La durée de conservation des données de télécommunication fait l’actualité au niveau européen. Dans le cadre de mesures destinées à lutter contre le terrorisme, la Commission a rendu public, le 21 septembre dernier, le contenu d’une proposition de directive portant sur la conservation des données de connexion (communiqué de presse [europa.eu.int]).
La proposition (COM (2005) 438 final) prévoit d’harmoniser les obligations pesant sur les fournisseurs de services de communications électroniques accessibles au public, ou d'un réseau public de communications, tels que les fournisseurs d’accès à Internet (FAI) et les opérateurs de téléphonie mobile et fixe.
Elle fixe à 6 mois la durée de conservation des données de connexion Internet, sans faire – semble-t-il – de distinction entre les données des serveurs proxy et les autres données de connexion internet.
En France, la durée de conservation des données n’est toujours pas fixée, car les décrets d’application de la loi « sur la sécurité quotidienne » du 15 novembre 2001 et de la loi du 21 juin 2004 « pour la confiance dans l’économie numérique » ne sont à ce jour pas intervenus. Face à ce vide juridique, les usages et pratiques de l’Association française des fournisseurs d’accès et de services Internet (AFA) prévoient une durée limitée de conservation des données proxy – entre 3 et 5 jours, ce qui n’est peut-être pas sans conséquences en termes de sécurité juridique – et de 3 mois pour les autres données. Parallèlement, la recommandation [foruminternet.org] du Forum des droits sur l’internet rendue publique le 18 décembre 2001 préconise une durée de conservation inférieure ou égale à 1 an pour les données de connexion autres que celles « susceptibles de fournir des éléments sur le contenu des informations transmises (par exemple l'URL des sites visités, l'adresse IP du serveur consulté ou l'intitulé d'un courrier électronique), ou sur le comportement des internautes (adresse du destinataire d'un courrier électronique par exemple) ».
La proposition – bienvenue – de la Commission intervient alors qu’un projet de décision-cadre a déjà été adopté par le Conseil européen les 29 et 30 avril 2004, sur l’initiative de quatre pays – la France, l'Irlande, le Royaume-Uni et la Suède. Celui-ci prévoit une durée de conservation minimale fixée à 1 an, pouvant aller jusqu’à 3 ans.
Deux propositions divergentes sont donc sur la table.
Car parallèlement à la question de la durée de rétention, la proposition de directive prévoit de dédommager les fournisseurs des surcoûts que le respect de cette obligation génèrerait, ce que ne fait pas le Conseil européen. Cette mesure se justifie pourtant, notamment si les données proxy sont conservées 6 mois.
Le traitement de données se fera sous le contrôle exclusif des autorités chargées de la protection des données, instituées dans les Etats membres. La proposition envisage en outre un dispositif d’évolution de la liste des données à stocker, et exclut, tout comme le Conseil, l’applicabilité de la directive au contenu des communications.
Les ministres devraient choisir la voie à adopter lors du prochain Conseil européen prévu le 12 octobre 2005 : celle d’une décision du Conseil européen ou celle, davantage démocratique, d’une directive proposée par la Commission, à laquelle serait associé le Parlement dans le cadre de la procédure de co-décision.
Selon la Commission, la question de la durée de conservation des données relève du droit communautaire, dans la mesure où deux directives européennes traitent déjà de la question des données personnelles. Sans compter que la décision-cadre du Conseil européen nécessiterait l’unanimité des Etats membres, problématique puisque certains Etats émettent des réserves au sujet notamment de la protection des données personnelles.
Peter Hustinx, Contrôleur européen de la protection des données (CEPD), a indiqué dans un communiqué de presse [europa.eu.int] daté du 26 septembre 2005 que les durées de conservation devaient « répondre aux besoins des autorités compétentes et […] être harmonisées dans les Etats membres, des périodes de conservation maximales [devant] être fixées », ajoutant que « des périodes plus longues que les 6 ou 12 mois proposés ne seraient pas acceptables ».
Il souligne que seule la procédure de co-décision du Conseil et du Parlement est acceptable dans ce domaine particulièrement sensible. Le Parlement, qui doit se pencher sur la proposition de directive de la Commission, a déjà émis le souhait qu’un texte soit adopté d’ici la fin de l’année et a rejeté [europarl.eu.int], mardi dernier, la proposition du Conseil.
Iliana Boubekeur
Correspondante pour Juriscom.net
Avocat aux barreaux de Paris et New York
Cabinet Rojinsky
* Les proxy sont des serveurs qui enregistrent en mémoire "cache" les pages web fréquemment consultées par les utilisateurs de manière à améliorer les temps de connexion. L'utilité de ces serveurs est néanmoins remise en question par le haut débit.