Archives par mot-clé : Connexion

Conservation et accès aux données de connexion : le grand écart entre sécurité et libertés !

Publié le par

C’est un sujet à rebondissements multiples ! Entre textes et jurisprudence sur la conservation des données de connexion, opérateurs télécoms, hébergeurs et fournisseurs en ligne sont ballotés. Mais il y a une constante : pas de conservation généralisée et indifférenciée, et l’accès y est limité.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral

Rappelons tout d’abord que les données de connexion désignent les informations techniques qui sont automatiquement engendrées par les communications effectuées via Internet ou par téléphonie. Il s’agit en quelque sorte des informations qui « enveloppent » un message, par exemple le nom et l’adresse IP d’un internaute, l’heure et la durée d’un appel téléphonique… Ce sont elles qui vont permettre de géolocaliser une conversation, ou de déterminer que telle personne échangeait à telle heure avec telle autre, ou encore qu’elle lui a transmis un message de tel volume.

Pas de conservation généralisée
On imagine donc assez aisément l’intérêt que peuvent avoir la collecte et l’utilisation de telles données et les atteintes que cela peut porter au droit fondamental à la confidentialité des communications. C’est précisément pour préserver le droit au respect de la vie privée que la conservation des données de connexion est interdite par principe. Les opérateurs télécoms, les fournisseurs d’accès à Internet ou encore les hébergeurs doivent donc effacer ou rendre anonymes les données relatives aux communications électroniques. Et ce, conformément à l’article 34-1 du code des postes et des communications électroniques (CPCE). Mais il existe des exceptions, envisagées immédiatement par le même texte, notamment pour prévenir les menaces contre la sécurité publique et la sauvegarde de la sécurité nationale, ainsi que pour lutter contre la criminalité et la délinquance grave. Aussi, les opérateurs de communications électroniques doivent ils conserver un certain temps – pour des raisons tenant à la défense d’intérêts publics ou privés – les données de connexion.
Ces obligations pèsent ainsi sur les fournisseurs d’accès – au cloud notamment – et d’hébergement mais aussi sur les entreprises qui fournissent un accès Wifi au public à partir d’une connexion Internet, en ce qu’elles sont assimilées à un intermédiaire technique. C’est ce que précise le même article 34-1 du CPCE : « Les personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit, sont soumises au respect des dispositions [sur la conservation des données de connexion, ndlr] ». Ces acteurs se trouvent donc au cœur d’un arsenal sécuritaire avec des obligations qui n’en finissent pas de fluctuer au gré des réponses apportées par le législateur et/ou par le juge, tant au niveau national qu’européen.
La Cour de justice de l’Union européenne (CJUE) rappelle, de manière constante (1) que la conservation généralisée et indifférenciée, à titre préventif, des données de connexion par les opérateurs est interdite. Cependant, elle admet qu’une restriction au droit à la vie privée est possible lorsqu’elle est justifiée par une nécessité urgente, pour une durée déterminée, et lorsqu’elle constitue une mesure nécessaire, appropriée et proportionnée au sein d’une société démocratique. Autrement dit, la haute juridiction européenne autorise l’obligation de conservation « ciblée » des données, obligation qui peut être renouvelable en cas de persistance de la menace.
C’est également la position adoptée par la CJUE qui s’est exprimée sur le sujet à deux reprises en 2022 : en avril d’abord, concernant la localisation d’appel téléphonique obtenue sur le fondement d’une loi irlandaise (2); en septembre 2022 ensuite, cette fois pour des poursuites pénales de délits d’initiés engagées sur le fondement du décret français de lutte contre les infractions d’abus de marché (3). Dans les deux cas, la haute juridiction européenne confirme que les législations nationales des Etats membres ne peuvent aboutir à la conservation généralisée et indifférenciée des données de trafic. A défaut, elle les juge contraire au droit de l’Union européenne.

En France, 3 décrets : délais de 1 à 5 ans
En France, la mise en œuvre de ce dispositif a donné lieu à l’entrée en vigueur de différentes obligations, répondant à un certain nombre de cas limitativement énumérés et pour une durée qui varie d’un an à cinq ans selon les informations concernées. Ces obligations sont prévues par trois décrets pris en application de l’article L.34-1 du CPCE, encore lui. Leur périmètre est en constante évolution, à la recherche d’un équilibre entre objectifs sécuritaires et protection de la vie privée :
Le décret n°2021-1361 relatif aux catégories de données conservées par les opérateurs de communications électroniques.
Le décret n°2021-1362 relatif à la conservation des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne (4).
Le décret n°2022-1327 portant injonction, au regard de la menace grave et actuelle contre la sécurité? nationale, de conservation pour une dure?e d’un an de certaines catégories de données de connexion (5).

