Les métadonnées sont classiquement entendues comme des « informations décrivant des données et rendant possible leur recherche, leur inventaire et leur utilisation »[1]. Une métadonnée peut par exemple indiquer l’adresse IP, l’auteur, la date de création, la date de connexion, la taille d’un fichier, etc.

Les métadonnées jouent un rôle important dans la répression de certaines infractions et permettent d’identifier une personne qui a contribué à la création d’un contenu en ligne. Mais comme souvent, l’équilibre entre sécurité et liberté est toujours difficile à trouver, en témoigne les positions divergentes de la France et de l’Union Européenne en matière d’accès et de conservation des métadonnées.

 

Le régime actuel en France :

L’article L. 34-1 du Code des postes et communications électroniques prévoit en principe pour les opérateurs de télécommunications, dont les fournisseurs d’accès à Internet et les hébergeurs l’obligation d’« effacer ou de rendre anonyme toute donnée relative au trafic » [2].

Ce même article prévoit cependant une exception à l’obligation d’effacement et d’anonymisation et permet notamment la conservation de données techniques nécessaires « pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales ». Elle permet ainsi de différer pour une durée maximale d’un an[3] les opérations d’effacement et d’anonymisation.

Cette disposition contraint donc les opérateurs de communications électroniques à conserver pour des investigations pénales, toute une série de données, de manière indiscriminée[4]. A savoir :

  • Les informations permettant d’identifier l’utilisateur,
  • Les données relatives aux équipements terminaux de communication utilisés,
  • Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication,
  • Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs,
  • Les données permettant d’identifier le ou les destinataires de la communication,

Et pour les activités de téléphonie, les opérateurs doivent conserver les données de trafic et celles permettant d’identifier l’origine et la localisation de la communication.

La position européenne

La directive « ePrivacy » 2002/58 du 12 juillet 2002 pose en son article 5 le principe de confidentialité des communications et prévoit en son article 15§1 une exception. Cette exception, tout comme en France, permet aux Etats membres de limiter la portée des droits des personnes sous réserve que la mesure soit « nécessaire, appropriée et proportionnée, au sein d’une société démocratique pour sauvegarder la sécurité nationale, la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques ».

Depuis quelques mois, la jurisprudence de la CJUE en matière d’accès et de conservation des métadonnées par les fournisseurs de services de communications électroniques en vue d’un éventuel accès par les autorités publiques se confirme et se précise.

A l’occasion des arrêts La Quadrature du net[5] et Privacy International[6] rendus le 6 octobre 2020, la Cour a confirmé sa position retenue en 2016 dans son arrêt Tele2[7] et réaffirme :

  • l’incompatibilité avec le droit de l’Union, de la transmission généralisée et indifférenciée aux services de sécurité et de renseignement des données relatives au trafic et à la localisation.
  • les possibles dérogations limitées dans le temps et sous le contrôle d’une juridiction ou d’une entité administrative en cas de « menace grave pour la sécurité nationale» ou « d’activités de terrorisme ».

Dans un arrêt du 2 mars 2021, sans surprise, la CJUE réitère sa solution et considère que « l’objectif de prévention, recherche, détection et poursuite d’infractions pénales n’est pas suffisamment grave pour justifier l’ingérence dans les droits fondamentaux d’une personne que constitue l’obligation de conservation généralisée et indifférenciée des données pour les fournisseurs de services de communication électroniques »[8].

Le dilemme de la conservation généralisée et indifférenciée.

Ce qui oppose aujourd’hui le droit français et le droit européen c’est la conservation généralisée et indifférenciée des métadonnées en vue de la prévention des infractions et de la recherche des auteurs d’infractions pénales.

En effet, le gouvernement a remis au Conseil d’Etat un mémoire, qui n’a pas été publié, dans lequel il est demandé de contourner la position européenne retenue dans les arrêts de la CJUE au motif qu’ils seraient contraires à “l’identité constitutionnelle française“, en particulier à la protection de la sécurité intérieure qui doit prévaloir sur la protection de la vie privée.

Les opérateurs se sont également saisis de cette affaire, notamment Free et Free Mobile qui ont déposé un recours en annulation de l’article R10-13 du le Code des postes et des communications électroniques devant le juge administratif. En effet, c’est ce texte qui impose aux opérateurs de communications électroniques de conserver un certain nombre de données pour besoins des enquêtes.

Une décision est attendue d’ici quelques semaines et dont l’issue ne manquera pas de raviver le débat relatif à la primauté du droit européen sur le droit français.

A suivre donc…

Claudia Weber, Avocat fondateur et Céline Dogan, Avocat | ITLAW Avocats

 

ITLAW Avocat mobilise ses talents et son expertise en matière de contrats, d’innovation, de projets informatiques complexes, de protection des données personnelles et de propriété intellectuelle   ainsi que sa connaissance de l’écosystème IT et son expertise en matière de négociation pour vous accompagner dans la sécurisation de vos projets, y compris complexes.

 

[1] article 3, 6) directive 2007/2/CE du Parlement européen et du Conseil du 14 mars 2007 établissant une infrastructure d’information géographique dans la Communauté européenne (INSPIRE),

[2] article L. 34-1 II) du Code des postes et communications électroniques,

[3] article L. 34-1 III) du Code des postes et communications électroniques,

[4] Article R. 10-13 du Code des postes et des télécommunications.

[5] CJUE, 6 octobre 2020, C-5 11/18 La Quadrature du Net e.a.

[6] CJUE, 6 octobre 2020, C-623/17 Privacy International.

[7] CJUE, 21 décembre 2016, C-203/15 et C-698/15

[8] CJUE, 2 mars 2021, C-746/18, Prokuratuur

Nous contacter