière générale et systématique, à des fins exploratoires, est une pratique contraire à la Convention européenne des droits de l'homme et à la jurisprudence de la Cour européenne des droits de l'homme. Elle déroge de plus aux principes fondamentaux de l'État de droit, comme le rappelait la CNIL dans son avis sur l'avant-projet de loi sur la société de l'information. Cette mesure ne se justifie même pas par sa nécessité, puisque les données publiées par les fournisseurs d'accès français indiquent que ceux-ci parviennent à satisfaire 500 réquisitions de données par mois, sur commission rogatoire, à l'aide de données conservées en moyenne pendant trois mois ou moins. Ces données permettent la résolution des enquêtes.

Alors que ces données n'étaient censées pouvoir être requises que par l'autorité judiciaire, on a pu voir avec la loi de finances rectificatives 2001 que les possibilités de leur utilisation avaient été très vite étendues à des organismes administratifs. Le danger de cette brèche ainsi ouverte par la disponibilité des données ne peut qu'augmenter. Il est d'ailleurs déjà prévu de l'étendre dans la loi d'orientation et de programmation sur la sécurité intérieure.

Avec les dispositions envisagées dans la loi d'orientation et de programmation sur la sécurité intérieure, on franchirait le seul garde-fou qui demeurait jusqu'ici, malgré l'adoption de la loi sur la sécurité quotidienne en France et celle de la nouvelle Directive européenne sur la protection des données dans le secteur des télécommunications : le passage obligé par une réquisition adressée à un opérateur de télécommunications. Bien que faible rempart contre les atteintes aux droits et libertés des citoyens, cette étape permet néanmoins une certaine visibilité du nombre de demandes d'accès aux données personnelles conservées, de leur teneur et de la finalité de l'enquête (renseignement ou poursuites). Elle permet également une vérification, que l'on espère scrupuleuse, de la légalité de la requête adressée à l'opérateur, tenu par le secret professionnel vis-à-vis de tout autre que l'autorité judiciaire. Par son coût financier, mais également pour des questions d'image commerciale de l'opérateur, cette étape peut constituer un certain frein à l'appétit de renseignement. Enfin, la nécessité de présenter une commission rogatoire oblige au respect de la procédure d'instruction, permet son contrôle et des recours éventuels. En supprimant cette étape, loin de constituer de simples aménagements techniques pour une meilleure efficacité, une telle nouvelle loi représenterait une atteinte gravissime aux droits, aux libertés et à la démocratie.

3.4 Recommandations d'IRIS

Comme nous avons déjà pu l'évoquer, la transposition en droit français de la Directive « vie privée et communications électroniques » est une occasion unique de lever les incohérences de la législation actuelle et de revenir à une législation vraiment protectrice des droits des citoyens. Ajoutons aux problèmes soulignés ci-dessus le fait que la loi sur la sécurité quotidienne, tout au moins ses dispositions qui nous intéressent ici, n'ont été adoptées que pour une durée allant jusqu'à décembre 2003, et il devient clair que cette occasion de la transposition du « paquet télécom » avant fin juillet 2003 doit impérieusement être saisie. IRIS fournit ici ses recommandations à cet égard.

3.4.1 Recommandations pour l'intelligibilité et l'accès au droit

La France a été le premier pays à se doter d'une loi protectrice des données personnelles et de la vie privée, avec la loi de 1978 relative à l'informatique, aux fichiers et aux libertés. Cette loi, bien pensée, cohérente, fondée sur des principes et définitions clairs, et regroupant en un même texte toutes les dispositions pertinentes, ne fait qu'aujourd'hui l'objet d'une révision profonde, après plus de 30 ans de « bons et loyaux services ». Sa première modification partielle n'est d'ailleurs intervenue qu'en 1988. Cette loi a servi de modèle à plusieurs autres pays, qui ont adopté et qui adoptent encore aujourd'hui une législation similaire, parfois au mot près (cas du Maroc par exemple). Elle a également inspiré, par bien des aspects, la rédaction de la Directive européenne 95/46/CE relative à la protection des données personnelles et à la libre circulation de ces données.

IRIS recommande de suivre la même approche pour redéfinir la législation française relative aux communications électroniques, aux droits des citoyens et aux libertés.