Cour de cassation : les arrêts de l’été 2022
Quant à nos juridictions nationales, elles se sont penchées plus spécifiquement sur la question des personnes habilitées à avoir accès à ces données. Le législateur français a prévu que seules l’autorité judiciaire et certaines administrations – par exemple, les services de renseignement – peuvent exiger la communication des données de connexion. Le Conseil constitutionnel, saisi d’une question prioritaire de constitutionnalité (QPC) à l’initiative d’associations de défense des droits et libertés sur Internet (6), a considéré que les agents des douanes étaient exclus de ce périmètre. Ils ne peuvent donc pas exiger la communication de ces données (7).
La Cour de cassation a, quant à elle, apporté quelques précisions complémentaires dans plusieurs arrêts rendus au cours de l’été 2022, en juillet (8). Elle considère que l’accès aux données de connexion doit se faire sous le contrôle effectif d’une juridiction. En conséquence, le juge d’instruction – qu’elle a qualifié de juridiction indépendante et non de partie – ou une autorité administrative indépendante peuvent ordonner et contrôler les procédures d’accès aux données de connexion. En revanche, le procureur de la République, parce qu’il est une autorité de poursuite et non une juridiction, ne dispose pas de cette possibilité. En conséquence, l’accès aux données de connexion, lorsqu’il est ordonné par un procureur, serait irrégulier. De quoi remettre en cause la régularité de beaucoup de procédures pénales !
La haute juridiction française, dans ces mêmes arrêts du mois de juillet, a rappelé que la personne mise en examen, victime d’un accès irrégulier, a la possibilité de contester la pertinence des preuves tirées de ses données. De quoi permettre au juge pénal d’annuler les actes ayant permis d’accéder aux données !
La Conférence nationale des procureurs de la République (CNPR) y voit un « obstacle majeur à l’identification des délinquants et criminels », et a dénoncé les « conséquences [de ces décisions] sur la capacité des magistrats du ministère public et des enquêteurs à exercer leurs missions de manifestation de la vérité et de protection des victimes ». En dépit de cette levée de boucliers, la chambre criminelle de la Cour de cassation a entériné fin octobre 2022 (9) son analyse. Elle confirme que le juge d’instruction, qui est une juridiction, doit contrôler le respect par les enquêteurs des modalités d’accès aux données de trafic et de localisation qu’il a autorisées. Or, dans l’affaire en question, le magistrat instructeur n’avait pas autorisé en des termes spécifiques de sa commission rogatoire les réquisitions litigieuses, et ce notamment parce qu’il n’avait pas précisé la durée et le périmètre de cette commission rogatoire. La Cour de cassation a donc jugé que des réquisitions adressées aux opérateurs télécoms par les enquêteurs devaient être annulées sous réserve qu’un grief soit établi par le requérant.
La haute juridiction a précisé, dans ce même arrêt, que la preuve de ce grief suppose la démonstration de trois éléments : l’accès a porté sur des données irrégulièrement conservées ; la finalité ayant motivé l’accès aux données doit être moins grave que celle ayant justifié leur conservation (hors hypothèse de la conservation rapide) ; l’accès a dépassé les limites de ce qui était strictement nécessaire.
Le sujet a pris une dimension politique, en écho aux magistrats du Parquet. Deux sénateurs (LR) ont considéré que ces décisions « [les] privent ainsi que les forces de police judiciaire d’un outil précieux dans l’identification des auteurs de crimes ou d’infractions graves ». Yves Bouloux (10) et Serge Babary (11) ont chacun saisi le gouvernement d’une question écrite (12) afin que ce dernier prenne en urgence les mesures nécessaires afin de permettre aux procureurs de la République d’exercer leurs missions. Serge Babary a même appelé à envisager une réforme institutionnelle afin de conférer aux magistrats du Parquet les garanties d’indépendance exigées par le droit de l’Union européenne.

