Délibération n° 2021-114 du 7 octobre 2021 portant avis sur un projet de décret relatif aux catégories de données conservées par les opérateurs de communications électroniques, pris en application de l'article L. 34-1 du code des postes et communications électroniques (demande d'avis n° 21016517)

Version initiale


La Commission nationale de l'informatique et des libertés,
Saisie par le Secrétaire général de la défense et de la sécurité nationale (SGDSN) d'une demande d'avis concernant un projet de décret relatif aux catégories de données conservées par les opérateurs de communication électroniques, pris en application de l'article L. 34-1 du code des postes et communications électroniques ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;


  • Après avoir entendu le rapport de Mme Sophie LAMBREMON, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
    Emet l'avis suivant :
    La loi n° 2021-998 du 30 juillet 2021 relative à la prévention d'actes de terrorisme et au renseignement a modifié l'encadrement de la conservation des données de connexion par les opérateurs de communications électroniques, les fournisseurs d'accès à internet et les hébergeurs.
    Cette évolution visait pour l'essentiel à tenir compte de la décision « French Data Network et autres » du Conseil d'Etat statuant au contentieux le 21 avril 2021 (n° 393099, 394922, 397844, 397851, 424717, 424718). La Commission souligne que cette décision, faisant suite à une saisine de la Cour de justice de l'Union européenne (CJUE) d'une question préjudicielle, est porteuse d'enjeux significatifs tant en matière de libertés publiques, et notamment de préservation de la vie privée des personnes, que d'effectivité de l'action publique pour garantir les intérêts fondamentaux de la Nation, la sécurité publique et la répression des infractions.
    Dans sa décision, le Conseil d'Etat a notamment enjoint au Premier ministre de procéder à l'abrogation dans un délai de six mois de l'article R. 10-13 du code des postes et des communications électroniques (CPCE) ainsi que du décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne.
    Ainsi, l'article 17 de la loi du 30 juillet précitée précise les finalités pour lesquelles différentes catégories des données doivent être conservées (identité civile, informations relatives au paiement, données de connexion et de localisation) par les opérateurs de communication électroniques (ci-après « les opérateurs »). Il prévoit en outre qu'« un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés […], détermine, selon l'activité des opérateurs et la nature des communications, les informations et catégories de données conservées en application des II bis et III [de l'article L. 34-1 du CPCE] ». C'est dans ce contexte que la Commission a été saisie par le secrétariat général de la défense et de la sécurité nationale (SGDSN) du présent projet de décret.
    De manière générale, la Commission considère que le projet de décret, en ce qu'il fait application de dispositions législatives sur lesquelles elle s'est prononcée dans son avis du 3 mai 2021, n'appelle pas d'observations substantielles. Elle rappelle néanmoins que l'article L. 34-1 du CPCE pose un principe d'anonymisation et d'effacement des données relatives aux communications électroniques, dont les exceptions sont strictement encadrées et se doivent d'être entourées de garanties appropriées, compte tenu des enjeux en matière de vie privée des personnes concernées que leur conservation implique.
    Si elle relève que le projet de décret détermine les données devant être conservées par les opérateurs, conformément à l'article 17 de la loi du 30 juillet 2021, la Commission s'interroge néanmoins sur la nécessité de conservation de certaines données au regard des finalités de cette conservation et estime en outre que des précisions devraient être apportées concernant certaines des catégories d'informations, afin d'améliorer la lisibilité du décret et de clarifier les obligations incombant aux opérateurs.
    Observations générales
    L'article R. 10-12 du CPCE prévoit que les données conservées par les opérateurs « s'entendent des informations rendues disponibles par les procédés de communication électronique, susceptibles d'être enregistrées par l'opérateur à l'occasion des communications électroniques dont il assure la transmission et qui sont pertinentes au regard des finalités poursuivies par la loi ».
