Doctrine
Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
CNIL, Délibération du 9 décembre 2003, n° 03-056

CNIL, Délibération du 9 décembre 2003, n° 03-056

  • Opérateur·
  • Postes et télécommunications·
  • Décret·
  • Protection des données·
  • Traitement de données·
  • Anonymisation·
  • Connexion·
  • Poste·
  • Durée de conservation·
  • Protection

Chronologie de l’affaire

Résumé de la juridiction

Délibération portant avis sur le projet de décret relatif à la conservation des données relatives à une communication par les opérateurs de télécommunications et portant modification du code des postes et télécommunications.

Commentaire0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

Sur la décision

Référence :
CNIL, délib. n° 03-056, 9 déc. 2003
Numéro : 03-056
Nature de la délibération : Avis
État : VIGUEUR
Identifiant Légifrance : CNILTEXT000017653887

Texte intégral


La Commission nationale de l’informatique et des libertés,
Saisie pour avis par le Ministère de la Justice, le 21 octobre 2003, du projet de décret relatif à la conservation des données relatives à une communication par les opérateurs de télécommunications et portant modification du code des postes et télécommunications.
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, pris ensemble le décret d’application du 17 juillet 1978 ;
Vu la loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne modifiée, et notamment son article 29 ;
Vu la loi n° 2003-2390 du 18 mars 2003 pour la sécurité intérieure, et notamment ses articles 18 et 20 ;
Après avoir entendu Monsieur Marcel PINET, en son rapport, et Madame Charlotte Marie PITRAT, Commissaire du Gouvernement en ses observations,

EMET L’AVIS SUIVANT :
Le décret relatif à la conservation des données relatives à une communication par les opérateurs de télécommunications et portant modification du code des postes et télécommunications doit préciser la portée et les modalités de mise en oeuvre de l’article 29 de la loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne (LSQ). Cet article a introduit, notamment, un article L. 32-3-1 dans le code des postes et télécommunications qui traite de la conservation par les opérateurs de télécommunications des données de connexion, c’est-à-dire les informations qui sont produites ou nécessitées par l’utilisation de réseaux de télécommunication, qu’il s’agisse des communications téléphoniques ou des connexions au réseau Internet.
L’article L. 32-3-1 du code des postes et télécommunications pose le principe général d’un effacement ou d’une anonymisation de « toute donnée relative à une communication dès que celle-ci est achevée ». Trois exceptions sont prévues, d’une part, pour permettre aux opérateurs de conserver jusqu’à la fin de la période au cours de laquelle la facture peut être légalement contestée (à savoir, un an) (1) certaines données nécessaires à la facturation ou au paiement des prestations fournies, d’autre part, pour leur permettre de conserver certaines données en vue d’assurer la sécurité de leurs réseaux (2) et, surtout, pour leur faire obligation de conserver pour une durée maximale d’un an certaines données « pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales et dans le seul but de permettre, en tant que de besoin, la mise à disposition de l’autorité judiciaire d’informations ».
Le fait pour un opérateur de télécommunications ou ses agents de ne pas procéder aux opérations tendant à effacer ou rendre anonymes les données relatives aux communications ou de ne pas procéder à la conservation de ces données dans les cas où ces opérations sont prescrites par la loi est sanctionné dans les conditions prévues par l’article L. 39-3 du code des postes et télécommunications.
Ce dispositif était prévu en 2001 par le projet de loi sur la société de l’information qui n’a jamais été examiné par le Parlement mais sur lequel la Commission avait été consultée et sur lequel elle avait rendu un avis (3). Cet avis avait été l’occasion pour la CNIL de poser les termes d’un débat qui dépasse largement les spécificités de la technologie et met en cause les principes essentiels de la protection des données à caractère personnel.
(1) Article L. 32-3-2 du code des postes et télécommunications.
(2) Cette possibilité a été introduite par l’article 20 de la loi n° 2003-2390 du 18 mars 2003 pour la sécurité intérieure.
(3) Délibération n° 01-018 du 3 mai 2001 portant avis sur le projet de loi sur la société de l’information.