Les défenseurs de la vie privée veillent
Mais la question est loin de faire consensus avec ceux qui dénoncent avec force les « velléités sécuritaires du gouvernement ». En première ligne de ces défenseurs de la vie privée, il y a notamment l’association La Quadrature du Net, qui salue comme autant de bonnes nouvelles les décisions qui diminuent l’obligation de conservation des données de connexion. Ce fut le cas notamment en février 2022 à la suite de la décision du Conseil constitutionnel qui avait censuré une partie de l’obligation de conservation généralisée et indifférenciée des données de connexion. (13) Si la lutte contre la criminalité légitime l’ingérence de l’Etat, reste donc toujours et encore à positionner le curseur à bon niveau pour ne pas porter atteinte à la vie privée et aux libertés individuelles. @

* Christiane Féral-Schuhl, ancienne présidente
du Conseil national des barreaux (CNB)
après avoir été bâtonnier du Barreau de Paris, est l’auteure
de « Cyberdroit » (Dalloz 2019-2020) et co-auteure
de « Cybersécurité, mode d’emploi » (PUF 2022).

La 5G franchira en 2022 les 10 % de connexions mobiles générées par les cartes SIM dans le monde

Publié le par

L’année 2022 s’annonce comme celle qui verra la 5G franchir la barre du 1 milliard de connexions au total dans le monde, que cela soit de la 5G mobile ou de la 5G fixe. Pour la première fois, elle va dépasser cette année le taux de 10 % des connexions mobiles grâce à 200 réseaux dans 70 pays.

La croissance de la 5G croît plus vite que les deux précédentes générations de mobiles sur la même période de démarrage commercial. « Cette croissance sans précédent représente le déploiement générationnel le plus rapide pour l’industrie du mobile par rapport à la 3G et la 4G. En comparaison, dix-huit mois après son lancement, la 5G représentait plus de 5,5 % des connexions mobiles – ni la 3G ni la 4G n’ont dépassé 2,2 % de pénétration au même moment de leur cycle de vie », s’est félicité Alex Sinclair (photo), directeur technique à la GSMA, laquelle réunit plus de 750 opérateurs mobiles et compte pour l’instant près de 200 réseaux 5G dans 70 pays.

Vers 2 milliards de connexions 5G fin 2025
Un total de 1 milliard de connexions mobiles 5G – correspondant à autant de cartes SIM connectées à partir d’un appareil compatible avec la cinquième génération de mobile – devrait être atteint d’ici la fin de 2022, sur un total de plus de 8,4 milliards de connexions toutes générations de mobiles confondues (hormis les connexions des réseaux cellulaires d’objets connectés estimés à 2 milliards en 2021). Ainsi, pour la première fois, la 5G va dépasser dans le courant de cette année les 10 % de connexions mobiles pour tendre, selon nos calculs, vers les 12%. Ce taux est à comparer aux 8% seulement en 2021 sur un total de 8,3 milliards de connexions mobiles toutes générations confondues.
Ce « dynamisme » permet à la GSMA de tabler sur un franchissement des 2 milliards de connexions 5G d’ici la fin de l’année 2025, soit tout de même dans trois ans et demi. A ce moment-là la 5G comptera pour environ un quart (taux de 25 %) du total des connexions mobiles et plus de deux personnes sur cinq dans le monde vivront à proximité d’un réseau de cinquième génération. « La dynamique a été stimulée notamment par la reprise économique après la pandémie, la hausse des ventes de smartphones 5G, l’extension de la couverture des réseaux, et les efforts de marketing des opérateurs mobiles », souligne l’association professionnelle dans son rapport « The Mobile Economy Report 2022 » publié en mars (1). L’impulsion a été donnée par les marchés pionniers en 5G que sont la Chine, la Corée du Sud et les Etats-Unis. A la fin de 2021, ils étaient 176 opérateurs mobiles sur 70 marchés dans le monde à avoir lancé des services 5G commerciaux. Parmi eux, près de 70 offrent des services de 5G fixe (2). Côté Samsung, le numéro un mondial indétrônable des fabricants de smartphones (3), a indiqué qu’il s’attendait à ce que les smartphones 5G représentent en 2022 plus de la moitié de toutes ses ventes de smartphones. « Une nouvelle vague de déploiement de la 5G dans de grands marchés à revenus modestes comme le Brésil, l’Indonésie et l’Inde pourrait stimuler davantage la production de masse d’appareils 5G plus abordables », prévoit la GSMA. Autrement dit, les pays dits émergents pourraient contribuer fortement à démocratiser la 5G. Les smartphones compatibles vont devenir abordables, leur prix de vente passant sous les 500 dollars l’unité – avec certains d’entre eux à moins de 150 dollars comme chez le fabricant chinois Realme, filiale du groupe BBK Electronics.
Si les 10 % des connexions en 5G sont atteints au cours de cette année 2022, ce taux paraît faible au regard des investissements importants que consacrent les opérateurs mobiles aux déploiements des réseaux de cinquième génération. Et ces « Capex » (4) s’annoncent élevées pour les années à venir. D’après la GSMA, les opérateurs mobiles devront investir – entre 2022 et 2025 – plus de 600 milliards de dollars dans le monde, dont environ 85 % dans les réseaux 5G. La 4G, elle, a atteint son apogée durant l’année 2021 en représentant 58 % des connexions mobiles dans le monde. Elle a depuis entamé son déclin au profit de la 5G, laquelle ne sera pas pour autant la génération majoritaire lorsque la 4G deviendra minoritaire dans ces connexions mobiles au-delà de l’année 2025. Quant à la 3G, elle passe cette année sous la barre des 20 % des connexions mobiles. De nombreux autre opérateurs mobiles dans le monde se délestent de ces anciens réseaux. Aux Etats-Unis, AT&T a entamé l’extinction progressive de son réseau 3G depuis le 22 février dernier (5). En France, Orange prévoit de fermer ses réseaux 2G et 3G d’ici respectivement fin 2025 et fin 2028 (6).