    Les obligations des opérateurs portent donc sur la conservation de certaines catégories de données, les textes n'ayant pas vocation à leur imposer de conserver des données au-delà de celles nécessaires aux communications électroniques dont ils assurent la transmission. Dans la mesure où la conservation de ces données constitue une exception au principe général d'effacement et d'anonymisation prévu à l'article L. 34-1 II du CPCE, la Commission rappelle que le principe de minimisation impose de limiter cette conservation aux données strictement nécessaires au regard des finalités posées par la loi.
    La Commission estime que la rédaction actuelle du projet de décret peut conduire les opérateurs de communications électroniques à déduire de l'obligation de conservation des données, une obligation, de collecte de ces données ou, du moins, une incitation forte à cette collecte. Or, il n'est pas certain que les opérateurs collectent l'intégralité des données listées par l'article 2 du projet de décret (par exemple, le pseudonyme). En conséquence, elle invite le SGDSN à préciser au sein du projet de décret que les données qui y sont listées ne devront être conservées que dans la mesure où elles auront été préalablement collectées par les opérateurs dans le cadre de la fourniture de services de communications électroniques.
    Elle insiste par ailleurs sur la nécessité d'employer les termes les plus précis possibles pour définir les données conservées et ce, afin de limiter tout risque de collecte excessive.
    Ces éléments généraux rappelés, les différentes catégories de données conservées par les opérateurs appellent les observations suivantes.
    Sur la conservation du lieu de la transaction
    Le projet de décret prévoit que des informations relatives au paiement peuvent être conservées par les opérateurs « lorsque la souscription du contrat ou la création d'un compte est payante » et « pour chaque opération de paiement ». Ces informations portent sur le « type de paiement utilisé », la « référence de paiement », le « montant » et la « date, heure et lieu de la transaction ».
    A cet égard, le SGDSN a précisé que le « lieu de la transaction » correspond au lieu physique de souscription du contrat ayant donné lieu à la transaction.
    Si le SGDSN s'est engagé à préciser au sein du décret qu'il s'agit du « lieu en cas de transaction physique », la Commission est en tout état de cause réservée quant à la conservation de cette donnée par les opérateurs. Elle relève en effet que sa conservation est une obligation nouvelle introduite par le projet de décret et considère que la seule justification apportée par le SGDSN à savoir que ces données pourraient s'avérer utiles dans le cadre de réquisitions judiciaires, n'est pas suffisante pour démontrer la nécessité de leur conservation.
    Sur les informations relatives à l'identité civile de l'utilisateur
    L'article L. 34-1-II bis (1°) prévoit désormais que les opérateurs de communications électroniques sont tenus de conserver des « informations relatives à l'identité civile de l'utilisateur jusqu'à l'expiration d'un délai de cinq ans à compter de la fin de validité de son contrat ». L'article 2 du projet de décret prévoit que ces données sont : les nom et prénoms ou la raison sociale ; les adresses postales associées ; les date et lieu de naissance ; les adresses de courrier électronique ou de compte associées et les numéros de téléphone.
    En premier lieu, le SGDSN a précisé que les adresses de courrier électronique ou de comptes associés et les numéros de téléphone permettent d'entrer en contact avec les personnes et que leur conservation apparaît donc utile à des fins de sécurité nationale ou publique. La Commission relève que la conservation des « adresses postales associées » entre également dans cette justification.
    Toutefois, la Commission considère que l'emploi du seul pluriel pour ces différentes données (adresses postales, adresses de courrier électronique ou de compte associées et numéros de téléphone) n'apparaît pas justifié dans la mesure où l'utilisateur aura la plupart du temps une seule adresse postale ou électronique et un seul numéro de téléphone, et que la multiplication des données n'apparaît pas nécessaire au regard des finalités poursuivies.
