En France, comme dans le reste de l'UE, les opérateurs de communications électroniques ouverts au public et les hébergeurs informatiques de contenus accessibles au public sont tenus de conserver certaines données durant un certain temps pour certaines finalités légales. On nomme ça la rétention des données de connexion. (Cette désignation est trompeuse puisque la conservation d'autres jeux de données est également obligatoire.) Le régime juridique des données de connexion est distinct de celui des interceptions (portant sur le contenu des communications) qui ne sera pas traité ici.
Durant les dix dernières années, ce cadre a évolué, donc je voulais faire le point. De plus, je me suis toujours demandé quelles obligations précises pèsent sur moi avec mon site web perso, mes serveurs emails et de messagerie instantanée persos, etc. Voyons ça.
Plan :
2011 : le décret 2011-219 est le dernier fixant, avec l'ancienne version du R10-13 Code des Postes et des Communications Électroniques (CPCE), le cadre français avant le grand chamboulement. Il prévoit la conservation des données de connexion, des données d'identification, de facturation, etc. ;
2014-2022 : dans plusieurs arrêts, via plusieurs questions préjudicielles posées par plusieurs juridictions nationales, la Cour de Justice de l'UE (CJUE) invalide la directive 2006/24/CE et précise le cadre européen. Arrêts notables (y'en a d'autres) : Digital Rights Ireland (2014), Tele2 Sverige (2016), LQDN et Privacy International (2020), H. K. / Prokuratuur (2021), Commissioner of the Garda Síochána (2022), SpaceNet (2022) ;
La conservation préventive, généralisée et indifférenciée des données de connexion est une atteinte disproportionnée à la vie privée, même si lesdites données ne sont pas exploitées ;
Pour la même raison, l'accès aux données de connexion doit être réservé :
2020 : dans son arrêt Breyer contre Allemagne (résumé ici), la Cour Européenne des Droits de l'Homme (CEDH) valide la collecte de données d'identification des détenteurs d'une carte SIM prépayée (l'ingérence est nécessaire et proportionnée) ;
2021-2022 : le Conseil d'État (avril 2021) et la Cour de cassation (juillet 2022) adaptent, à contrecœur, le droit français au droit de l'UE ;
2021 :
Dans son arrêt Big Brother Watch et autres contre Royaume-Uni (communiqué de presse), la CEDH dégage des critères pour valider une législation nationale implémentant la surveillance de masse (en clair : les digues ont sauté, il est loin le temps de Klass et autres c. Allemagne et de son paragraphe 41) : nécessité, proportionnalité, autorité indépendante y compris pour définir l'objet et l'étendue de la surveillance, et supervision indépendante des opérations de surveillance (aka contrôle a posteriori). Elle juge que l'ancienne législation britannique (remplacée en 2016), pourtant axée sur la sécurité nationale, n'est pas conforme à la ConvEDH par absence d'autorisation indépendante et de définition de l'étendue de la recherche et/ou des termes de celle-ci. Ensuite, la CEDH dégage des critères pour valider une législation nationale prévoyant des échanges de renseignements avec des services de renseignement étrangers : prévoir les circonstances des collaborations et celles d'utilisation des renseignements obtenus, et contrôle indépendant a posteriori. Le régime britannique satisfait à ces exigences ;
Loi renseignement 2 (relative à la prévention d’actes de terrorisme et au renseignement) puis édiction des trois décrets français qui régissent actuellement la conservation des données de connexion : 2021-1361 pour les opérateurs au titre du CPCE, 2021-1362 pour les hébergeurs et les opérateurs au titre de la LCEN, et 2021-1363 pour la conservation des données de connexion et de localisation à des fins de prévention de la menace grave et actuelle contre la sécurité nationale (qui est la conséquence de la jurisprudence CJUE interprétée par le CE pour sauver les miches de la France : la conservation généralisée est autorisée pour prévenir les menaces à la sécu nationale sous réserve d'une évaluation régulière du risque, donc hop, un décret d'injonction que l'on oubliera de réviser régulièrement et si quelqu'un rouspète, on l'abrogera pour en prendre un autre). Comme craint, le décret 2022-1327 a pris la suite du 2021-1363, puis le 2023-933, puis le 2024-901 ;
2022 :
Sources pour rédiger cette section :
Gros résumé à la truelle de la section précédente :
Données d'identification (état civil, contrat, facturation, etc.) :
Données de connexion / de trafic / d'activité / de localisation :
En sus de ça, la LCEN permet à l'autorité judiciaire de prescrire des mesures de surveillance ciblées et temporaires (source, point 7 de l'article 6). La CJUE ne s'y oppose pas, tant que c'est pour lutter contre la criminalité grave ou préserver la sécurité nationale ou publique, cf. arrêt SpaceNet ci-dessus. (C'pas déconnant, il existe bien les écoutes téléphoniques.)