L’« écomobile » génère 5 % du PIB mondial
Pour l’heure, à fin 2021 et toutes générations de mobiles confondues, le nombre d’abonnés mobiles a atteint les 5,3 milliards de personnes, soit 67 % de la population mondiale. Le seuil des 70 % de pénétration sera atteint d’ici fin 2025 avec 5,7 milliards d’abonnés mobile sur la planète. Les revenus générés l’an dernier par les technologies et services mobiles en général ont atteint 4.500 milliards de dollars (autrement dit 4,5 trilliards de dollars), soit 5% du PIB mondiale. Ce chiffre atteindra près de 5.000 milliards de dollars d’ici 2025. @

Charles de Laubier

Couverture des zones blanches (non-rentables) : faut-il aller vers un deuxième « New Deal Mobile » ?

Publié le par

Le « New Deal Mobile » était la promesse des opérateurs mobiles – faite il y a quatre ans au gouvernement – d’une « 4G pour tous » au 31 décembre… 2020. Mais des zones blanches ont persisté au-delà de cette échéance. A fin 2021, « 98 % des sites mobiles sont en 4G ». Et les 2 % restants ?

Y aura-t-il un deuxième « New Deal Mobile » pour ne pas laisser les 2 % des sites mobiles dépourvus de 4G et des milliers de centres-bourgs toujours en zone blanche ? Lorsqu’elle était encore députée, Laure de La Raudière (photo) avait suggéré « un deuxième New Deal Mobile ». Certes, c’était treize mois avant de devenir présidente de l’Arcep. La députée d’Eure-et-Loir avait à l’époque – mais il n’y a pas si longtemps que cela – émis cette éventualité au regard du désaccord qu’elle avait avec le président fondateur de Free (Iliad), Xavier Niel, qu’elle auditionnait le 17 novembre 2020 à l’Assemblée nationale en commission (1) – sur la couverture mobile des territoires jusque dans les zones blanches non-rentables.

