J.O. 63 du 15 mars 2006       J.O. disponibles       Alerte par mail       Lois,décrets       codes       AdmiNet
Ce document peut également être consulté sur le site officiel Legifrance


Avis n° 2005-0918 du 13 octobre 2005 sur le projet de loi relatif à la lutte contre le terrorisme


NOR : ARTJ0500141V



L'Autorité de régulation des communications électroniques et des postes,

Vu la directive 97/66 /CE du Parlement européen et du Conseil du 15 décembre 1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications ;

Vu la directive 2002/58 /CE du Parlement européen et du Conseil, en date du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ;

Vu le code des postes et des communications électroniques, et notamment ses articles L. 32-1, L. 33-1, L. 33-2, L. 34-1, L. 34-2 et L. 39-3 ;

Vu la loi no 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, et notamment ses articles 15, 36 et 37 ;

Vu la loi no 86-1067 du 30 septembre 1986 relative à la liberté de communication, et notamment son article 43-9 ;

Vu la loi no 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne, notamment son article 29 ;

Vu la loi no 2003-239 du 18 mars 2003 pour la sécurité intérieure, et notamment son article 20 ;

Vu la loi no 2004-669 du 9 juillet 2004 relative aux communications électroniques et aux services de communication audiovisuelle ;

Vu le décret no 78-774 du 17 juillet 1978 modifié pris pour l'application de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret no 79-1160 du 28 décembre 1979 fixant les conditions d'application aux traitements d'informations nominatives intéressant la sécurité de l'Etat, la défense et la sécurité publique de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu l'avis no 2001-423 de l'Autorité de régulation des télécommunications en date du 2 mai 2001 sur le projet de loi sur la société de l'information ;

Vu la demande d'avis du ministre délégué à l'industrie en date du 7 octobre 2005 ;

Après en avoir délibéré le 13 octobre 2005,



I. - Remarques liminaires


Dans le cadre du projet de loi relatif à la lutte contre le terrorisme, deux dispositions intéressent directement le secteur des communications électroniques.

En premier lieu, le projet d'article 6, dans la mesure où il impose aux cybercafés et aux « fournisseurs d'accès wifi publics » la conservation des données liées à une connexion dans le cadre des dispositions de l'article L. 34-1 du code des postes et des communications électroniques (CPCE).

En second lieu, le projet d'article 7 en tant qu'il prévoit la transmission de ces données aux services de police lors d'enquêtes préventives, en amont d'une action judiciaire.

L'Autorité de régulation des communications électroniques et des postes entend se prononcer en priorité sur les dispositions du projet d'article 6.

La mesure prévoit de compléter l'article L. 34-1 du CPCE en ajoutant que « les personnes physiques ou morales dont l'activité professionnelle directe ou indirecte est d'offrir une connexion Internet à destination du public, par l'intermédiaire d'un accès au réseau, à titre gratuit ou à titre payant, sont assimilées aux opérateurs de communications en ligne pour le respect des dispositions de cet article ».

Ainsi, il résulte de ce projet d'article que les cybercafés et les fournisseurs d'accès à des réseaux de communications électroniques accessibles via une borne wifi relèvent du même régime juridique que celui qui s'applique aux opérateurs de communications électroniques visés originairement par les dispositions de l'article L. 34-1 précité.

Par exception au principe tendant à effacer ou à rendre anonyme toute donnée relative au trafic, l'article L. 34-1-II du CPCE soumet les opérateurs, et notamment les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne, à l'obligation de conserver certaines données techniques pour permettre leur utilisation aux fins de constatation et de poursuite des infractions pénales.

En revanche, les dispositions de l'article L. 34-1-III se bornent à reconnaître aux opérateurs une simple faculté de conservation des données dans le but d'établir la facturation et le paiement des prestations ainsi que pour garantir la sécurité des réseaux.

L'article L. 34-1-V du CPCE indique enfin que « les données conservées et traitées dans les conditions définies aux II, III (...) portent exclusivement sur l'identification des personnes utilisatrices des services fournis par les opérateurs, sur les caractéristiques techniques des communications assurées par ces derniers et sur la localisation des équipements terminaux (...) ».

En conséquence, les personnes visées par ce projet d'article 6 sont tenues de respecter des obligations de conservation de données au titre de l'action pénale et de mettre en oeuvre, le cas échéant, un système de collecte pour leurs besoins en termes de facturation et de sécurité de leurs réseaux.



II. - Sur les destinataires de la mesure


Sans négliger les préoccupations liées à la défense et à la sécurité publique, l'Autorité exprime ses réserves en ce qui concerne le périmètre des destinataires des mesures envisagées par le projet d'article 6.

En visant l'ensemble des personnes physiques ou morales qui, par l'intermédiaire d'un abonnement, sont susceptibles de permettre à un tiers, à titre gracieux ou onéreux, d'utiliser les services de communications électroniques d'un fournisseur d'accès à l'Internet, le législateur étend considérablement, sans en définir les limites, le périmètre des personnes soumises au régime des obligations qui découle du projet d'article 6.