A priori, c'est dans un cadre suisse similaire que ProtonMail a mouchardé l'adresse IP, le modèle et l'identifiant du terminal de militants français (source). On notera que la France a utilisé une procédure de coopération dédiée à la criminalité grave pour une affaire qui n'en relève pas et que les autorités suisses ont laissé faire (car ce n'est pas leur boulot de vérifier si des faits relèvent ou non des conventions d'entraide). Pour obtenir une collaboration, il faut une équivalence de l'infraction dans le droit suisse (je ne suis pas convaincu que ça freine les demandes puisque les autorités ne reprochent jamais d'être un mouvement social mais des infractions précises comme trouble à l'ordre public, destruction ou dégradation de bien, etc. qui existent dans toutes les législations…). Comme le note Reflets, on peut déplorer le flou dans la communication de ProtonMail, qui a changé plusieurs pages de son site web depuis cette histoire. Lire aussi l'analyse d'Alex Archambault.
Comme le note à nouveau Reflets, il en irait de même pour une surveillance ciblée par les services de renseignement ou par une administration, sous réserve d'un contrôle par une autorité indépendante. L'article 20 de la LPM 2013, qui sert de base à la collecte prévue par la loi Renseignement de 2015, prévoit un droit de communication pour les ministères de la Défense, de l'Intérieur, de l'Économie+Finances, etc., mais, j'imagine que, par sa nature et à l'aune de la jurisprudence de la CJUE, ce droit de communication de l'administration est ciblé. (Là encore, c'pas déconnant, il existe aussi les écoutes téléphoniques administratives, contrôlées par la CNCTR.)
Plein d'administrations ont un droit de communication (en dehors de tout contrôle préalable d'un juge donc) initialement accordé au fisc : AMF, DGCCRF et ADLC, douanes, sécu dont CAF, Pôle emploi, URSSAF, ANSSI, HADOPI, etc. Toutes n'ont pas accès aux données de connexion genre la Sécu ou Pôle emploi (pour ce dernier, le R5312-47 du Code du taff référence le L5312-13-2 du même Code qui exclut le L96 G du livre des procédures fiscales, c'est-à-dire les opérateurs de communications électroniques). Concernant la CAF, le Conseil constitutionnel a dit non en ce qui concerne les données de connexion, la loi n'a pas été modifiée (seul le renvoi au L83B du livre des procédures fiscale a été retiré, mais il ne concerne nullement les données de connexion), et au moins un dossier est devant la CEDH.
Depuis 2018-2019, pour répondre au critère d'indépendance posé par la CJUE (l'autorité de poursuite ne peut pas être celle qui accède aux données de connexion), l'AMF (avant de se faire retoquer par la CJUE, j'imagine) et l'ADLC demandent une autorisation préalable d'accéder aux données de connexion au contrôleur des demandes de données de connexion (CDCD), c'est-à-dire un membre du Conseil d'État suppléé par un magistrat de la Cour de cassation (et inversement, par alternance). Voir ici et là. Quid de l'indépendance des autres administrations ? HADOPI, CAF, ANSSI, etc. ?
De même, est-ce que les infractions dont ces autorités ont la charge relèvent de la gravité délimitée par la CJUE ? L'AMF s'est fait retoquer là-dessus (cf. 2022 dans la section « Historique »). La lutte contre la fraude sociale (CAF), contre les entraves à la concurrence (ADLC), ou contre le téléchargement illégal (HADOPI) relèvent-elles de la criminalité grave, de la sécurité publique, etc. ? J'en doute. De là, se faire communiquer les données de connexion que les opérateurs collectent dans le cadre de la sécurité nationale (cf. 2021 dans la section « Historique ») pour traiter des affaires qui n'en relèvent pas, tient-il la route ? A priori, la CJUE a dit non, mais la Cour de cassation a dit oui (cf. 2022 dans la section « Historique »).