Du donnant-donnant à 3 milliards d’euros
En janvier 2018, il y a quatre ans maintenant, l’Arcep et le gouvernement annonçaient des engagements des opérateurs télécoms pour accélérer la couverture mobile des territoires qui à l’époque laissait à désirer. Bouygues Telecom, Free, Orange et SFR s’étaient ainsi engagés à investir plus de 3 milliards d’euros dans les « zones rurales ». En échange de quoi, l’Etat a renoncé à leur faire payer pas moins de 3 milliards d’euros de redevance pour leurs fréquences 4G – dans les bandes 900 Mhz, 1800 Mhz (sauf Free) et 2,1 Ghz – dont les autorisations d’exploitation leur ont été renouvelées pour dix ans supplémentaires. En effet, les autorisations de leurs réseaux mobiles 2G, 3G et 4G arrivaient à échéance, dès 2021 pour certaines et d’ici à 2024 pour d’autres. Globalement, les opérateurs mobiles ont obtenu « visibilité et stabilité jusqu’en 2030 » sur leurs fréquences.
Les engagements de couverture mobile sans précédents avaient, eux, été dans la foulée retranscrits dans leurs licences actuelles afin de les rendre juridiquement opposables – autrement dit pour permettre à des élus ou à des utilisateurs d’attaquer en justice les opérateurs mobiles en cas de non-connexion 4G. De plus, ces engagements sont contraignants et peuvent donner lieu à des sanctions de la part de l’Arcep (2). Ce fameux New Deal Mobil en faveur de l’aménagement numérique des territoires consiste à apporter la 4G tant attendue dans les zones rurales, synonymes de « zones blanches », qui n’ont aucune couverture mobile et encore moins de 4G. Il y a quatre ans, cela concernait tout de même plus de 1 million de Français sur 10.000 communes privés de mobile haut débit. A cette fracture numérique s’ajoutaient les principaux axes routiers et ferroviaires, sur lesquels il était impossible d’« avoir du réseau ».
Mais cet accord politique donnant-donnant avait accordé jusqu’à 2026 aux quatre opérateurs mobiles pour parachever pleinement le déploiement de la totalité des 5.000 nouveaux sites mobiles, à raison de 600 à 800 sites par an. Avant d’en arriver là, Bouygues Telecom, Free, Orange et SFR s’étaient engagés à couvrir 75 % des centres-bourgs en 4G au 31 décembre 2020 – sur un total de près de 5.000 et symboles de la fracture numérique en France. Mais ce taux n’a pas été atteint à cette première échéance (3), en raison du ralentissement des déploiements dû aux restrictions sanitaires et confinements de cette année 2020.
Ce retard avait déclenché des escarmouches entre l’ancien président de l’Arcep, Sébastien Soriano, et celui qui était déjà président de la Fédération française des télécoms (FFTélécoms), Arthur Dreyfuss (4). En avril 2020, le gendarme des télécoms appelait les opérateurs mobiles à ne pas prendre prétexte du confinement pour ne pas être « au rendez-vous de leur responsabilité » vis-à-vis du New Deal Mobile et du Plan Très haut débit. Une mise en garde qui avait fait perdre son sang-froid au secrétaire général de SFR (5) (*) (**). D’après l’Arcep, cette cible des 75 % du programme dit « zones blanches centres-bourgs » (ZBCB) n’a pas été atteinte fin 2020 comme cela était prévu mais seulement mi-2021. Les quatre opérateurs mobiles sous pression se sont ensuite engagés à couvrir les 25 % restants de ces centres-bourgs en zones blanches avant le 31 décembre 2022. Le compte à rebours a commencé.

Un « bilan en demi-teinte » (Sénat)
Autrement dit, pour la nouvelle année, la « 4G pour tous » (4G mobile voire 4G fixe) est encore un vœu pieux – alors que la 5G profite déjà à quelques-uns (1,6 million d’abonné au 30 septembre dernier) et que les équipementiers télécoms travaillent déjà sur la 6G… La densification du réseau 4G traîne en longueur, malgré des avancées certaines. Et ce, alors que depuis deux ans les Français ont été contraints par la crise sanitaire de faire du télétravail voire de la visioconférence. Les zones blanches sont devenues des points noirs. Et l’étude « Quel débit » publiée le 27 janvier par UFC-Que Choisir fustige le « mauvais haut débit » dans les zones rurales dont sont pénalisés 32 % des consommateurs (6). « Bilan en demi-teinte » a pointé le Sénat en novembre dernier lors de l’examen du volet « Cohésion des territoires » du projet de loi de finances (PLF) pour 2022 : « des progrès à confirmer dans la réduction de la fracture numérique » ; « un bilan en demi-teinte qui impose la poursuite des efforts pour résorber les zones blanches ».