En plus des cybercafés, les éléments de présentation du projet de loi mentionnent les « fournisseurs d'accès wifi ». A titre incident, l'Autorité entend indiquer que cette appellation ne renvoie à aucune définition donnée par le CPCE. L'activité qui est en réalité visée est celle d'exploitant de réseau ouvert au public interne et de fournisseur au public de services de communications électroniques sur ces réseaux.

En effet, il s'agit pour une personne physique ou morale de fournir au public un service de communications électroniques au sens de l'article L. 32 (6°) du CPCE sur un réseau de communications électroniques ouvert au public tel qu'il est défini dans les dispositions de l'article L. 32 (3°) du CPCE.

En effet, une borne d'accès sans fil utilisant la ressource radioélectrique peut être considérée comme une installation de transport et d'acheminement du signal relevant dans ce cas de la définition du réseau de communications électroniques donnée par l'article L. 32 (2°) du CPCE.

Ainsi, toute personne proposant au public un accès à l'Internet, y compris à partir d'une borne wifi, pourrait être concernée par le projet d'article 6. Il s'agit notamment des chaînes d'hôtels, des chaînes de restauration rapide et de l'ensemble des commerçants qui ont pu installer pour les besoins de leur clientèle un dispositif de connexion sans fil.

La tentative de délimitation du périmètre des personnes concernées à partir de la restriction posée par la référence à « l'activité professionnelle directe ou indirecte » appelle également certaines réserves puisque la notion d'activité professionnelle « indirecte » peut se prêter à de multiples interprétations. Or le Conseil constitutionnel censure systématiquement les dispositions législatives qui ne permettent pas de satisfaire à la « double exigence de loyauté et de clarté » (décisions no 87-226 DC du 2 juin 1987 et no 2000-428 DC en date du 4 mai 2000).

Au demeurant, si l'objectif recherché par le législateur consiste en tant que de besoin à recueillir les données liées à une communication électronique et particulièrement sur le réseau Internet, le projet de décret d'application de l'article L. 34-1 doit permettre d'y répondre.

En effet, les fournisseurs d'accès à l'Internet sont tenus, en qualité d'opérateur de communications électroniques, de satisfaire aux obligations de conservation qui résultent des dispositions de l'article L. 34-1-II relatif à la poursuite des infractions pénales.

Dans ces conditions, le projet d'article 6 pourrait sembler redondant.

III. - Sur la cohérence avec les projets de mesures réglementaires d'application des dispositions de l'article L. 34-1 du CPCE

L'Autorité s'interroge sur l'opportunité de l'adoption de ce projet d'article compte tenu de l'adoption imminente du projet de décret d'application de l'article L. 34-1 du CPCE, qui impose notamment aux fournisseurs d'accès à Internet de conserver plusieurs catégories de « données relatives au trafic ». L'Autorité a d'ailleurs rendu à ce sujet l'avis no 2005-0875 en date du 5 octobre 2005.

Dans ce cadre, le pouvoir réglementaire prévoit d'imposer aux opérateurs, au titre de la constatation et de la lutte contre les infractions pénales, l'obligation de conserver cinq catégories de données qui portent à la fois sur l'identification de l'utilisateur et sur les informations techniques liées à la communication.

Il s'agit ainsi de conserver « a) les informations permettant d'identifier l'utilisateur ; b) les données relatives aux équipements terminaux de communications utilisés ; c) les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication ; d) les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ; e) les données permettant d'identifier le ou les destinataires de la communication ».

Le projet de décret renvoie à un arrêté, dans le cadre de la mise en oeuvre du projet d'article R. 213-1 du code de procédure pénale, le soin de déterminer la nature des données susceptibles de faire l'objet d'une réquisition.

Dans ces conditions, il faut considérer que l'article 6 du projet de loi a pour effet d'imposer aux cybercafés d'être notamment capables d'identifier les utilisateurs à partir d'éléments caractérisant leur état civil et non pas seulement à partir des noms d'emprunt ou des pseudonymes couramment utilisés sur les réseaux de communications électroniques par les internautes.

Pour autant, le projet de texte ne prévoit pas les modalités permettant de recueillir les identités des différents clients. Il s'avère nécessaire de déterminer les conditions dans lesquelles les données révélant l'identité de l'utilisateur pourraient être ainsi obtenues.

Par suite, l'Autorité s'interroge sur la cohérence du mécanisme spécifique envisagé par le projet d'article 6 par rapport aux dispositions générales contenues à l'article L. 34-1 du CPCE.

En outre, le mécanisme d'indemnisation prévu par le projet de décret précité et l'article R. 213 du code de procédure pénale semble mal adapté en ce qu'il limite, d'une part, l'indemnisation de la fourniture des informations aux seules données contenues dans un contrat et dans la mesure où, d'autre part, il est fait référence, au titre du code de procédure pénale, aux « documents imprimés ».



Dans le premier cas, l'Autorité souligne que la relation entre le client et le cybercafé n'est souvent encadrée par aucun document contractuel et que, s'agissant du second cas, s'il advenait qu'un contrat soit signé, il pourrait prendre une forme électronique sans passer par le stade du document imprimé. Ainsi, la base juridique de l'indemnisation forfaitaire qui est envisagée pourrait s'en trouver fragilisée.