Observations préliminaires
Le dispositif prévu par l’article L. 32-3-1 du code des postes et télécommunications a introduit une obligation nouvelle pour les opérateurs de télécommunications dont le,caractère dérogatoire doit être relevé.
D’une manière générale, le traitement des données à caractère personnel est soumis au principe de finalité qui oblige à ce que les catégories de données collectées et traitées et leur durée de conservation soient déterminées par la finalité du traitement. En d’autres termes, le traitement et la conservation d’une donnée ne peuvent se justifier qu’au regard de la finalité qui préside à sa collecte. Afin de permettre le travail des autorités judiciaires, les législations de protection des données à caractère personnel leur ont reconnu, dans le strict cadre défini par la procédure pénale, la possibilité d’accéder à ces informations tant que celles-ci sont conservées dans un fichier ou un traitement.
Ce schéma a été modifié en matière de traitement des données dites « de connexion » par l’article 29 de la loi du 15 novembre 2001 dans un sens qui a conduit la Commission à souligner « le caractère inédit du dispositif retenu » (4). En effet, en dérogation au principe d’effacement ou d’anonymisation posé par la loi et à côté des exceptions légitimes au regard de leurs activités (5), l’article L. 32-3-1 du code des postes et télécommunications impose aux opérateurs une obligation de conserver certaines données aux fins exclusives de faciliter l’activité des autorités judiciaires.
On doit relever que cette obligation ne répond pas à des besoins spécifiques ou ponctuels qui seraient la nécessité d’identifier les auteurs de contenus illégaux ou attentatoires aux droits des tiers, l’interception de messages utilisant les réseaux des opérateurs de télécommunications ou la préservation du contenu des informations consultées par les personnes utilisatrices des services fournis par les opérateurs. Ces possibilités sont, en effet, prévues respectivement par les lois du 1er août 2000 (6), du 10 juillet 1991 (7) et du 18 mars 2003.
L’obligation générale de conserver des catégories de données qui se rapportent à l’ensemble des personnes utilisant les services des opérateurs de télécommunications et dont la conservation ne présente aucune utilité pour les opérateurs est, en ce sens, dérogatoire aux principes généraux de la protection des données à caractère personnel.
(4) Cf. avis de la CNIL sur le projet de loi sur la société de l’information précité.
(5) A savoir, dans un premier temps, la conservation des données nécessaires en cas de contestation de la facturation ou du paiement des prestations fournies puis, dans un second temps, celles nécessaires pour assurer la sécurité de leurs réseaux.
(6) Loi n° 2000-719 du 1er août 2000 modifiant la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication.
(7) Loi n° 91-646 du 10 juillet 1991 relative au secret des correspondances émises par voie de télécommunications.

Il doit être précisé que la directive 95/46 du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données prévoit ce type de disposition. En effet, l’article 13 de cette directive prévoit explicitement que les Etats membres peuvent déroger au principe d’une durée de conservation limitée à la durée nécessaire à la réalisation des finalités pour lesquelles des données à caractère personnel sont collectées ou pour lesquelles elles sont traitées ultérieurement, lorsqu’une telle dérogation est prévue par la loi et constitue une mesure nécessaire, notamment, à la sûreté de l’Etat, la défense, la sécurité publique ainsi que la prévention, la recherche, la détection et la poursuite d’infractions pénales.
Cette disposition est également prévue par la directive 2002/58 du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques dont l’article 15 prévoit explicitement que les Etats membres peuvent adopter des mesures législatives prévoyant la conservation des données de connexion pendant une durée limitée lorsque cela constitue une mesure nécessaire, appropriée et proportionnée au sein d’une société démocratique pour sauvegarder notamment la sécurité publique ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques.
L’article L. 32-3-1 du code des postes et télécommunications précise en outre que les données « visées ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit, dans le cadre de ces communications ».
Le Conseil constitutionnel a ainsi considéré à propos de l’article 29 de la loi du 15 novembre 2001 que le législateur avait mis en oeuvre, en les conciliant, l’ensemble des exigences constitutionnelles (8).
Cependant, il doit être souligné, comme l’a indiqué la Commission lors de la présentation du dispositif législatif (9), que cette obligation « déroge aux principes fondamentaux de protection des libertés individuelles » et nécessite donc une mise en oeuvre stricte et précise qui est l’objet du projet de décret.
8) Décision n° 2001-457 DC du 27 décembre 2001.
9) Voir avis précité.

