Conservation des données

La conservation des données (en anglais Retention Management) définit les règles et procédures de conservation des données personnelles ainsi que des registres d'appels téléphoniques (statistiques d'appel) que doivent respecter les opérateurs de télécommunications, les fournisseurs d'accès, et les hébergeurs de sites web et de courriels.

Elle vise principalement à faire de l'analyse de trafic et à la surveillance.

Législation

La conservation des données est soumise à des dispositions législatives :

Dans l'Union européenne :

Directive 97/66 du 15 décembre 1997 « concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications » (qui devait être transposé par le projet de loi sur la société de l'information de 2001[1])
Directive 2006/24/CE sur la conservation des données, du 15 mars 2006,
Décret 2006-358 du 24 mars 2006 (en France),
Convention sur la cybercriminalité de 2001,
Arrêt Tiscali du 18 juin 2003.

Directive 2006/24/CE sur la conservation des données

La Directive 2006/24/CE, du 15 mars 2006, exigeait jusqu'en 2014 la conservation des données pendant une période allant de six mois à deux ans, en particulier en vue de:

pouvoir tracer et identifier la source d'une communication
pouvoir tracer et identifier la destination d'une communication
pouvoir identifier la date, l'heure et la durée d'une communication
pouvoir identifier le type de communication
pouvoir identifier la machine utilisée pour communiquer
pouvoir identifier la localisation des équipements de communication mobile

La commission « Libertés civiles » du Parlement européen avait recommandé[2]

de limiter la durée de conservation des données à un an;
de ne l'autoriser qu'en cas de mandat judiciaire et seulement pour des enquêtes visant des crimes assez important pour faire l'objet d'un mandat d'arrêt européen;
de ne transférer les données aux autorités nationales que sur demande d'expresse, et cas par cas;
de permettre un opt-in pour les États membres, leur permettant de ne pas conserver les données des appels sans réponse;
d'imposer des sanctions pénales à l'utilisation illégale de ces données;
et de compenser le coût de la conservation des données pour les opérateurs privés en les dédommageant.

Ces recommandations n'ont pas été prises en compte par la Commission européenne. L'origine de cette directive vient de la Déclaration sur la lutte anti-terroriste du 25 mars 2004 du Conseil de l'UE, suivie d'une proposition conjointe, d'avril 2004, de la France, de la Suède, de l'Irlande et du Royaume-Uni d'adopter une telle directive dans le cadre du Troisième pilier, dit Justice et affaires intérieures[2]. En juin-septembre 2005, un rapport d'Alexander Nuno Alvaro, pour le compte du Parlement européen, rejette le projet de directive en déclarant qu'elle tombe sous le Premier pilier de l'UE (marché intérieur), et relève donc de la compétence du Parlement européen (tandis que le 3^e pilier est intergouvernemental). Un nouveau projet de directive, similaire, est alors présenté par Bruxelles[2]. Le Conseil a finalement adopté en février 2006 la directive sur la conservation des données, amendant la Directive 2002/58/CE. Seules l'Irlande et la Slovaquie ont voté contre[2].

Contestations

Les cours constitutionnelles de Bulgarie et de Roumanie ont jugé que la législation sur la conservation des données était inconstitutionnelle, tandis que l'Irlande a posé une question préjudicielle devant la Cour européenne de justice[3] afin de savoir si ladite directive était compatible avec les articles 7 (respect de la vie privée et familiale) et 8 (protection des données à caractère personnel) de la Charte européenne des droits fondamentaux.

Invalidation par la CJUE

Par son arrêt Digital Rights Ireland Ltd [4]^,[5] du 8 avril 2014, la Cour de justice de l'Union européenne invalide la directive 2006/24/CE. [6]

Références

Projet de loi sur la société de l'information de 2001. Voir CNIL, Délibération n°01-018 du 3 mai 2001 portant avis sur le projet de loi sur la société de l’information (sur Légifrance).
Electronic communications: personal data protection rules and availability of traffic data for anti-terrorism purposes (amend. Directive 2002/58/EC), Factsheet reference: FIS/2005/0182 ; publié le 17 novembre 2006. Disponible uniquement en anglais.
JCivil Liberties Groups Ask EU To Repeal Data Retention Directive, EDRI Gram, 2 décembre 2009
« Arrêt du 8 avril 2014, Digital Rights Ireland Ltd, C-293/12, ECLI:EU:C:2014:238, voir § 65 et 69. », sur http://curia.europa.eu, 8 avril 2014 (consulté le 30 novembre 2016)
Communiqué presse CJUE
cf. article Le Monde 8.IV.2014

Voir aussi

Lien externe

Directive 2006/24/CE du 15 mars 2006

Portail de l’informatique
Portail des bases de données

Cet article est issu de Wikipedia. Le texte est sous licence Creative Commons - Attribution - Partage dans les Mêmes. Des conditions supplémentaires peuvent s'appliquer aux fichiers multimédias.

[1] Projet de loi sur la société de l'information de 2001. Voir CNIL, Délibération n°01-018 du 3 mai 2001 portant avis sur le projet de loi sur la société de l’information (sur Légifrance).

[FS06-2] Electronic communications: personal data protection rules and availability of traffic data for anti-terrorism purposes (amend. Directive 2002/58/EC), Factsheet reference: FIS/2005/0182 ; publié le 17 novembre 2006. Disponible uniquement en anglais.

[3] JCivil Liberties Groups Ask EU To Repeal Data Retention Directive, EDRI Gram, 2 décembre 2009

[4] « Arrêt du 8 avril 2014, Digital Rights Ireland Ltd, C-293/12, ECLI:EU:C:2014:238, voir § 65 et 69. », sur http://curia.europa.eu, 8 avril 2014 (consulté le 30 novembre 2016)

[5] Communiqué presse CJUE

[6] . article Le Monde 8.IV.2014