Une fois que l'on a écrit tout ça, comment savoir dans quelle catégorie entre un service usuel genre un site web personnel, et les obligations qui s'imposent à nous ?
Pour rédiger cette section, je me suis appuyé sur le travail du feu groupe juridique de la FFDN (copie ici) et sur le travail de LQDN (copie ici). On notera qu'il s'agit de brouillons. Ils sont faux en cela qu'ils ne tiennent pas compte des décrets de 2021. Le premier écrit ne faisait pas consensus au sein du groupe de travail, notamment sur l'interprétation à retenir (celle, militante, de la CJUE, ou celle du droit français). Ce pan du droit est vraiment ardu.
Deux catégories d'intermédiaires techniques sont concernées :
Les deux régimes (CPCE et LCEN) se recoupent en partie, notamment sur les données à conserver.
Dans les deux cas, la prestation peut être gratuite ou payante, et le fournisseur peut être une personne morale ou physique.
La définition d'un hébergeur est plutôt claire (stockage de signaux, d'écrits, d'images, de sons ou de messages pour leur mise à dispo via des services de communication au public en ligne), mais qu'est-ce qu'un opérateur de communications électroniques ? Les définitions sont dans les articles 34-1 et 32-1 du CPCE mais rien n'est clair. En gros, ça regroupe les personnes qui exploitent un réseau de communications électroniques (ouvert au public) ou qui fournissent un service de communications électroniques (idem), ou qui offrent un accès à des services de communication au public en ligne, ou qui offrent au public, au titre d'une activité professionnelle principale ou accessoire, une connexion permettant une communication en ligne. Sachant qu'une communication électronique, c'est toute transmission de signes, signaux, écrits, d'images ou de son par voie électromagnétique et qu'un service de communications électroniques est une prestation qui consiste à fournir de telles communications. Pourquoi le vocable change en plein milieu pour « communication au public » ? Bonne question.
On retrouve les opérateurs réseaux (première définition), les services de voix sur IP (VOIP) comme SkypeOut (deuxième), les Fournisseurs d'Accès à Internet (troisième), les fournisseurs de hotspots Wi-Fi (quatrième), etc. Les hébergeurs ne sont pas englobés dans la deuxième définition. Par défaut, les fournisseurs de messagerie électronique non plus (je vais y revenir).
La notion qui revient est le caractère public. Un réseau privé n'est pas concerné. C'est d'ailleurs pour cela que plusieurs entités qui opèrent un réseau informatique à une échelle métropolitaine, par exemple, destiné à un nombre prévisible d'utilisateurs (les salariés et clients / usagers de ces entités, par exemple) prennent le statut juridique de Groupe Fermé d'Utilisateurs, pour s'éviter les contraintes du CPCE. Les services non-publiés (intranet, correspondance privée) ne sont pas concernés.
J'ai un blog Wordpress et un shaarli. Il s'agit de services de communication au public en ligne (article 6, III, 2 de la LCEN) dont je suis l'éditeur (au sens de la loi sur la presse). À ce titre, mon hébergeur doit conserver des données sur moi.
Dans les deux cas, comme sur les réseaux sociaux, d'autres personnes peuvent écrire des articles ou des commentaires. La loi permet deux statuts : soit je suis éditeur (au sens de la loi sur la presse), soit hébergeur (au sens de la LCEN).
Si je modère mes commentaires a priori et à la mano, je suis éditeur de facto, car je choisis les contenus, j'ai le contrôle de ce qui est publié. Le Bon Coin a été reconnu hébergeur en 2014 car les annonces sont modérées par un logiciel (source).
A priori, si j'octroie des droits de publication à un nombre restreint de personnes que je choisis, je suis aussi éditeur, je choisis toujours le contenu, ce n'est pas le tout-venant qui peut publier sur mon site. On notera qu'en droit de la presse, il y a une cascade de responsabilités : l'éditeur (ou le dirlo de publication) sera poursuivi, à défaut ou au titre de complicité, les auteurs aussi, à défaut les imprimeurs, à défaut les diffuseurs, donc, a priori, un éditeur n'a pas obligation de consigner qui a écrit quoi.