Observations générales
Sur le champ d’application du décret,
Les opérateurs disposent de deux catégories de données se rapportant aux utilisateurs de leurs réseaux : celles, administratives, relatives à leurs clients qu’ils traitent dans le cadre général de leur relation commerciale (les nom, prénom, adresse, mode de paiement de l’abonnement, etc.) et celles, techniques, relatives aux communications émises par leurs clients qu’ils transmettent par leurs réseaux (numéros de téléphone appelant et appelé, date et durée de l’appel ou de la connexion, identifiant de l’appareil utilisé par leurs clients, etc.).
L’article 29 de la loi relative à la sécurité quotidienne pose le principe d’un effacement ou d’une anonymisation de « toute donnée relative à une communication », c’est-à-dire la deuxième catégorie de données visée ci-dessus à savoir, toute donnée technique issue de l’utilisation de leurs réseaux qui est automatiquement générée et collectée par l’opérateur à l’occasion d’une communication.
En même temps qu’est posé ce principe, la loi fait obligation aux opérateurs de conserver certaines catégories de ces données techniques et de pouvoir les rattacher à la personne à l’origine de la communication qui a donné lieu à la création de ces données.
Le projet de décret dont la Commission est saisie tend à déterminer le cadre dans lequel doit s’opérer la conservation de toute information disponible au regard des procédés de télécommunications (…) susceptible d’être enregistrée par l’opérateur à l’occasion des communications dont il assure la transmission et pertinente au sens de (…) l’article L. 32-3-1 du code des postes et télécommunications (article R. 9-1 du code des postes et télécommunications introduit par l’article 2 du décret).
La loi et le décret ne visent donc pas à déterminer le cadre dans lequel doivent être conservées les données issues de la relation commerciale de la prestation de service assurée par l’opérateur. Le projet de décret prévoit ainsi explicitement que sont exclues de son champ d’application les données relatives à l’abonné ou à l’utilisateur détenues par l’opérateur dans le cadre de la relation contractuelle, « indépendantes de toute communication » (alinéa 2 de l’article R. 9-1 nouveau du code des postes et télécommunications) et qui sont traitées selon le régime du droit commun, notamment en matière de protection des données à caractère personnel.
En effet, les données relatives au nom, prénom, adresse, mode de paiement ou toute autre information utile dans le cadre de la relation contractuelle ne sont pas « enregistrées par l’opérateur à l’occasion d’une communication » mais sont fournies par l’abonné au moment de la souscription du contrat qui le lie avec son opérateur. Si, par exemple, une communication téléphonique permet à l’opérateur téléphonique de collecter des données concernant la communication en elle-même (quel numéro de téléphone est à l’origine de l’appel ? Quel numéro de téléphone est appelé ? Pour combien de temps ? etc.), elle ne lui permet pas de collecter des données se rapportant à la personne qui a passé cette communication (son nom, son adresse, son âge, etc.).

L’article 29 de la loi relative à la sécurité quotidienne et son décret d’application se limitent à définir le régime dérogatoire dans lequel doit s’effectuer la conservation de « toute donnée relative à une communication », dite donnée « de connexion ». Ainsi, les données ne se rapportant pas à l’établissement d’une communication ne sont pas concernées par ce dispositif.
En conséquence, la Commission estime que les données se rapportant à l’utilisateur (et non à ses communications) – à savoir les nom, prénom, adresse, mode de paiement, adresse IP de création et courrier électronique de confirmation, identifiant de session de connexion, mot de passe et informations associées, adresse du courrier électronique et les adresses associées – n’ont pas à figurer dans le projet de décret qui n’a vocation à traiter que de la conservation des données dites « de connexion ».
L’extension faite par le projet de décret du régime dérogatoire issu de l’article 29 de la loi relative à la sécurité quotidienne aux données relatives aux clients est de plus contraire aux directives communautaires du 24 octobre 1995 et du 12 juillet 2002 qui prévoient explicitement que seules des mesures législatives peuvent déroger aux principes généraux de la protection des données à caractère personnel.
Les données relatives à l’utilisateur en tant que client d’un opérateur sont traitées et conservées dans le cadre de la relation commerciale entre l’opérateur de télécommunications et l’utilisateur de ses services. Pour autant, les autorités judiciaires pourront avoir accès à ces données dont, cependant, la conservation devra s’effectuer selon le régime de droit commun de la protection des données à caractère personnel et non dans le cadre dérogatoire du décret pris en application de l’article 29 de la loi relative à la sécurité quotidienne.
Si la conservation de certaines de ces données peut être incontestablement utile dans le cadre de la facturation comme dans celui de la recherche, de la constatation et de la poursuite des infractions pénales, le régime applicable aux conditions dans lesquelles elles doivent être conservées ne relève manifestement pas de l’objet du présent décret.

