L'abonnement à l'Informé est à usage individuel
Un autre appareil utilise actuellement votre compte
Continuer la lectureFadettes, localisation... Free s’attaque à la conservation des données pour les autorités, et c’est mal parti
Au nom de la vie privée et d’autres droits fondamentaux, l’opérateur conteste la façon dont police et services de renseignement peuvent aujourd’hui accéder aux informations de ses abonnés. Mais le rapporteur public du Conseil d’État ne le suit pas.
Cette fois, l’affaire semble mal embarquée pour les équipes de Xavier Niel. Free, Free Mobile et l’hébergeur Scaleway, trois sociétés du milliardaire de la tech - et actionnaire de l’Informé - ont décidé d’attaquer le régime de la conservation des données de connexion. En substance, cette obligation oblige les opérateurs de communication, les FAI ou encore les intermédiaires du web comme les réseaux sociaux à conserver en mémoire les traces numériques de leurs abonnés, c’est-à-dire l’ensemble des données qui ne sont pas rattachées aux contenus (comme les mails, les SMS, les vidéos). Ces métadonnées, dans le jargon, visent les « qui », « à qui », « quand », « où », « comment » de tous les échanges électroniques et appels téléphoniques, en plus d’une ribambelle d’autres informations, relatives aux abonnements notamment. Des datas très précieuses pour la police mais aussi les services du renseignement qui peuvent retracer le graphe social d’un individu et donc connaître les personnes de son entourage, ses comportements ou les lieux qu’il fréquente régulièrement (comme un hôpital, un temple, une église, une mosquée ou un club libertin).
Seulement voilà, si Free, Free Mobile et Scaleway ne contestent pas le bien-fondé d’un tel dispositif, ils en dénoncent les modalités d’exécution et demandent l’annulation des trois principaux décrets en vigueur. Les trois acteurs du net pointent plusieurs écueils, notamment des flous dans les définitions juridiques et finalement le maintien d’une conservation généralisée d’un trop grand nombre de datas, en contradiction avec la jurisprudence européenne. Mais ce lundi 19 juin, les requérants viennent de subir un lourd revers dans leur combat : à l’exception d’une disposition marginale, le rapporteur public, souvent suivi par le Conseil d’État, a réclamé le rejet de ces demandes, considérant que les textes sont limpides et le régime français parfaitement dans les clous du droit européen.
Trois décrets dans le viseur
Devant le Conseil d’État, trois décrets d’application sont sur le viseur de Free : le décret du 20 octobre 2021 « relatif à la conservation des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne », un autre daté du même jour « relatif aux catégories de données conservées par les opérateurs de communications électroniques », et enfin le décret du 17 octobre 2022 « portant injonction, au regard de la menace grave et actuelle contre la sécurité nationale, de conservation pour une durée d’un an de certaines catégories de données de connexion ». Autant dire, c’est tout l’édifice actuel de la conservation des données qui est dans le viseur.
Le premier s’inscrit dans la lignée de la loi sur la confiance dans l’économie numérique de 2004. Il impose aux FAI et aux hébergeurs de conserver toute une série d’informations afin de permettre l’identification des internautes qui ont posté des contenus en ligne, comme des commentaires ou des tweets. Le deuxième décret décrit les catégories de données que doivent conserver cette fois les opérateurs de communications électroniques (FAI et opérateurs mobiles) en application du Code des postes et des communications électroniques (CPCE).
Dans les deux cas, les avocats de Free fustigent en chœur une conservation « excessive et incertaine » puisqu’ils doivent enregistrer, suivant les cas, l’identité civile des utilisateurs (nom et prénom, date et le lieu de naissance, adresses postales, adresses de courrier électronique, adresse IP, numéro de téléphone, identifiant, pseudonyme...), les données du contrat, les informations bancaires, mais aussi l’adresse IP, les numéros de téléphone « à l’origine d’une communication », ou encore les données de trafic et de localisation. De leur avis, il y aurait même une ingérence disproportionnée au droit à la protection de la vie privée, accentuée par des flous dans la définition juridique de certaines datas.