La « 4G pour tous », mais pas pour tous
Pour la commission sénatoriale de l’aménagement du territoire et du développement durable, le compte n’y est pas malgré le dynamisme constaté des déploiements dans le cadre de ce New Deal Mobile : « S’agissant du programme de couverture ciblée, environ 3.000 sites ont d’ores et déjà été identifiés par arrêté [plusieurs arrêtés de 2018 à 2021, ndlr] depuis le lancement du New Deal. (…) Les retards induits en 2020 par le premier confinement ne semblent pas s’être résorbés : malgré des améliorations (…). Sur la totalité des arrêtés, à la date du 30 juin 2021, 830 sites de couverture ciblée étaient en service » (7).
Selon un bilan publié le 14 janvier dernier par la FFTélécoms et arrêté au 31 décembre cette fois, les 1.115 sites en service ont été atteints sur ce dispositif de couverture ciblée (8). Quant aux zones blanches dites ZBCB, dont il restait encore 25 % à couvrir d’ici la fin de cette année, elles seront scrutées de près par les sénateurs garants de l’aménagement numérique des territoires. « le New Deal Mobile est une réalité tangible dans les territoires » avec « 98 % des sites des opérateurs convertis en 4G », affirme la FFTélécoms :
• L’objectif de « généraliser la 4G sur l’ensemble des sites en propre des opérateurs avant fin 2020 » a été atteint.
• L’objectif de « généraliser la 4G sur les sites multi opérateurs issus des anciens programmes zones blanches [centres-bourgs] d’ici fin 2022 » est atteint à 89 %.
• L’objectif de « couverture de 5.000 nouvelles zones par opérateur identifiées par les élus de terrain d’ici fin 2027 » atteint à ce stade 1.115 nouveaux pylônes 4G multi opérateurs.
• L’objectif de « généraliser la 4G le long des axes routiers prioritaires », initialement prévu à fin 2020, est atteint entre 99,6 % et 99,8 %. Sur ce dernier point, tous les axes routiers dits prioritaires de l’Hexagone comprennent 55.000 kilomètres de routes, dont 11.000 km d’autoroutes et 44.000 km d’axes routiers principaux reliant, au sein de chaque département, le chef-lieu de département (préfecture) aux chefs-lieux d’arrondissements (sous-préfectures), et les tronçons de routes sur lesquels circulent en moyenne annuelle au moins cinq mille véhicules par jour. « Les opérateurs sont tenus de couvrir les axes routiers prioritaires en 4G, à l’extérieur des véhicules d’ici fin 2020, et à l’intérieur des véhicules d’ici 2022 ou 2025. Selon l’Arcep, plus de 99 % des axes routiers prioritaires seraient couverts en très haut débit mobile. Les opérateurs devront aussi couvrir 90 % des lignes ferroviaires du réseau ferré régional d’ici fin 2025 », ont rappelé les sénateurs, toujours dans le cadre du PLF 2022.
Ils ont en outre constaté que la 4G fixe peine, elle, à se déployer. Ces services d’accès fixe à Internet sur les réseaux mobiles 4G sont une alternative à la connexion filaire dans les zones où les débits fixes ne sont pas suffisants. Le New Deal Mobile prévoit en effet, d’une part, une obligation pour les quatre opérateurs mobiles de proposer des offres de 4G fixe (obligation que Free a tardé à respecter), et, d’autre part, un engagement de ces mêmes opérateurs à créer des sites de 4G fixe dans des zones identifiées par le gouvernement via des arrêtés (9). « Au total, 510 sites identifiés par arrêté doivent être mis en service par Orange et SFR d’ici fin 2021. Sur ces 510 sites, seuls 75 étaient en service à la date du 30 juin 2021, selon l’Arcep », ont regretté les sénateurs en novembre. Dans sa communication « New Deal Mobile », la FFTélécoms n’en dit mot. De son côté, dans son rapport « Réduire la fracture numérique mobile : le pari du New Deal 4G » publié en juin 2021, la Cour des comptes appelait à mettre en place « un véritable suivi des sites de 4G fixe existants ».

Vers un « New Deal Mobile » 5G ?
Les collectivités territoriales, les consommateurs ou tous ceux qui veulent connaître la couverture mobile réactualisée peuvent accéder à trois sites web du gendarme des télécoms : Arcep.fr, où se trouve (10) le « tableau de bord du New Deal Mobile » (prochaine mise à jour le 31 mars prochain) ; Monreseaumobile.arcep.fr, un outil cartographique permettant de « comparer les opérateurs mobiles » (couverture simulée et qualité de service) ; Jalertelarcep.fr, une plateforme permettant à chaque utilisateur d’« être un acteur de la régulation » (mais pas de réponse individuelle aux alertes). Reste à savoir si la 5G aura à son tour son « New Deal Mobile » : ne serait-ce que pour permettre aux territoires les plus reculés d’avoir du vrai très haut débit à l’ère du télétravail imposé en temps de crise sanitaire. @

Charles de Laubier

Données de connexion : le Conseil d’Etat dit d’ajuster légèrement la loi française au droit européen

Publié le par

Données de connexion (comme l’adresse IP) ou données téléphoniques (comme le numéro), leur conservation est interdite. Mais il y a une exception obligeant les opérateurs et les hébergeurs à conserver ces données durant un an. Le Conseil d’Etat appelle le gouvernement à circonscrire cette rétention.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Décevante pour certains, équilibrée pour d’autres : la décision du 21 avril 2021 du Conseil d’Etat (1) – saisi en avril 2021 par les associations La Quadrature du Net, French Data Network et Igwan.net – a le mérite de procéder à une analyse précise du cadre règlementaire national relatif aux données de connexion, en opérant une distinction entre l’obligation de conservation et le droit d’accès à ces données. Pour se conformer à la jurisprudence européenne, des adaptations sont à prévoir – mais à la marge.

