Trois décrets ont été adoptés le 21 octobre 2021 afin de modifier les règles applicables aux durées de conservation des données de connexion. Ces décrets étaient très attendus et font suite aux arrêts rendus par la Cour de justice de l’Union européenne (CJUE) le 6 octobre 2020 et par le Conseil d’Etat le 21 avril 2021 ainsi qu’à la loi 2021-998 du 30 juillet 2021 relative à la prévention des actes de terrorisme et au renseignement. Ainsi, ils mettent fin à la conservation indifférenciée des données de connexion.
Rappel du contexte
Jusqu’alors, les dispositions réglementaires françaises imposaient aux intermédiaires techniques de conserver de manière généralisée et indifférenciée, pour une durée d’un an, les données de trafic et de connexion.
Diverses associations, dont la Quadrature du Net, estimaient que ces dispositions contrevenaient au droit européen et notamment à la jurisprudence de la CJUE interdisant aux Etats membres d’imposer aux intermédiaires techniques une obligation de conservation généralisée et indifférenciée des données de trafic et de localisation (CJUE, 21 décembre 2016, Aff. Conjointes, C-2013/15, Tele2 Sverige e.a et C‑698/15 Watson e.a ).
Le Conseil d’État a saisi la CJUE de plusieurs questions préjudicielles. Celle-ci y a répondu dans un arrêt du 6 octobre 2020 (CJUE, 6 octobre 2020, Aff. Conjointes, C‑511/18 et C‑512/18, la Quadrature du Net, C‑511/18 et C‑512/18 French Data Network, C‑511/18 et C‑512/18 Fédération des fournisseurs d’accès à Internet associatifs et C‑511/18 Igwan.net). En substance, la CJUE n’a pas condamné la conservation des données mais a rappelé qu’une telle conservation devait impérativement être nécessaire, appropriée, proportionnée et limitée à certaines finalités, notamment « pour sauvegarder la sécurité nationale, la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques ».
À la suite de cette décision, par un arrêt du 21 avril 2021, le Conseil d’Etat a enjoint au Premier Ministre de procéder à une réforme des textes en vigueur et notamment de l’article R10-13 du Code des postes et des communications (CPCE) et du décret n°2011-219 du 25 février 2011. Mathias Avocats a analysé cet arrêt dans un article précédent.
La révision des catégories de données conservées et des durées de conservation
-
Les opérateurs de communications électroniques et les données de connexion
La révision exigée par le Conseil d’Etat a été enclenchée à l’occasion de l’adoption de la loi du 30 juillet 2021 qui, en son article 17, modifie l’article L34-1 du Code des postes et des communications électroniques (CPCE) et précise l’obligation de conservation des données en fonction des finalités poursuivies.
Source : Commission des lois du Sénat
En outre, l’article L34-1 du CPCE dispose qu’« un décret en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés et de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse, détermine, selon l’activité des opérateurs et la nature des communications, les informations et catégories de données conservées ».
C’est dans ce contexte qu’intervient le décret n°2021-1361 du 20 octobre 2021 relatifs aux catégories de données conservées par les opérateurs de communications électroniques, modifiant l’article R10-13 du CPCE. Doivent être conservées :
- Les informations relatives à l’identité civile (Nom, prénom, date et lieu de naissance pour les personnes physiques, raison sociale et identité des représentant pour les personnes morales, adresses postales, adresses électroniques, numéro de téléphone),
- Les informations fournies lors de la souscription d’un contrat ou la création d’un compte (identifiant utilisé, pseudonyme utilisé, données destinées à permettre à l’utilisateur de vérifier ou modifier son mot de passe),
- Les informations relatives au paiement (le type de paiement utilisé, la référence du paiement, le montant, la date, l’heure, et en cas de transaction physique, le lieu de paiement),
- Les données techniques permettant d’identifier la source de la connexion ou celles relatives aux équipements utilisés (adresse IP, numéro d’identifiant de l’utilisateur, numéro d’identification du terminal, numéro de téléphone à l’origine de la communication),
- Les données de trafic et de localisation (caractéristiques techniques, date, horaire et durée de chaque communication, données relatives aux services complémentaires demandés ou utilisés, données permettant d’identifier le ou les destinataires de la communication, les données permettant la localisation du téléphone mobile le cas échéant).
-
Les fournisseurs d’accès à des services de communication au public en ligne et les données permettant d’identifier toute personne ayant contribué à la création d’un contenu en ligne
Le décret n°2021-1362 du 20 octobre 2021 relatif à la conservation des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne est venu abroger le décret n°2011-219 du 25 février 2011 et précise les catégories de données devant être conservées par les fournisseurs de services de communication au public en ligne au sens de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN), et les durées de conservation associées.
Que retenir ?
Les précisions apportées par les décrets d’application participent à la mise en œuvre des exigences du CJUE et du Conseil d’Etat en ce qu’elles détaillent les données concernées et limitent la marge d’interprétation qui était laissée aux intermédiaires techniques, hébergeurs, opérateurs et fournisseurs d’accès Internet.