Une pluie d’exemples
Plusieurs exemples sont invoqués par les requérants. Ainsi, comment assurer l’obligation de conserver la date et le lieu de naissance, alors que ces données ne sont pas toujours collectées par Free et pas vraiment indispensables ? En réponse, le secrétariat général de la défense et de la sécurité nationale (SGCD) est intervenu pour rappeler que les opérateurs détenaient bien ces informations puisqu’ils exigent une pièce d’identité lors de la signature d’un contrat. Les sociétés s’interrogent aussi sur l’opportunité de conserver les adresses email, qui ne sont que des données déclaratives. Le SGDN répond par une pirouette : l’opérateur n’a pas à vérifier leur exactitude. De même, le texte demande que soient conservées « la ou les adresses postales associées » ou des « comptes associés », mais sans définir ces expressions. La CNIL avait elle-même regretté l’usage du pluriel. Le SGDN a rétorqué que l’opérateur n’est tenu de conserver plusieurs adresses que si l’abonné lui en déclare plus d’une. Sur ces différents points, le rapporteur public a consacré les positions ministérielles : « les décrets n’ont pas pour effet d’obliger les intermédiaires techniques à collecter plus de données qu’ils ne le font, mais seulement à conserver les données qu’ils collectent et dans la limite où ils les collectent ». De même, ils n’ont pas à vérifier les adresses postales ou emails, mais à conserver celles qui sont déclarées.
S’ils doivent se souvenir également du « numéro d’identifiant de l’utilisateur », Free et Free Mobile devinent qu’il s’agit pour les smartphones de l’lMSI (« International Mobile Subscriber Identity ») de la carte SIM, mais quid lorsque l’utilisateur passe par une box ? Le rapporteur prévient que si ces données ne sont pas disponibles, elles n’ont tout simplement pas à être conservées.
Les intermédiaires doivent encore enregistrer « les données destinées à permettre à l’utilisateur de vérifier son mot de passe ou de le modifier, le cas échéant par l’intermédiaire d’un double système d’identification de l’utilisateur, dans leur dernière version mise à jour ». Pour Free et Free mobile, ce passage pourrait conduire les intermédiaires à conserver des données permettant à des tiers d’usurper l’identité des abonnés. Le rapporteur s’est voulu rassurant : « les données en cause sont celles permettant à l’utilisateur lui-même, et non à l’opérateur, de vérifier et modifier le mot de passe, et en outre cette disposition n’implique aucunement la conservation des mots de passe et des données d’authentification des utilisateurs ».
Dans ce long inventaire, les requérants ont finalement fait mouche pour une seule des nombreuses dispositions épinglées, celle imposant la collecte des « données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ». Quels sont ces services ? Est-ce le renvoi d’appel téléphonique, le blocage d’appel, la duplication des cartes SIM ? Le SGDN a répondu par l’affirmative s’agissant du renvoi d’appel, laissant dans le flou les autres suggestions. Et pour les services de la Première ministre, cette information serait en tout cas un moyen « indispensable » pour le Renseignement afin de « suivre l’activité d’un individu ». Le rapporteur a confirmé les critiques de l’opérateur : cette ligne est beaucoup trop imprécise. Il a recommandé son annulation.
La menace grave contre la sécurité nationale
Le troisième décret attaqué par Free et Free Mobile enjoint les opérateurs de conserver les données de trafic et de localisation durant un an, en raison d’une menace grave et actuelle « contre la sécurité nationale », et donc visant les fonctions essentielles de l’État et les intérêts fondamentaux de la société. Cette exception avait été validée par la CJUE dans son arrêt d’octobre 2021, mais pour les deux acteurs, le gouvernement aurait dû motiver cette menace, plutôt que de se contenter d’un lapidaire « vu la menace grave et actuelle contre la sécurité nationale » inscrit dans les premières lignes du décret (le « visa » du texte). Avec une telle plume, impossible d’assurer le contrôle effectif attendu par la Cour européenne. D’ailleurs, celle-ci avait réclamé un réexamen périodique de ce critère, qui n’apparaît pas davantage au Journal officiel français. Free et Free Mobile réclament donc non seulement une meilleure motivation et un contrôle a posteriori de ces critères par le Conseil d’État, mais aussi un contrôle a priori des accès par une autorité administrative indépendante, comme cela a été décidé en Belgique (via la Commission administrative chargée de la surveillance des méthodes spécifiques et exceptionnelles de recueil de données des services de renseignement et de sécurité). Pour le SGDN, le « moyen » des opérateurs de Xavier Niel n’est pas assez précis et les décrets attaqués exigent uniquement des sociétés qu’elles conservent les données, pas qu’elles en donnent l’accès aux autorités. Analyse partagée par le rapporteur. S’agissant des données techniques, les services d’Élisabeth Borne ont précisé qu’il s’agissait notamment du sens des appels (entrant ou sortant), du type d’appel (normal ou messagerie), du rôle (appelant ou appelé), du type de communication (voix, SMS, MMS, data, voix WiFi, SMS WiFi) et le volume des données échangées.