    Si elle prend acte de l'engagement du SGDSN de retenir l'usage du singulier concernant la conservation de l'adresse postale de l'utilisateur, elle l'invite également à modifier le projet de décret s'agissant des adresses de courrier électronique ou de comptes associés ainsi que des numéros de téléphone, afin d'inclure la possibilité de ne collecter qu'une seule de ces informations. La Commission estime qu'une telle modification serait de nature à permettre aux opérateurs d'identifier précisément l'obligation qui leur est faite et ainsi d'éviter une conservation systématique de plusieurs données lorsqu'une seule apparaît suffisante au regard des finalités poursuivies. Elle prend acte de l'engagement du SGDSN de modifier le projet de décret en ce sens.
    En second lieu, concernant la conservation de la raison sociale, la Commission prend acte de l'engagement du SGDSN de préciser « lorsque le compte est ouvert au nom d'une société », permettant de clarifier l'obligation des opérateurs.
    Sur les autres informations fournies par l'utilisateur lors de la souscription d'un contrat ou de la création d'un compte
    Conformément à l'article L. 34-1-II bis (2°) du CPCE, le projet de décret précise les « autres informations fournies par l'utilisateur lors de la souscription d'un contrat ou de la création d'un compte » conservées par les opérateurs.
    En premier lieu, s'agissant de « l'identifiant de la connexion », le SGDSN a précisé qu'il correspond à celui lié au compte, qui peut parfois différer d'une adresse courriel ou d'un pseudonyme (par exemple le numéro de compte généré par l'opérateur).
    La Commission considère néanmoins qu'en rattachant cet identifiant à la notion de connexion, qui est pourtant déjà visée par l'article R. 10-13-III, le projet de décret n'est pas suffisamment précis. Elle considère également que la proposition du SGDSN de remplacer la notion d'identifiant de connexion par l'expression « identifiant utilisé » n'apporte pas de clarification suffisante.
    Ainsi, dans un objectif de clarté, le SGDSN s'est engagé à la demande de la Commission à viser « l'identifiant fourni par ou pour l'utilisateur, au moment de la création du compte » dans le projet de décret.
    En deuxième lieu, en ce qui concerne les « données permettant de vérifier le mot de passe ou de le modifier, le cas échéant par l'intermédiaire d'un double système d'identification de l'utilisateur, dans leur dernière version mise à jour » la Commission considère que ce libellé et les données qu'il recouvre ne sont pas suffisamment explicites.
    Elle considère en effet que cette rédaction ne permet pas aux opérateurs d'identifier avec précision les données qu'ils sont tenus de conserver. Au contraire, cette notion peut porter à confusion et conduire les opérateurs à conserver des données relatives aux techniques d'authentification, dont l'accès pourrait permettre d'usurper l'identité des abonnés. Or, le SGDSN a précisé que seuls étaient visés les canaux de communication déclarés au préalable par la personne pour permettre la récupération de comptes (adresse électronique alternative, numéro de téléphone d'un proche, etc.). A cet égard, la Commission accueille favorablement la proposition du SGDSN de viser les « moyens fournis par l'utilisateur pour le joindre afin de vérifier le mot de passe ou de le modifier, le cas échéant par l'intermédiaire d'un double système d'identification de l'utilisateur, dans leur dernière version mise à jour ».
    Enfin, concernant « les pseudonymes utilisés », la Commission prend acte de l'engagement du SGDSN de modifier la rédaction à cet égard en précisant « le ou les pseudonymes utilisés », dans la mesure où l'utilisateur n'en définit pas systématiquement plusieurs.
    Sur les données techniques et les catégories de données de trafic et de localisation
    L'article L. 34-1-II bis (3°) du CPCE prévoit que « pour les besoins de la lutte contre la criminalité et la délinquance grave, de la prévention des menaces graves contre la sécurité publique et de la sauvegarde de la sécurité nationale, les données techniques permettant d'identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés » sont conservées par les opérateurs. Le projet de décret précise les données visées.
    La Commission relève que parmi ces données figurent le « numéro d'identifiant de l'utilisateur », le « numéro d'identification du terminal » ou les « données permettant d'identifier le ou les destinataires de la communication ». Or, il ressort des précisions fournies par le SGDSN que ces données correspondent à des identifiants techniques spécifiques à la téléphonie mobile (respectivement l'IMSI, l'IMEI et le MSISDN).
    A cet égard, la Commission invite le SGDSN à mentionner les identifiants concernés à titre d'exemple.


La présidente,
M.-L. Denis

Extrait du Journal officiel électronique authentifié PDF - 212 Ko
Retourner en haut de la page