L'effet d'une telle loi abrogerait et remplacerait notamment les dispositions examinées en section 3.2 de ce document. Une telle décision montrerait une réelle volonté gouvernementale et parlementaire pérenne d'instaurer un vrai débat démocratique dans notre pays, de mettre la loi à la portée du citoyen mais aussi, il faut bien en convenir, de faciliter le travail des juristes, des autorités de justice et de police, de l'administration dans son ensemble, de la société civile et du secteur économique. Qu'il s'agisse de l'utilisation des données dans le cadre d'enquêtes judiciaires, d'utilisations commerciales, des relations des citoyens avec l'administration ou encore dans le cadre du travail, une telle loi pourrait servir de référence à tous, sans oublier que les chantiers sont encore nombreux, ne serait-ce que dans le cadre de l'administration électronique. Enfin, une telle loi témoignerait d'un souci de démocratiser l'accès au droit.

3.4.2 Recommandations pour lever les incohérences

L'incohérence démontrée entre la loi sur la sécurité quotidienne et le Code des douanes ne peut subsister. En outre, le risque d'autres incohérences ne peut être pris.

IRIS recommande de fixer une fois pour toutes, et dans un texte unique de référence, la durée maximale de conservation des données en toutes circonstances ; la teneur de ces données ; les finalités autorisées de cette conservation ; les conditions dans lesquelles ces données sont conservées ; les conditions générales dans lesquelles ces données peuvent être utilisées.

Ces dispositions devront obéir à la définition de principes simples en ouverture du même texte. Elles pourront bien entendu faire l'objet de spécifications plus précises dans les articles pertinents. Parmi ces principes généraux, on trouvera par exemple l'affirmation de la confidentialité des communications (au sens du 1 de l'article 5 de la Directive « vie privée et communications électroniques »).

3.4.3 Recommandations pour surmonter la difficulté de déterminer les données

Étant entendu que la recherche des responsables d'infractions commises est tout à fait légitime, pour autant qu'elle soit encadrée des garanties nécessaires dans un État de droit, il convient d'établir les conditions raisonnables de cette recherche.

Les données de connexion d'un utilisateur à Internet fournissent les informations sur les auteurs de contenus mis à disposition publique comme sur les auteurs de communications à destination d'un nombre fini de parties. Il s'agit d'une part des données de connexion à Internet (sans trace des services utilisés, l'adresse IP est suffisamment signifiante) détenues par les fournisseurs d'accès, et d'autre part des données de connexion au serveur sur lequel résident les contenus, ainsi que le journal des modifications des pages hébergées, ces données étant en possession du fournisseur d'hébergement. L'ensemble de ces données permet d'identifier l'auteur d'un contenu litigieux, que ce contenu soit public ou non.

Les données d'identification sont des données fournies par un abonné à un fournisseur d'accès et/ou d'hébergement, lors de la création du contrat d'abonnement. Ces données varient actuellement selon le fournisseur. Lorsque le service est payant, elles comprennent forcément des informations nécessaires à la comptabilité du fournisseur et à sa gestion des comptes, ainsi qu'à la facturation du service à l'abonné. Certains fournisseurs gratuits demandent des coordonnées postales complètes, le contrat d'abonnement prenant effet à la réception par le fournisseur d'une lettre de confirmation de l'abonné. D'autres fournisseurs gratuits proposent des abonnements immédiats par voie électronique : il suffit alors parfois de n'indiquer qu'une adresse de courrier électronique, qui peut être ou non identifiante. Il existe toutefois peu de cas où l'anonymat est total, car on peut en général remonter jusqu'à un fournisseur d'accès détenant des informations plus complètes.

Ces données de base sont de toutes façons conservées par l'immense majorité des fournisseurs d'accès sérieux, qu'ils soient du secteur marchand ou non marchand. Elles leur permettent d'assurer la maintenance et la sécurité de leurs réseaux et machines et de répondre aux besoins de facturation et de contentieux le cas échéant. Elles constituent des données raisonnables et suffisantes pour la recherche des responsables d'infraction.

IRIS recommande que seules les données de connexion et les données d'identification ainsi définies puissent être conservées par les intermédiaires techniques d'accès et d'hébergement, dans les conditions de secret professionnel établies dans la loi sur la liberté de communication, et pour une durée n'excédant pas la durée normale de conservation pour les besoins de maintenance et de sécurité des réseaux, ainsi que de facturation éventuelle. Pour les données autres que de facturation, la durée maximale autorisée de conservation ne doit pas excéder trois mois.