Rétention des données de connexion
Interdiction de principe. Les données de communication sont celles qui sont engendrées automatiquement par les communications effectuées via Internet (données de connexion) ou la téléphonie (données téléphoniques). Elles donnent des informations sur chaque message échangé (nom, prénom, numéro de téléphone pour les données téléphoniques, numéro IP pour les données de connexion). Egalement qualifiées de « métadonnées », elles représentent tout ce qui n’est pas le contenu lui-même de la communication, mais qui informe sur cette dernière (horodatage par exemple).
La conservation de ces données est interdite, en application de l’article L. 34-1 du code des postes et des communications électroniques qui impose leur effacement – voire l’anonymisation de « toute donnée relative au trafic » (2).
Cependant, il existe une exception à ce principe. L’article R10-13 du même code (3) impose aux opérateurs de communications électroniques, aux fournisseurs d’accès à Internet (FAI) et aux hébergeurs de conserver – pour une durée d’un an – toutes les données de trafic, de localisation et celles relatives à l’identité de leurs utilisateurs. Cette conservation se justifie pour les besoins d’une part, de la recherche, de la constatation et de la poursuite des infractions, notamment pénales, et, d’autre part, des missions de défense et de promotion des « intérêts fondamentaux de la nation » (indépendance, intégrité de son territoire, sécurité, forme républicaine de ses institutions, moyens de sa défense et de sa diplomatie, etc. (4)) confiées aux services de renseignement. Ainsi – et c’est bien ce que relève le Conseil d’Etat dans son arrêt du 21 avril 2021 –, il existe une obligation de conservation générale et indifférenciée des données de connexion. On retrouve dans la directive ePrivacy (5) (désormais abrogée) le principe et l’exception précités. En effet, le texte européen interdisait le stockage des communications et des données relatives au trafic (6), mais ouvrait la faculté pour les Etats membres d’adopter des mesures législatives visant à limiter la portée de cette interdiction (7).
Dans la continuité de plusieurs décisions antérieures, un arrêt du 8 avril 2014 de la Cour de Justice de l’Union européenne (CJUE) rappelle que la conservation des données de connexion constitue une ingérence profonde dans la vie privée des citoyens de l’UE (8). La Haute juridiction européenne exige en conséquence : de solides garanties, des textes clairs et une obligation circonscrite à la seule lutte contre les infractions graves. Elle a consolidé cette analyse le 2 mars 2021, en conditionnant les législations permettant l’accès des autorités publiques aux données de connexion « à des procédures visant à la lutte contre la criminalité grave ou à la prévention de menaces graves contre la sécurité publique » (9). Dans la suite de l’arrêt de la CJUE du 2 mars 2021, le Conseil d’Etat a pris position à son tour : il admet que la conservation généralisée et indifférenciée peut être justifiée dans un objectif de sécurité nationale. A ce titre, les risques d’attentats qui pèsent sur le pays, mais également les risques d’espionnage et d’ingérence étrangère, les risques d’attaques informatiques ou encore l’augmentation de l’activité de groupes radicaux et extrémistes constitueraient autant de menaces portant atteinte à la sécurité nationale. Il prévoit cependant que le gouvernement doit adapter la règlementation, dans les six mois, afin de prévoir un réexamen périodique de la menace, de manière à rectifier le dispositif.

