Alerte – To use or not to use fadettes… la réponse est pourtant simple… ou pas

Depuis quelques heures, les commentateurs ne cessent de rappeler les règles applicables à la consultation des données de connexion, avec plus ou moins de justesse dans leurs propos. Le terme généralement employé est celui de Fadette pour Factures Détaillées.

Ceci nous donne une bonne occasion de faire un point sur la question.

Tout a commencé avec la Directive 2006/24/CE du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications souvent appelée Directive Data Retention (pour conservation de données).

Cette directive obligeait les opérateurs de communications électroniques à conserver les données de connexion (ou données de trafic) et à les communiquer sur demande aux autorités.

Il convient de préciser que cette directive ne porte pas sur les écoutes téléphoniques, ni sur les copies des messages mais uniquement les données de connexion.

Une fois n’est pas coutume, la France a transposé cette directive avant même son vote par les autoritéseuropéennes, puisque la loi créant les articles L.34 et suivants du Code des postes et des communications électroniques a été adoptée le 23 janvier 2006.

Par la suite, la directive a fait l’objet de nombreuses critiques, notamment (mais pas uniquement) en Allemagne, et a finalement été invalidée par une décision de la Cour de Justice de l’Union Européenne (CJUE) le 8 avril 2014 (C-293/12 et C-594/12 Digital Rights Ireland et Seitlinger e.a.).

Dans son communiqué de presse, la CJUE indique « La directive comporte une ingérence d’une vaste ampleur et d’une gravité particulière dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel sans que cette ingérence soit limitée au strict nécessaire ».

Qu’est-ce qu’une donnée de connexion (ou données de trafic) ?

Il s’agit des données comme les coordonnées des correspondants, les heures et durées des communications, la localisation des téléphones ou autres outils de communication, etc… c’est ce qu’on appelle les « fadettes »…

Pourquoi les opérateurs doivent-ils conserver ces données de trafic ?

La directive prévoyait que les données devaient être rendues disponibles à des fins de recherche, de détection et de poursuite d’infractions graves telles qu’elles sont définies par chaque État membre dans son droit interne.

La loi française permet l’accès à ces données dans plusieurs cas, notamment :

• pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales,
• pour les besoins de la recherche, de la constatation et de la poursuite des téléchargements illégaux d’œuvres protégées par l’article L. 336-3 du code de la propriété intellectuelle : sur ce point le Conseil Constitutionnel a déclaré inconstitutionnel l’accès aux données de trafic par l’HADOPI (Décision n° 2020-841 QPC du 20 mai 2020)
• pour les besoins de la prévention des fraudes informatiques (articles 323-1 à 323-3-1 du code pénal). Dans une telle hypothèse, en plus des autorités judiciaires, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) peut accéder à ces données (Article L.34-1.III du Code des postes et des communications électroniques),
• pour les seuls besoins de la prévention du terrorisme (article L.851-1 du Code de la sécurité intérieure)
• pour l’accomplissement des missions d’enquêtes des agents des services d’instruction de l’Autorité de la concurrence, du Service national des enquêtes de la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), et de la directeur des entreprises, de la concurrence, de la consommation, du travail et de l’emploi  (DIRECCTE) (L.450-1 du Code de commerce)
• pour la recherche des abus de marché par les agents de l’AMF (Autorité des Marchés Financiers) (L. 621-10-2 du Code monétaire et financier)
• pour les agents de l’administration fiscale (article L96 G du Livre des procédures fiscales).

Il convient de noter que lorsque le texte précise que les autorités concernées peuvent accéder à ces données pour prévenir telle ou telle infraction, ceci signifie que les autorités en question ont accès aux données alors même qu’aucune infraction n’a encore été commise (c’est ce qu’on appelle un accès administratif).

Les accès à ces informations par certaines autorités administratives sont soumis à l’autorisation préalable du contrôleur des demandes de données de connexion (par exemple décret n° 2019-1247 du 28 novembre 2019 relatif à la procédure de communication des données de connexion aux agents mentionnés à l’article L. 450-1 du code de commerce).

Ces règles sur l’accès à ces données par les autorités administratives et judiciaires ont fait l’objet de nombreuses décisions de justice. Ainsi en France, le Conseil Constitutionnel a déjà considéré à plusieurs reprises que la loi permettant l’accès à ces données par certaines autorités ne comportait pas suffisamment de garanties pour les citoyens.

Il y a également eu des décisions au niveau européen, la CJUE (Cour de Justice de l’Union Européenne) a considéré qu’« en matière de prévention, de recherche, de détection et de poursuite d’infractions pénales, seule la lutte contre la criminalité grave est susceptible de justifier un tel accès aux données conservées » CJUE, 21 décembre 2016, C-203/15, Tele 2 Sverige AB.

Une action est également actuellement pendante devant la CJUE. En effet, certaines associations ont contesté la conformité des dispositions du Code de la sécurité intérieure permettant un accès administratif à ces données à des fins de prévention du terrorisme.

L’avocat général a rendu ses conclusions le 15 janvier 2020 dans lesquelles il considère que l’article 15.1 de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002 « (…) s’oppose à une réglementation nationale qui, dans un contexte marqué par des menaces graves et persistantes pour la sécurité nationale, et en particulier par le risque terroriste, impose aux opérateurs et aux prestataires de services de communications électroniques de conserver, de manière générale et indifférenciée, les données relatives au trafic et les données de localisation de tous les abonnés ainsi que les données permettant d’identifier les créateurs de contenus offerts par les fournisseurs de ces services. »

La Décision de la CJUE devrait être publiée prochainement.

En conclusion, les autorités judiciaires sont loin d’être les seules à pouvoir obtenir les « fadettes », un certain nombre d’autorités administratives peuvent y accéder également.

Mais la décision de la CJUE à venir changera peut-être les choses…