Les réseaux sociaux jouent sur les deux tableaux : ils se prétendent hébergeurs mais rendent visibles ou invisibles des contenus, les hiérarchisent, les font modérer selon une charte qui leur est propre par des travailleurs sous-payés (troisième point du 2e bloc), etc., ce qui semble constituer un rôle éditorial. Cependant, la question est loin d'être évidente à résorber, lire 1, 2, 3, 4.
Généralement, la consignation des données relatives aux auteurs de contenus (commentaires, articles, etc.) est effectuée par le site web lui-même, par son code, dans sa propre base de données. Les requêtes de consultation d'une page web ne doivent pas faire l'objet d'une journalisation au nom d'une prétendue obligation légale qui n'existe pas (Pages Jaunes s'est ramassée sur ce point). (D'autres finalités peuvent y conduire, cf. section « Journaux techniques » ci-dessous.
Dans mon cas, j'ai fermé les commentaires sur mon blog (mais sinon Wordpress consigne le cœur des données qu'il est obligatoire de conserver), je n'ai plus publié de contributions extérieures depuis 2011 (et Wordpress ne consigne pas les informations nécessaires), et je suis le seul auteur sur mon shaarli. Je suis uniquement éditeur, donc j'ai rien à conserver au titre d'hébergeur.
Évidemment, mes sites web non-publiés (gestionnaire de ToDo, GLPI, agrégateur RSS, etc.), dont je suis le seul utilisateur, et qui font l'objet d'une restriction d'accès par identifiant+mdp ou par adresses IP, ne sont pas des services de communication au public en ligne, donc ils sont hors périmètre (usage strictement personnel).
Garder un journal des accès web pourrait également permettre de se disculper en cas de piratage qui conduirait à la publication d'un contenu illégal plutôt que d'en assumer la responsabilité éditoriale. D'un côté, il faut que l'attaquant publie sa prose via le web (sinon il ne sera pas journalisé par le serveur web, et à part ça, j'ai uniquement un accès SSH (qui ne consigne pas les actions) et la probabilité d'une attaque réussie diminue avec des logiciels maintenus à jour. D'un autre côté, un tel journal sera inexploitable car l'attaquant se dissimulera derrière des rebonds / intermédiaires, et le contenu, qui sera temporaire (car je m'en rendrais compte rapido) et qui ne relèvera pas de la diffamation / injure / harcèlement / appel à la haine / dénigrement / etc. mais plutôt d'actes rentables genre vente de Viagra, ne sera jamais poursuivi, donc l'occasion de dégainer le journal n'existera pas. Tout montre qu'un tel journal est inutile. Sans compter qu'un piratage doit faire partie des cas de force majeur ou équivalent ("j'ai mis en place des mesures de sécurité, elles ont été contournées, c'est pas d'chance").
J'ai jamais lu que des commentaires ou articles de blog constituent une fourniture de service de communications électroniques entraînant l'application du régime prévu par le CPCE. La directive-cadre européenne 2002/21/CE dispose même de l'inverse (cf. arrêt C‑193/18 de la CJUE, points 29 à 31).
Il s'agit de correspondance privée qui s'entend comme un nombre prévisible et déterminé de destinataires individualisés. Il y a donc une communauté d'intérêt entre l'expéditeur et les destinataires. Cela a été tranché par les juridictions, y compris pour le spam… C'est différent d'un site web ou d'un profil ouvert sur un réseau social auxquels tout le monde peut accéder sans restriction. Donc le statut d'hébergeur ne s'applique pas (puisqu'il n'y a pas mise à dispo via des services de communication au public en ligne).
A priori, les listes de diffusion, les MUC (discussion de groupe) Jabber, IRC, et tant d'autres entrent également dans ce cadre-là.
Attention : parfois, un même service peut avoir plusieurs statuts. Exemple : la publication web ouverte à tous des archives d'une liste de discussion ou la mise à disposition au public de pièces jointes ou de calendriers par un webmail (type GMail) sortent du cadre de la correspondance privée, donc le statut d'hébergeur s'applique. J'ai rien de tout ça, donc je suis peinard.
