Conservation des données : ça bouge à Bruxelles
Après Sarbanes-Oxley et la loi française sur la sécurité financière, c'est au tour de la Commission européenne de sortir une directive sur la conservation des données dans les entreprises, et plus particulièrement chez les opérateurs télécoms
Bruxelles- Tout mouvement sur les réseaux de communication électroniques génère des «données relatives au trafic», c'est-à-dire des données traitées en vue de l'acheminement d'une communication par un réseau de communications électroniques ou de sa facturation. Les données relatives au trafic comprennent des informations sur la date et l'heure de la communication et l'endroit d'où elle émane, ainsi que sur les numéros appelés dans le cadre de l'utilisation de services de téléphonie vocale fixe et mobile, de télécopie, de courriels, de SMS, et des données sur l'utilisation d'Internet. Des données relatives à l'abonné (et parfois à l'utilisateur), comme son nom et son adresse, sont également traitées par les fournisseurs d'accès ou les services de communications électroniques par abonnement. En vue de garantir les libertés et les droits fondamentaux des citoyens et, en particulier, la protection de leur vie privée et de leurs données à caractère personnel, le droit communautaire prévoit que les données relatives au trafic sont effacées lorsqu'elles ne sont plus nécessaires à la transmission de la communication. Certaines de ces données peuvent cependant être conservées et faire l'objet d'un traitement ultérieur par les fournisseurs de services et de réseaux à leurs propres fins commerciales, comme la facturation, ou avec l'accord des consommateurs (voir, en particulier, les dispositions de la directive 2002/58/CE ? directive vie privée et communications électroniques). Outre ces objectifs commerciaux, des objectifs d'«ordre public» peuvent également être invoqués pour justifier le traitement ultérieur des données relatives au trafic. C'est pourquoi les pouvoirs publics des États membres sont, en principe, habilités, en cas de besoin et conformément au droit applicable, à demander l'accès aux données relatives au trafic stockées par les opérateurs de communications électroniques. Les demandes légitimes de conservation de données spécifiques ou stockage des données sont également acceptées si nécessaire à des fins particulières, telles que les enquêtes et les poursuites. Le stockage des données permet de stocker des données spécifiques sur des utilisateurs donnés à partir de la date de la demande. Toutefois, en raison de l'évolution des stratégies commerciales et des offres de services, et notamment du développement des tarifs forfaitaires et des services de communications électroniques prépayés ou gratuits, il arrive que les données relatives au trafic ne soient pas stockées par tous les opérateurs dans la même mesure que ces dernières années, selon les services qu'ils proposent. Cette tendance est accentuée par les offres récentes de services de communication vocale sur Internet, voire de services forfaitaires de téléphonie fixe. Pour les services de ce type, les opérateurs ne devraient plus avoir besoin de stocker les données relatives au trafic à des fins de facturation. Si ces données ne sont pas stockées pour établir les factures ou à d'autres fins commerciales, elles ne pourront plus être mises à la disposition des pouvoirs publics lorsque ceux-ci auront des motifs légitimes d'y accéder. En d'autres termes, du fait de ces évolutions, il devient de plus en plus difficile pour les pouvoirs publics de remplir leurs missions de prévention de la criminalité organisée et du terrorisme et de lutte contre ces phénomènes, et de plus en plus facile pour les criminels de communiquer entre eux, sans craindre que les données concernant leurs communications puissent être utilisées par les services répressifs pour déjouer leurs plans. Mesures prises jusqu'à présent par les États membres Pour répondre à ces préoccupations, un certain nombre d'États membres ont adopté, ou prévoient d'adopter, des mesures générales nationales de conservation des données. Comparées aux mesures de stockage des données, qui visent des utilisateurs déterminés et des données spécifiques, les mesures générales de conservation des données ont pour objectif d'imposer à l'ensemble des opérateurs (ou à certains d'entre eux) de conserver les données relatives au trafic concernant tous les utilisateurs pour pouvoir les utiliser à des fins d'«ordre public» lorsque cela est nécessaire et autorisé. La nécessité de prendre des mesures législatives dans ce domaine au niveau européen a été confirmée par le Conseil européen dans sa déclaration sur la lutte contre le terrorisme du 25 mars 2004, adoptée peu de temps après les terribles événements de Madrid du 11 mars. Dans cette déclaration, le Conseil européen reconnaît explicitement l'importance de mesures législatives sur la conservation des données relatives au trafic, en chargeant le Conseil d'envisager des «propositions en vue de l'établissement de règles relatives à la conservation, par les fournisseurs de services, des données relatives au trafic des communications». La déclaration du Conseil européen indique également que «la priorité devrait être accordée aux propositions concernant la conservation des données relatives au trafic des communications (?) en vue de leur adoption d'ici juin 2005». La priorité accordée à l'adoption d'un instrument juridique adapté dans ce domaine a récemment été confirmée dans les conclusions du Conseil européen des 16 et 17 juin, ainsi que lors de la réunion spéciale du Conseil JAI du 13 juillet 2005 organisée à la suite des attentats de Londres. La question de la conservation des données relatives au trafic a initialement fait l'objet d'un projet de décision cadre, présenté en avril 2004 sous la forme d'une initiative de la France, de l'Irlande, de