Sur la détermination et la définition des catégories de données visées par le décret,
Les catégories de données visées aux articles R. 9-1-1 et R. 9-1-2 nouveaux du code des postes et télécommunications doivent être conservées en dérogation au principe général d’effacement ou d’anonymisation posé par l’article L. 32-3-1 du code des postes et télécommunications. A ce titre, l’emploi du terme « notamment » par le projet de décret dans la définition de ces données introduit un élément d’incertitude qui peut conduire les opérateurs à ne pas mesurer précisément l’obligation qui leur est faite. En conséquence, il appartient au décret de fixer très précisément les catégories de données que les opérateurs doivent conserver en dérogation à ce principe d’effacement.
Les informations visées par le projet de décret sont susceptibles de concerner aussi bien une communication adressée à une personne physique, l’envoi d’un courrier électronique par exemple, que la connexion à un serveur distant (accès à un site web, par exemple). Pour autant, la loi a limité l’application du décret aux données portant exclusivement, d’une part, sur l’identification des personnes utilisatrices des services fournis par les opérateurs de télécommunications et, d’autre part, sur les caractéristiques techniques des communications assurées par ces derniers.
En conséquence, il convient de définir de manière restrictive certaines catégories de données visées par le projet de décret afin que le contenu de celles-ci se limitent aux objectifs précis d’identification de la personne utilisatrice et d’apporter des éléments sur les caractéristiques techniques des communications passées. Ainsi faudrait-il que le décret définisse plus précisément les termes de « services complémentaires demandés ou utilisés » ou « données relatives aux en-têtes de message de courrier électronique permettant d’identifier l’ensemble des destinataires » afin que les données conservées à ces titres ne concernent que l’identification des personnes et les éléments sur les caractéristiques techniques des communications qu’elles auront passées.

Sur l’application de la loi « informatique et libertés » aux données visées par le décret,
Le législateur n’a pas entendu instaurer un régime d’exception sur les conditions de traitement des données techniques relatives à une communication puisque l’article L. 32-3-1 du code des postes et télécommunications prévoit que « la conservation et le traitement de ces données s’effectuent dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ».
A ce titre, la Commission souligne deux conséquences qui s’attachent à l’application de la loi « informatique et libertés » au projet de décret qui lui est soumis.
En premier lieu, le principe de finalité interdit qu’une donnée conservée dans le cadre d’une finalité précise visée par le projet de décret ne soit utilisée dans le cadre d’une autre finalité. Ainsi, une donnée conservée au titre de la sécurité des réseaux des opérateurs de télécommunications ne pourra être utilisée pour justifier d’une facturation, alors même que l’opérateur dispose de cette donnée au titre de la première finalité.
En second lieu, il convient de rappeler que les autorités de police ne pourront avoir accès aux informations visées dans le projet de décret que si elles agissent en flagrant délit ou sur commission rogatoire d’un juge d’instruction. Dans ces deux cas, en effet, les prérogatives particulières qu’elles tiennent du code de procédure pénale leur confèrent, ainsi que les administrations fiscales et douanières et les enquêteurs de l’Autorité des marchés financiers pour l’exercice de leurs missions de contrôle, la qualité de « tiers autorisés » au regard de la loi « informatique et libertés ».
C’est donc à la lumière des principes généraux relatifs à la protection des données personnelles – notamment les principes relatifs à la finalité et à la proportionnalité des données – que la Commission doit examiner le projet de décret, quand bien même certaines d’entre elles (les données conservées aux fins exclusives de permettre la recherche, la constatation et la poursuite des infractions pénales) seraient conservées sur la base d’un régime dérogatoire à ces principes.

Sur les catégories de données conservées pour les besoins de la facturation et du paiement des prestations de télécommunications,
En application du III de l’article L. 32-3-1 du code des postes et télécommunications, l’article 2 du projet de décret introduit un article R. 9-1-1 dans le code des postes et télécommunications dont les 1°, 2° et 3° traitent des catégories de données techniques qui peuvent être conservées par les opérateurs de télécommunications pour les besoins de la facturation et du paiement des prestations de télécommunications.