Suis-je un opérateur de communications électroniques ? Auquel cas, la rétention à ce titre s'appliquerait, quand bien même celle à titre d'hébergeur ne s'applique pas. La question se pose pour de gros fournisseurs de messagerie, car si la correspondance est privée, le service en lui-même est ouvert au public (tout le monde peut ouvrir une adresse Outlook, par ex.).
La CJUE a tranché : GMail n'est pas un service de communications électroniques car sa fonction première n'est pas la transmission de signaux (cette charge est majoritairement portée par d'autres acteurs du réseau, quand bien même Google dispose de son propre réseau mondial), donc Google n'est pas un opérateur de communications électroniques, donc le CPCE ne concerne pas GMail. Les juridictions suisses ont tranché dans le même sens pour ProtonMail.
Comme le relève le Conseil d'État (note 48 pages 13 et suivante), la CJUE semble se contredire dans son arrêt LQDN de 2020, sauf à considérer que la différence entre SkypeOut (qui a été reconnu service de communications électroniques) et GMail est que SkypeOut assure, contre rémunération, la responsabilité de la transmission des communications en vertu d'accords passés avec des opérateurs télécoms là où GMail n'en fait rien, que l'essentiel du transport des emails est assumé par d'autres acteurs en best effort.
Sur la qualification juridique de GMail, on peut lire cet excellent historique.
Conclusion : je ne suis concerné ni par la LCEN, ni par le CPCE pour mes serveurs emails et de messagerie instantanée.
De toute façon, j'utilise la fonctionnalité « smtpd_sender_login_maps » de Postfix qui permet d'associer une adresse d'expéditeur à un identifiant+mdp. Donc, si, du temps où mon serveur emails hébergeait aussi une partie de ma famille (ce qui n'est plus le cas, j'en suis le seul usager), les autorités avaient débarqué pour me demander qui a émis tel email à telle date, etc., tant qu'elles me donnaient l'adresse de l'expéditeur de l'email litigieux, je pouvais dire avec certitude, et sans journal, qui en était l'auteur (sauf en cas de vol de l'identifiant+mdp, mais bon…).
Cf. les décrets 2021-1361 (pour les opérateurs au titre du CPCE), 2021-1362 (pour les hébergeurs et les opérateurs au titre de la LCEN) et 2021-1363 (pour la conservation des données de connexion et de localisation à des fins de prévention de la menace grave et actuelle pesant sur la sécurité nationale), ainsi que l'arrêt 459724 du Conseil d'État (CE) qui précise de nombreux points (dont le fait qu'on conserve uniquement ce que l'on collecte dans le cadre normal de l'activité ‒ source ‒ et qu'on n'a pas d'obligation de vérifier la véracité des informations d'identité civile).
Pour la participation à l'identification de l'auteur d'un contenu (LCEN), cinq jeux de données sont prévus :
Facturation. Type de paiement, référence du paiement, montant, date et heure (et lieu si transaction physique). Conservation : 1 ans après la fin du contrat ;
Informations techniques sur un terminal ou la source d'une connexion. Conservation : 1 an à compter de la connexion ou de l'utilisation du terminal ou la création d'un contenu.
Il en va de même pour identifier l'auteur d'une communication (CPCE), à quelques variantes près : il faut conserver également le numéro de téléphone appelant (RTC, par ex.), le numéro d'identification du terminal (CE : « données relatives aux connexions internet fixes par wi-fi ». Je comprends adresse MAC) ; les caractéristiques techniques (CE : « données collectées par l'opérateur pour effectuer et justifier la facturation de l'abonné et gérer son réseau, tels que le sens de l'appel, le type d'appel, le rôle de l'abonné, le type de communication ou le volume de données échangées »), date, heure et durée de chaque communication ; les données relatives aux services complémentaires utilisés (CE : « services complémentaires à la fourniture de communication par internet ou par téléphonie, tels que, notamment, les renvois d'appels ou le recours à un commutateur téléphonique privé ») ; les données techniques relatives au terminal et à la connexion (le 4e jeu de données ci-dessus) du destinataire ; et la localisation des communications par téléphone mobile.