Cette durée maximale de trois mois correspond à des besoins raisonnables de maintenance et de sécurité des systèmes, à la pratique des intermédiaires techniques, aux recommandations des autorités de protection des données, ainsi qu'aux statistiques fournies par certaines autorités de police (comme celle du National High-Tech Crime Unit du Royaume Uni), reconnaissant que 95% des infractions dites de « vie quotidienne » peuvent être résolues à l'aide de données datant de moins de trois mois (informations fournies lors d'une réunion d'experts organisée par la Commission européenne en préparation au forum sur la cybercriminalité). Toujours d'après les chiffres fournis par le Royaume Uni, les infractions dites « sérieuses et de criminalité organisée » nécessitent des données datant de 6 à 24 mois (85%) ou datant de plus de 24 mois (15%). Enfin, les crimes graves comme les meurtres ou les actes terroristes peuvent nécessiter des données datant de 5 ans. On comprend à la fois l'insuffisance d'une période de conservation de un an, voire deux ans, pour la résolution de telles affaires, et le caractère tout à fait disproportionné, dans un pays démocratique, d'une telle période de rétention systématique des données. Cela n'empêche pas que, dans le cadre d'enquêtes pour crimes graves, certaines personnes ou groupes de personnes puissent être mis sous surveillance particulière, au cas par cas et avec toutes les garanties nécessaires dans un État de droit.

3.4.4 Recommandations pour le respect des libertés et des droits fondamentaux

Outre les recommandations générales fournies ci-dessus, il nous apparaît fondamental de revenir sur certaines dispositions précises déjà adoptées afin de les abroger, ou envisagées dans la loi d'orientation et de programmation sur la sécurité intérieure afin de les abandonner.

IRIS recommande de remplacer les articles 43-9 et 43-10 de la loi sur la liberté de communication par les dispositions générales définies ci-dessus pour la conservation des données de connexion et d'identification.

Cette recommandation supprime en outre la nécessité de décret d'application. Il peut en aller facilement de même pour l'article 29 de la loi sur la sécurité quotidienne.

IRIS recommande de remplacer le II de l'article L.32-3-1 du code des postes et télécommunications, introduit par l'article 29 de la loi sur la sécurité quotidienne, par les dispositions générales définies ci-dessus pour la conservation des données de connexion et d'identification.

Les données de connexion et d'identification ne doivent servir qu'aux besoins techniques des fournisseurs d'accès et d'hébergement, ainsi qu'à la recherche des auteurs d'infractions dans le cadre d'une instruction judiciaire. Leur extension à une utilisation par l'administration, quelle qu'elle soit, n'est pas admissible dans un pays démocratique. Il se trouvera toujours de « fausses bonnes raisons », le plus souvent d'opportunité conjoncturelle, de la prescrire, mais IRIS considère que les principes de proportionnalité et de finalité de la collecte et du traitement des données personnelles doivent demeurer, en tant que principes cardinaux, au-dessus de ces contingences.

IRIS recommande la suppression de l'article 62 de la loi de finances rectificatives de 2001, et de ses conséquences sur le Code des douanes, le Livre des procédures fiscales et le Code monétaire et financier.

Toujours au motif de la finalité principale de la conservation des données de connexion et d'identification (besoins techniques des intermédiaires et recherches de responsabilité) et dans le souci de garantir des garde-fou minimaux par le recours obligé à la réquisition de données sur commission rogatoire, IRIS estime nécessaire que les données soient conservées par les intermédiaires techniques eux-mêmes, et fournies à l'autorité judiciaire dans des conditions strictes établies par la loi.

IRIS recommande que les mesures envisagées dans la loi d'orientation et de programmation sur la sécurité intérieure pour l'accès direct par les autorités de police judicaire aux bases de données des intermédiaires techniques soient abandonnées.

Concernant le déchiffrement des données (articles 30 et 31 de la loi sur la sécurité quotidienne), il n'est pas admissible qu'au prétexte du progrès technique, on s'autorise à bafouer les principes généraux de l'État de droit et plus spécialement les garanties relatives au respect de la présomption d'innocence, au respect du secret professionnel, à l'interdiction de l'auto-incrimination et de l'incrimination par les proches, ainsi qu'aux droits légitimes de la défense, notamment le droit à un procès équitable et au recours.

IRIS recommande la modification des articles 30 et 31 de la loi sur la sécurité quotidienne, ainsi que de leurs décrets d'application, de sorte que : toute demande de déchiffrement ne puisse émaner que de l'autorité judiciaire, sous le contrôle du juge des libertés et de la détention ; la procédure de déchiffrement respecte les droits de la défense, notamment l'information et le droit de recours ; la procédure de déchiffrement respecte le secret professionnel et les garanties accordées à certaines professions par la législation ; la procédure de déchiffrement n'autorise pas l'auto-incrimination ou l'incrimination par les proches.

3 Protection de la vie privée et des données personnelles sur Internet

3.2.1 Loi sur la liberté de communication

3.2.4 Loi d'orientation et de programmation pour la sécurité intérieure

3.3 Problèmes posés par la législation actuelle

3.3.1 Inintelligibilité et absence de débat démocratique

3.4.1 Recommandations pour l'intelligibilité et l'accès au droit