Articles

Article AUTONOME (Avis n° 2021-2080 du 7 octobre 2021 concernant deux projets de décrets relatifs aux catégories de données devant être conservées en application de l'article L. 34-1 du CPCE et de l'article 6 de la loi n° 2004-575 pour la confiance dans l'économie numérique)

Article AUTONOME (Avis n° 2021-2080 du 7 octobre 2021 concernant deux projets de décrets relatifs aux catégories de données devant être conservées en application de l'article L. 34-1 du CPCE et de l'article 6 de la loi n° 2004-575 pour la confiance dans l'économie numérique)


Après en avoir délibéré le 7 octobre 2021,


1. Contexte de la saisine


L'article L. 36-5 du code des postes et des communications électroniques prévoit que l'ARCEP est consultée sur les projets de loi, de décret ou de règlement relatifs au secteur des communications électroniques, et participe à leur mise en œuvre.
Par un courrier en date du 9 septembre 2021, le secrétaire général de la défense et de la sécurité nationale a sollicité l'avis de l'Autorité sur certaines dispositions prises en application de l'article 17 de la loi n° 2021-998 du 30 juillet 2021 relative à la prévention d'actes de terrorisme et au renseignement pour lequel l'ARCEP a rendu les avis nos 2021-0643 et 2021-0829 en date des 15 avril et 4 mai 2021.
L'analyse de l'ARCEP sur les dispositions qui lui ont été soumises se concentre exclusivement sur ce qui pourrait avoir un impact, d'une part, sur le bon fonctionnement des réseaux et des services de communications électroniques et sur les acteurs qu'elles régulent et, d'autre part, sur la sécurité juridique dont doivent bénéficier les opérateurs dans la mise en œuvre des dispositifs envisagés. En particulier, elle ne s'est pas penchée sur les aspects relatifs à la protection des données à caractère personnel et des libertés, qui ne relèvent pas de ses attributions.


2. Observations de l'ARCEP


Ces deux projets de décret en Conseil d'Etat, pris respectivement en application de l'article L. 34-1 du CPCE (1) et du II de l'article 6 de la LCEN (2) visent notamment à préciser les catégories de données de connexion devant être conservées par les opérateurs de communications électroniques et par les personnes visées aux 1 et 2 du I de l'article 6 de la LCEN, c'est-à-dire respectivement les fournisseurs d'accès à internet et les hébergeurs.


2.1. Sur le projet de décret relatif aux catégories de données conservées par les opérateurs de communications électroniques pris en application de l'article L. 34-1 du CPCE