1. Le législateur a choisi de renvoyer à un décret le soin de fixer la liste limitative des catégories de données qui peuvent être conservées par les opérateurs en exception au principe général d’effacement ou d’anonymisation des données relatives à une communication. La Commission relève, dès lors, que ce choix a pour conséquence d’empêcher les opérateurs de conserver – notamment à des fins de preuve en matière de contestation de la facturation ou du paiement des prestations – une donnée qui ne serait pas à l’origine prévue par le décret mais dont la conservation pourrait être rendue nécessaire par l’évolution technique de leurs services. Cette possibilité d’évolution d’ailleurs est implicitement prévue par la directive du 12 juillet 2002 qui, à la différence de la directive du 15 décembre 1997 (10) qu’elle abroge et remplace (11), ne précise plus limitativement les données pouvant être conservées au titre des données de connexion, dites « données relatives au trafic », mais se contente de les définir de manière générique en tant que « données traitées en vue de l’acheminement d’une communication par un réseau de communication par un réseau de communications électroniques ou de sa facturation » (12).
Une évolution législative modifiant ce schéma pourrait prévoir, par dérogation au principe d’anonymisation et d’effacement, un mécanisme de déclaration préalable soumis au contrôle de la CNIL pour les données nécessaires à la facturation. A défaut, la Commission recommande aux pouvoirs publics de porter une attention toute particulière aux futurs besoins des opérateurs afin de permettre, le cas échéant, une adaptation du décret.
Les données visées par le décret qui peuvent être conservées par les opérateurs tendent à permettre aux opérateurs de télécommunications de justifier la facturation de la communication passée ou des services rendus dans le cadre de cette communication.
La Commission relève que la donnée relative au numéro appelé et aux services complémentaires qui peuvent affecter un appel (renvoi, transfert ou réacheminement) ne sont pas prévus dans le cadre de l’article R. 9-1-1. Il conviendrait, dès lors, que ces informations indispensables, par exemple, lorsqu’un opérateur téléphonique doit justifier le montant d’une facture – soient présentes au titre des données qui peuvent être traitées par les opérateurs.
De la même façon, les informations relatives à l’heure du début et de fin de la session de connexion à Internet doivent pouvoir être conservées par les fournisseurs d’accès afin que ceux-ci puissent utiliser ces informations dans le cadre de la facturation.
(10) Article 6 paragraphe 2 de la directive 97/66/CE du Parlement européen et de Conseil du 15 décembre 1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications.
(11) La directive du 15 décembre 1997 n’a donc plus lieu d’être visée dans les visas du décret.
(12) Article 2 de la directive du 12 juillet 2002 du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.

2. La loi précise que ces données ne peuvent être utilisées et conservées que jusqu’à la fin de la période au cours de laquelle la facture peut être légalement contestée ou des poursuites engagées pour en obtenir le paiement, à savoir un an à compter du jour du paiement. Cette disposition, qui s’applique à l’ensemble des opérateurs de télécommunications, écarte les règles applicables en matière de prescription commerciale (10 ans) ou fiscale (de 3 à 6 ans).

Sur les catégories de données conservées en vue d’assurer la sécurité des réseaux des opérateurs de télécommunications et sur leur durée de conservation,
En application du III de l’article L. 32-3-1 du code des postes et télécommunications, l’article 2 du projet de décret introduit un article R. 9-1-1 dans le code des postes et télécommunications dont le 4° traite des catégories de données techniques qui peuvent être conservées par les opérateurs de télécommunications au titre de la sécurité de leurs réseaux et installations.
1. Les données visées par le projet de décret n’appellent pas d’observation de la part de la Commission.
2. La durée de conservation fixée à trois mois par le décret paraît proportionnée à la finalité de sécurité des réseaux des opérateurs de télécommunications.

Sur les catégories de données conservées pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales et sur leur durée de conservation,
En application du II de l’article L. 32-3-1 du code des postes et télécommunications, l’article 2 du projet de décret introduit un article R. 9-1-2 dans le code des postes et télécommunications qui traite des catégories de données techniques qui doivent être conservées par les opérateurs de télécommunications pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales, ainsi que de leur durée de conservation, de l’évaluation et de la compensation des surcoûts issus de cette obligation.
1. La Commission rappelle que le décret doit indiquer de manière précise les catégories de données que les opérateurs doivent conserver pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales puisque cette conservation se fait en dérogation au principe général d’effacement ou d’anonymisation de ces données, la responsabilité pénale des opérateurs ou de leurs agents pouvant, à double titre, être engagée.
Certaines des données qui doivent être conservées par les opérateurs de télécommunications au titre de l’article R. 9-1-2 du code des postes et télécommunications appellent les observations suivantes.
En premier lieu, le décret précise que les données relatives aux en-têtes de message des courriers électroniques doivent permettre « d’identifier l’ensemble des destinataires ». La Commission souhaite que soit précisée la portée de cette disposition. En effet, la conservation du nom de domaine du serveur de l’ensemble des messages électroniques qu’une personne aura écrits (par exemple, de nombreux messages adressés à des personnes titulaires d’une adresse électronique du type nom.prénomsyndicat.fr) peut être de nature à dévoiler des informations exclues par le champ d’application du décret. En tout état de cause, les dispositions législatives interdisent que soient conservées les informations relatives au contenu ou au titre du courrier électronique.
En second lieu, l’obligation faite aux opérateurs de télécommunications de conserver la donnée relative à l’adresse IP du terminal de l’usager exclut, pour ceux d’entre eux qui utiliseraient des serveurs « proxies », de conserver les informations relatives aux pages Internet consultées par leurs clients. La conservation de telles données serait, en effet, contraire à l’article L. 32-3-1 du code des postes et télécommunications. En conséquence, les fournisseurs d’accès auront l’obligation de scinder les données éventuellement enregistrées dans leurs serveurs « proxies » afin de ne conserver que les données relatives aux adresses IP de leurs clients, à l’exclusion de toute autre donnée qui pourrait en être issue.