Comme le relève Alexandre Archambault, la législation dit que tu peux conserver uniquement ce que tu collectes (cf. article 8 du décret 2021-1362, par ex.), mais l'article 39-3 du CPCE et l'article 6, VI de la LCEN prévoient des peines de prison et d'amende pour non conservation…
J'ai toujours interprété ça comme une manière de sanctionner une intention délibérée d'entraver les services enquêteurs : si t'as aucune donnée, c'est louche, s'il t'en manque certaines, ça passe. Exemples : il n'y a pas de facturation dans le cadre d'une prestation gratuite genre devenir auteur sur mon site web ; il n'y a pas de mécanisme de vérification du mdp pour un commentateur de blog ; il est techniquement impossible de fournir les données techniques du terminal du destinataire s'il n'est pas chez le même opérateur ; un hébergeur de machines virtuelles ne peut pas journaliser les modifications de contenus de son client à cause de la démarcation technique (mais il détient les jeux de données 1 à 3) ; etc. L'arrêt 459724 du CE me conforte dans cette interprétation.
De même, si l'on regarde bien, des outils comme Wordpress ou shaarli ne collectent pas toutes les informations exigées d'un hébergeur : date et lieu de naissance d'un commentateur ? Nature, date et heure d'une opération sur les contenus d'un shaarli ? Etc. Wordpress ne permet même pas de supprimer automatiquement au bout d'un an les données personnelles des auteurs de commentaires (son outil « Effacer les données », en sus de ne pas répondre au besoin ‒ il est conçu pour les demandes RGPD ‒, laisse intacte l'adresse IP, seuls le pseudo et l'adresse emails sont effacés).
Je ne peux m'empêcher de penser que c'est à cause de ça qu'il y a une légende urbaine sur une prétendue obligation de conserver le journal des accès à un serveur web pendant un an (démystification : 1, décision du CE contre Pages Jaunes) ou le journal d'un serveur emails.
En effet, le cœur des informations exigées (identifiant du contenu, adresse IP de l'auteur, protocole, nature de l'opération, date et heure) peuvent apparaître dans le journal des accès d'un serveur web (l'identifiant du contenu et la nature de l'opération peuvent être précisés dans l'URL, genre, pour shaarli : « POST /?edit_link=20230709_204855 »). Un conseil d'avocat sur le vif consistant à recommander cette journalisation permet d'être agnostique du type de site web utilisé et de ses capacités de journalisation, et donc de protéger le client dans le plus de cas possibles (objectif de l'avocat). Sachant que tout dépend de la question posée, du contexte présenté à l'avocat, etc., ça me paraît crédible.
Bien évidemment qu'on conserve des journaux informatiques pour d'autres motifs qu'une obligation légale tels que l'identification et le diagnostic d'un incident ou la sécurisation d'un système (détecter une compromission, parer automatiquement une attaque, etc.).
Mais cela ne peut pas être fait sous couvert de l'obligation légale présentée dans ce shaarli, il faut distinguer les finalités et la base légale, adapter la durée de conservation, etc., et, si les journaux consignent des données personnelles (comme une IP), il faut les anonymiser (selon la finalité, genre vaut mieux anonymiser après l'usage du journal par fail2ban, par ex.).
Évidemment, le RGPD s'applique aux journaux contenant des données personnelles.
S'ils répondent aux obligations présentées dans ce shaarli, pour les éléments demandés, alors la base légale est l'obligation légale, la finalité et la durée de conservation sont précisées dans les décrets, etc. Il n'y a plus qu'à y appliquer le reste du RGPD (sécurisation, traçabilité des accès, information, ne pas divulguer tout et n'importe quoi même dans le cadre d'une décision de justice, etc.).
En revanche, si les obligations présentées ci-dessus ne t'incombent pas ou si tu souhaites journaliser plus d'éléments ou pour une durée supérieure à celle prévue par la législation ou en faire un autre usage que ceux prévus par la législation, il faut une base légale et une finalité en adéquation. Ex. : faire des stats d'audience à partir d'un journal des accès d'un serveur web reposera très probablement sur le consentement, et la durée de conservation (avant anonymisation) sera proportionnée à cette finalité. Un journal technique reposera probablement sur l'intérêt légitime (idem). Etc.