Ce projet de décret liste les catégories de données que les opérateurs seront tenus de conserver, d'une part, au titre du II bis de l'article L. 34-1 et, d'autre part, celles qu'ils sont tenus de conserver au titre du III de l'article L. 34-1, sur injonction du Premier ministre en cas de menace grave, actuelle ou prévisible sur la sécurité nationale.
S'agissant des données à conserver au titre du II bis de l'article L. 34-1 :
Le projet de décret précise les informations relatives à l'identité civile de l'utilisateur, les informations fournies par l'utilisateur lors de la souscription d'un contrat ou de la création d'un compte ainsi que les informations relatives au paiement, les données techniques permettant d'identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés que les opérateurs doivent conserver.
L'ARCEP constate que la liste des données à conserver prévues par le projet de décret est à la fois plus précise mais potentiellement plus importante que celles que les opérateurs conservent à ce jour au titre de l'article R. 10-13 du CPCE actuellement en vigueur. En effet, la rédaction actuelle de l'article R. 10-13 du CPCE, prévoit les catégories de données à conserver sans lister de manière exhaustive ces données.
Si l'ARCEP se félicite de la précision de cette obligation en ce qu'elle constitue un renforcement de la sécurité juridique dont doivent pouvoir bénéficier les opérateurs, il conviendra de veiller à ce que sa mise en œuvre ne fasse pas peser sur les opérateurs une charge disproportionnée.
L'ARCEP invite ainsi le gouvernement à réaliser, en lien avec les opérateurs, une analyse d'impact des évolutions et, en tout état ce cause, à prévoir un délai raisonnable de mise en œuvre afin de permettre les développements et les évolutions de systèmes d'information nécessaires à la conservation de celles-ci.
S'agissant des données à conserver en cas de menace grave, actuelle ou prévisible sur la sécurité nationale au titre du III de l'article L. 34-1 :
L'ARCEP constate que les données supplémentaires dont la conservation peut être imposée aux opérateurs sur injonction du Premier ministre en cas de menace grave, actuelle ou prévisible sur la sécurité nationale sont d'ores et déjà conservées par les opérateurs au titre du R. 10-13 dans sa rédaction actuelle, pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales. Il s'agit des caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication ; des données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ; des données permettant d'identifier le ou les destinataires de la communication ainsi que, pour les activités de téléphonie, les données permettant d'identifier la localisation de la communication.
L'Autorité tient de nouveau à souligner, comme elle l'a fait dans ses avis nos 2021-0643 et 2021-0829 concernant certaines dispositions du projet de loi relatif à la prévention d'actes de terrorisme et au renseignement, que, dans ce cadre, l'impact de ces dispositions sur la confiance des utilisateurs finals dans leur opérateur doit être pris en considération.
Par ailleurs, l'ARCEP relève que le projet de décret prévoit que les modalités de compensation des surcoûts identifiables et spécifiques exposés par les opérateurs pour la fourniture de ces informations et données seront désormais définies par arrêté du Premier ministre.
A cet égard, l'ARCEP invite le Gouvernement à fixer, le cas échéant, les tarifs des prestations en concertation avec les opérateurs et à veiller à l'indemnisation rapide et homogène des surcoûts exposés par les opérateurs.


2.2. Sur le projet de décret relatif à la conservation des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne


Ce projet de décret a vocation à abroger et remplacer le décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne.
Il est pris en application du II de l'article 6 de loi pour la confiance dans l'économie numérique, dans sa rédaction modifiée par la loi n° 2021-1109 du 24 août 2021 confortant le respect des principes de la République, et vise à préciser les catégories de données de connexion devant être conservées par les personnes visées aux 1 et 2 du I de l'article 6 de la loi pour la confiance dans l'économie numérique.
Il détermine ainsi les informations relatives à l'identité civile de l'utilisateur, les informations fournies par l'utilisateur lors de la souscription d'un contrat et les informations relatives au paiement, les données techniques permettant d'identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés ainsi que les autres données de trafic et les données de localisation que ces acteurs doivent conserver.
L'article 7 du projet de décret prévoit que : « les données mentionnées aux articles 1er à 5 ne doivent être conservées que dans la mesure où elles sont collectées par les personnes mentionnées aux 1 et 2 du I de l'article 6 de la loi du 21 juin 2004 susvisée lorsqu'elles assurent la mise en œuvre des services de communication au public en ligne, et que ces données sont pertinentes au regard des finalités poursuivies par la loi » (soulignement et gras ajoutés). La fin de cet article (souligné ci-avant) semble donc confier aux fournisseurs d'accès à internet et aux hébergeurs le soin de déterminer quelles sont, parmi celles qu'ils sont susceptibles de collecter, les données pertinentes au regard des finalités poursuivies par la loi. Si telle devait être l'interprétation de cet article, il en résulterait une insécurité juridique pour ces acteurs. L'ARCEP invite en conséquence le gouvernement à préciser ce passage afin de lever cette ambiguïté dans le sens du renforcement de la sécurité juridique des fournisseurs d'accès à internet et des hébergeurs.
L'ARCEP note enfin que, si elle est saisie sur ce projet de décret, elle ne l'a pas été sur la loi n° 2021-1109 du 24 août 2021 confortant le respect des principes de la République et regrette que la compensation des surcoûts identifiables et spécifiques n'ait pas été prévue à cette occasion.
Le présent avis sera transmis au secrétaire général de la défense et de la sécurité et sera publié au Journal officiel de la République française.