2. L’article L. 32-3-1 introduit par la loi sur la sécurité quotidienne pose le principe d’une durée maximale d’un an pour la conservation par les opérateurs de télécommunications des données nécessaires à la recherche, la constatation et la poursuite d’infractions pénales. La durée précise de conservation est fixée par le projet de décret au maximum légal possible, à savoir un an.
Dans son avis relatif au projet de loi sur la société de l’information, la Commission avait estimé, qu’eu égard au caractère exceptionnel et dérogatoire du dispositif retenu, « un délai de conservation de trois mois serait parfaitement proportionné et adapté aux intérêts en cause ».
La Commission avait justifié sa position par le caractère largement dérogatoire aux principes généraux relatifs à la protection des données à caractère personnel d’une disposition qui oblige les opérateurs à conserver des données se rapportant à l’ensemble des personnes utilisant leurs services et qui ne présentent aucune utilité pour eux. Elle avait considéré, faisant application du principe de finalité, qu’une durée de trois mois serait adaptée aux objectifs d’intérêts publics poursuivis par le dispositif visé. Il y a lieu, dès lors, de s’interroger sur les circonstances de droit ou de fait qui seraient de nature à modifier cette position.
Il est incontestable que les infractions commises à l’aide des technologies de l’information ou directement liées à ces technologies ont fortement progressé lors de ces dernières années. De même, l’internationalisation de plus en plus fréquente de ces infractions impose sans aucun doute que les autorités judiciaires disposent des moyens adaptés à l’évolution de la criminalité. La Commission relève que la coopération internationale se renforce dans ce domaine afin de faciliter le rapprochement d’informations nécessaires aux enquêtes judiciaires. Pour autant, elle rappelle que l’objectif de lutte contre la criminalité et le terrorisme doit s’inscrire dans le respect des principes relatifs à la protection des données à caractère personnel.
A ce titre, la Commission estime qu’une durée de conservation limitée à trois mois par les opérateurs de télécommunications serait de nature à réduire les risques induits par un dispositif qui déroge aux règles applicables à la protection des données à caractère personnel, tout en permettant aux autorités judiciaires d’exercer leurs activités dans des conditions acceptables, étant entendu qu’elles peuvent toujours, dans le cadre d’une enquête, obtenir la préservation de certaines données.
Le Président, Michel GENTOT.

Extraits similaires
highlight
Extraits similaires
Extraits les plus copiés
Extraits similaires

Textes cités dans la décision

  1. Directive ePrivacy - Directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)
  2. Directive 97/66/CE du 15 décembre 1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications
  3. Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
  4. Loi n° 91-646 du 10 juillet 1991
  5. Loi n° 2001-1062 du 15 novembre 2001
  6. Loi n° 2000-719 du 1 août 2000
  7. Loi n° 2003-239 du 18 mars 2003
  8. Loi n° 86-1067 du 30 septembre 1986
  9. Décret n°78-774 du 17 juillet 1978
  10. Loi n° 78-17 du 6 janvier 1978
Inscrivez-vous gratuitement pour imprimer votre décision
CNIL, Délibération du 9 décembre 2003, n° 03-056
Contenus populaires
Recherches fréquentes

Doctrine / Décisions de justice / 2003

  1. Doctrine
  2. Décisions de justice
  3. 2003
  4. CNIL, délib. n° 03-056, 9 déc. 2003
Contactez notre service commercial au 01 84 80 33 48