la Suède et du Royaume-Uni, c'est-à-dire d'un instrument juridique relevant du troisième pilier. Le patchwork actuel Les régimes de conservation de données instaurés ou préparés par les États membres présentent des différences importantes pour ce qui est, notamment, de leur champ d'application, des finalités pour lesquelles ils ont été adoptés ou envisagés, des données à conserver, de la durée de conservation, des possibilités de remboursement et des conditions d'accès aux données. À l'heure actuelle, on observe, par conséquent, dans les États membres un patchwork d'obligations nationales de conservation de données, qui peuvent se résumer comme suit: Une majorité d'États membres (une quinzaine selon les chiffres de 2004) ne prévoient actuellement pas d'obligations de conservation des données; Dans près de la moitié des États membres dotés d'une législation contraignante prévoyant des obligations de conservation de données, il n'est pas procédé à la conservation des données, car les mesures d'exécution doivent encore être adoptées; Dans les États membres dans lesquels s'appliquent effectivement des obligations de conservation de données, il existe d'importantes divergences sur le plan de la durée de conservation (entre trois mois et quatre ans) et de la portée de ces obligations (dans certains cas, seules les communications de téléphonie mobile prépayée sont concernées et pas Internet, dans d'autres, tous les services sont visés, etc.). La situation actuelle ne permet donc pas d'apporter une réponse satisfaisante aux graves préoccupations exprimées par le Conseil européen ni de tenir compte d'une manière appropriée de l'incidence de la nature divergente des mesures adoptées par les États membres sur l'efficacité de la coopération répressive internationale, et de ses conséquences pour les fournisseurs de services de communications électroniques, en particulier ceux qui proposent des services dans différents États membres de l'Union européenne. La position adoptée par la Commission est la suivante: la majeure partie de la décision cadre celle concernant les obligations imposées aux fournisseurs de conserver certaines données relatives au trafic devrait se fonder sur une base juridique relevant du premier pilier. C'est également la position défendue par le Service juridique du Conseil et par le Parlement européen. Que prévoit la directive? La proposition de la Commission prévoit l'harmonisation des obligations, imposées aux fournisseurs de services de communications électroniques accessibles au public ou d'un réseau public de télécommunications, de conserver les données relatives à l'utilisation de la téléphonie fixe et mobile ainsi qu'aux communications par Internet, pendant une durée d'un an et de six mois, respectivement. Elle ne s'applique pas au contenu proprement dit de ces communications. Elle comprend également une disposition garantissant le remboursement aux fournisseurs de services ou de réseaux des surcoûts qu'ils devront supporter pour s'acquitter des obligations leur incombant en vertu de la directive. Les aspects liés aux droits fondamentaux ont été soigneusement examinés lors de la préparation de la proposition, et les autorités chargées de la protection des données participeront à l'évaluation prévue, ainsi qu'à toute modification de la liste de données à conserver, qui pourra être décidée selon une procédure de comitologie. Les données à conserver seront traitées en vertu de la législation déjà en vigueur en matière de protection de données, notamment les directives 95/46/CE et 2002/58/CE. La proposition de la Commission diffère-t-elle du texte proposé par le Conseil? Bien que la proposition ait tenu compte dans une large mesure des travaux du Conseil au sujet du projet de décision-cadre, en particulier pour ce qui est des catégories de données à conserver, elle présente des différences par rapport à ce projet de décision-cadre sur plusieurs points importants. Ceux-ci peuvent se résumer comme suit: Contrairement au projet de décision-cadre, la proposition de directive suggère d'harmoniser les durées de conservation et de les fixer à un an pour les données relatives au trafic concernant la téléphonie fixe et mobile, et à six mois pour les données relatives aux communications utilisant le protocole IP. La décision-cadre établit une durée minimale de conservation d'un an pour toutes les catégories de données, mais autorise, à titre exceptionnel, des durées allant de 6 à 48 mois; Contrairement au projet de décision-cadre, la proposition de directive prévoit une disposition qui oblige les États membres à dédommager les fournisseurs de communications électroniques des surcoûts supportés en raison de l'obligation de conservation; Par ailleurs, contrairement au projet de décision-cadre, la proposition de directive prévoit la collecte de statistiques concernant les cas dans lesquels des données ont été demandées, ainsi qu'une évaluation de l'instrument et de ses retombées, sur la base de ces statistiques; Ni le projet de décision-cadre ni la proposition de directive ne sont applicables au contenu des communications. En outre, les deux textes prévoient que, pour les données liées à l'utilisation d'Internet, seules les données relatives au courrier électronique et à la téléphonie par IP doivent être conservées ce qui signifie que les données concernant les pages web visitées ne devront pas être conservées. La proposition sera examinée dans les prochaines semaines selon la procédure de codécision, qui prévoit la participation pleine et entière du Parlement européen et la consultation du Comité économique et social européen et du Comité des régions. Bref, rien n'est encore joué, et on voit mal l'Etat français indemniser Neuf Telecom et consorts pour leurs investissements en matière de conservation de données !.
Sur le même thème
Voir tous les articles Business