La CNIL s’inquiète du décret sur la rétention des données

La CNIL s’inquiète du décret sur la rétention des données

Fin mars, le décret sur la conservation des données de connexion était publié au Journal Officiel. Sa vocation est simple : il s’agit de préciser comment doit se dérouler en pratique cette obligation. Rappelons que le principe avait été prévu dès la loi sur la sécurité quotidienne, après les attentats du World Trade Center. Depuis ce décret, les opérateurs de télécommunications électroniques doivent conserver durant un an, les données relatives au trafic « pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales. »

Ceci concerne les informations nécessaires à l’identification de l’utilisateur, celles touchant les équipements, les caractéristiques techniques (adresse IP), date, horaire, durée de chaque communication. On se souvient encore que les critiques contre ce texte furent nombreuses.

Le réseau IRIS (Imaginons un Réseau Internet Solidaire) voit en ce décret l’aboutissement « d’une stratégie de contrôle toujours plus large de la population, dont la lutte contre le terrorisme ne constitue qu’un alibi, comme en témoigne la publication de ce décret d’application, 4 ans et 4 mois après la promulgation d’une loi qui visait à lutter contre le terrorisme » (la LSQ). La CNIL elle aussi avait froncé les sourcils à la lecture de la loi prévoyant cette obligation.

La Commission Informatique et Liberté revient ces jours-ci à la charge. Dans son avis en date du 10 novembre 2005, elle invitait le gouvernement à préciser le contenu exact des données à conserver dans un arrêté, adopté après avis de la CNIL. La Commission estimait le sujet trop important pour les libertés individuelles pour que l’on puisse se passer de ses services. « Cette proposition n’a pas été retenue » regrette l’autorité, qui dénonce du coup aujourd’hui le caractère bien trop imprécis du décret.

« Le décret (...), en se contentant d’énumérer cinq catégories générales de données, ne permet pas aux opérateurs de mesurer précisément l’obligation qui leur est faite de conserver certaines données en dérogation au principe général d’effacement ou d’anonymisation posé par la loi » reproche la CNIL. Un défaut grave compte tenu de l’importance d’un texte plus orienté sécurité que vie privée.

Rappelons que ce décret est encore contesté en justice, cette fois. L’Association des Fournisseurs d’Accès (AFA) a fait un recours en annulation devant le Conseil d’Etat : le texte serait peu conforme à la loi qu’il est chargé d’appliquer. Sur la prise en charge des frais pour cette conservation, les modalités de remboursement seraient trop faibles. Et la conservation d’un an pour chaque donnée est trop vaste, alors que la loi vise une durée maximale de conservation d’un an. Tout conserver pendant un an est « tout simplement irréalisable pour certaines catégories de données (en-têtes de mails, données proxies), [ceci] ne prend pas en compte les contraintes qui pèsent sur notre industrie. »