Enfin, l'Autorité note que le projet d'arrêté auquel renvoie le projet de décret d'application de l'article L. 34-1 du CPCE, et dont l'objet doit être de préciser le contenu des rubriques désignant les données obligatoirement conservées par les opérateurs, devra tenir compte de la nécessité d'englober les cybercafés et les fournisseurs d'accès à des réseaux par bornes wifi.


IV. - Sur le régime juridique applicable


L'Autorité souhaite rappeler que l'article 2 de la directive 2002/19 /CE « Accès » du 7 mars 2002 définit l'opérateur de communications électroniques comme « une entreprise qui fournit ou est autorisée à fournir un réseau de communications public ou une ressource associée ». Cette disposition communautaire a ainsi été transposée par le 15° de l'article L. 32 du CPCE, qui définit l'opérateur comme « toute personne physique ou morale exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communications électroniques ».

Or, l'Autorité relève que l'exploitation d'un cybercafé ne rentre pas dans le champ d'application du 15° de l'article L. 32 du CPCE. Cette activité doit être considérée comme l'établissement ou l'exploitation d'un réseau interne au sens du 4° de l'article L. 32. Il s'agit en l'occurrence d'un petit réseau filaire entièrement établi sur une même propriété, sans emprunter ni le domaine public ni une propriété tierce.

Il convient de noter que l'établissement et l'exploitation d'un réseau ouvert au public et la fourniture au public de communications électroniques sont subordonnés à une déclaration préalable auprès de l'Autorité. Or, l'article L. 33-1 du CPCE prévoit expressément que la déclaration n'est pas exigée pour l'établissement et l'exploitation de réseaux internes ouverts au public et pour la fourniture au public de services de communications électroniques sur ces réseaux tels que les cybercafés et les hôtels.

Cette déclaration permet à l'Autorité de soumettre l'opérateur à des obligations telles que le paiement d'une taxe administrative, l'acheminement gratuit des appels d'urgence et les prescriptions exigées par l'ordre public et la sécurité publique. Toutefois, celle-ci permet à l'opérateur de bénéficier également de droits tels que l'interconnexion ou l'accès à un réseau de communication électroniques.

L'Autorité souligne que le projet d'article , s'il était adopté en l'état, aurait pour conséquence d'admettre la coexistence, au côté des opérateurs à part entière soumis à l'ensemble des droits et obligations prévues par le CPCE, d'une catégorie d'acteurs mal définie uniquement tenue de respecter les seules obligations de conservation des données sans jamais bénéficier des droits afférants à la qualité d'opérateur.

Cette deuxième catégorie comprend la notion « d'opérateurs de communication en ligne » pour laquelle il ne peut être rattachée aucune définition juridique.

Dans ces conditions, l'Autorité note que l'instauration de deux types d'opérateurs est incontestablement de nature à rendre plus complexe et moins lisible le cadre législatif du secteur des communications électroniques et risque d'apparaître comme une source de complexité inutile susceptible d'engendrer un risque de recours contentieux.

Du point de vue constitutionnel, l'absence d'une définition certaine induit un risque d'atteinte à la garantie des droits des citoyens, lesquels ne disposent plus d'une connaissance suffisante des normes qui leur sont applicables.

A ce sujet, l'Autorité attire l'attention du Gouvernement sur la nécessaire intelligibilité de la loi et l'obligation d'accessibilité des termes qu'elle emploie (décision no 1999-421 DC du 16 décembre 1999).

Dans le même ordre d'idée, la prestation consistant à offrir « une connexion Internet à destination du public » ne peut se prévaloir d'aucun fondement juridique. En effet, le droit applicable à la matière ne connaît que la notion de « communication au public en ligne ».

Celle-ci fait l'objet d'une définition à l'article 1er de la loi no 2004-575 du 21 juin 2004 sur la confiance dans l'économie numérique. Il s'agit ainsi de « toute transmission, sur demande individuelle, de données numériques n'ayant pas un caractère de correspondance privée, par un procédé de communication électronique permettant un échange réciproque d'informations entre l'émetteur et le récepteur ».

Ainsi, la désignation juridique de l'Internet doit passer par le recours à la notion de réseau de communications électroniques ouvert au public.

Au surplus, l'Autorité entend signaler que l'obligation de conservation des données susceptibles d'être notamment imposée aux cybercafés les conduirait à investir massivement dans des matériels de stockage et de traitement des données dont le coût pourrait être exorbitant. Par suite, dans l'incapacité de se conformer aux obligations légales, le risque de disparition de ce segment d'activité n'est pas anodin.

Au regard de ces éléments, l'Autorité s'interroge sur la proportionnalité du dispositif envisagé par rapport à l'objectif recherché.

Par ailleurs, le projet d'article 7 ne soulève pas de remarques sur le fond.

Le présent avis sera transmis au ministre délégué à l'industrie et publié au Journal officiel de la République française.

Fait à Paris, le 13 octobre 2005.



Le président,


P. Champsaur