Accès aux données de connexion
Mais cela ne modifie en rien l’obligation de conservation des données de connexion pour les opérateurs télécoms et fournisseurs d’accès et d’hébergement Internet, lesquels peuvent recevoir une demande d’accès de la part des services de renseignement. La lutte contre la criminalité légitime l’ingérence de l’Etat. Les services d’enquête doivent pouvoir accéder aux données de connexion afin de pouvoir remonter jusqu’à l’auteur de l’infraction. Cette modalité est parfaitement admise par la CJUE. Toutefois, si la finalité est légitime, la mise en œuvre interroge. Comment, en effet, circonscrire l’obligation de conservation des données de connexion à des infractions qui n’ont pas été commises, ou dont les auteurs n’ont pas encore été identifiés ? Une solution en fait impraticable. La finalité de la sécurité, même encadrée, conduit nécessairement à une conservation généralisée et indifférenciée des données par les opérateurs. En effet, elle soulève une difficulté opérationnelle. Obstacles techniques et ciblages Le Conseil d’Etat détaille lui-même l’ensemble des obstacles de nature technique et matérielle auxquelles font face les opérateurs, fournisseurs et hébergeurs. Ces derniers ne peuvent que difficilement effectuer un tri selon les personnes ou les zones géographiques. Il leur est également impossible d’identifier par avance une personne susceptible de commettre telle infraction, ou deviner un lieu où est susceptible de se dérouler telle autre.
Le Conseil d’État n’abroge pas pour autant la solution européenne (10). L’opportunité de la solution mise en avant par la CJUE – la conservation doit être ciblée sur certaines personnes soupçonnées ou des lieux spécifiques – n’est pas à proprement parler remise en question par le Conseil d’Etat. En revanche, il enjoint au Premier ministre de réviser les textes concernés (11) afin de circonscrire les finalités de l’obligation de conservation des données de trafic et de localisation à la seule sauvegarde de la sécurité nationale. Ce qui, selon le Conseil d’Etat, ne comprend pas les données d’identité civile, les coordonnées de contact et de paiement, les données relatives aux contrats et aux comptes, ainsi que les adresses IP qui, à elles seules, ne permettent pas d’obtenir d’information pertinente sur la communication. Le Conseil d’Etat valide également la légalité des techniques mises en œuvre par les services de renseignement.
L’accès en temps différé (12), l’accès en temps réel aux données de connexion en matière terroriste (13), la géolocalisation en temps réel (14), ou encore les fameuses boîtes noires ou traitements algorithmiques – à savoir les « traitements automatisés destinés, en fonction de paramètres précisés dans l’autorisation, à détecter des connexions susceptibles de révéler une menace terroriste » (15) – sont autant de techniques mises à la disposition des services de renseignement. Introduites dans le code de la sécurité intérieure (16) à la suite des attentats de 2015, leur légalité, fortement contestée à plusieurs reprises, a été questionnée de nouveau, sans infléchir la position du Conseil d’Etat qui admet leur conformité au droit de l’Union européenne (UE). Cependant, le recours à ces techniques doit être contrôlé par une institution dotée d’un pouvoir contraignant. La Commission nationale de contrôle des techniques de renseignement (CNCTR), instituée en juillet 2015 (17), a bien été mise en place pour veiller au respect du principe de proportionnalité de l’atteinte à la vie privée qu’entraînent ces techniques (18). Cependant, comme elle formule seulement des avis simples ou des recommandations qui n’ont pas de force contraignante, le Conseil d’Etat – pour se conformer au droit de l’UE – a annulé les décrets (19) en ce qu’ils prévoient la mise en œuvre de ces techniques de renseignement (20) sans contrôle préalable par une autorité administrative indépendante dotée d’un pouvoir d’avis conforme ou d’une juridiction.
Au final, des changements marginaux sont à prévoir. Si le Conseil d’Etat admet que la règlementation française doit être adaptée pour se conformer à la jurisprudence européenne, on observe qu’il s’agit de changements à la marge : prévoir un réexamen périodique de la menace qui justifie la conservation des données de connexion, redéfinir les finalités des traitements et garantir un pouvoir contraignant aux avis formulés par la CNCTR. Le cadre législatif et règlementaire français apparaît ainsi dans les grandes lignes conforme aux exigences de la CJUE.

Conservation généralisée : arrêt belge contre
La Cour constitutionnelle belge, elle, n’a pas fait la même analyse. Saisie en janvier 2017 par l’Ordre des barreaux francophones et germanophone, ainsi que par trois associations sans but lucratif (21), elle a rendu le lendemain de la décision du Conseil d’Etat en France, soit le 22 avril 2021, un arrêt (22) où elle retient que le droit de l’UE, à la lumière de la jurisprudence de la CJUE, impose aux Etats de renoncer, pour l’essentiel, à « la conservation généralisée et indifférenciée des données » de connexion (données de trafic et des données de localisation, adresses IP, identité civile des utilisateurs de moyens de communications électroniques, …), annulant ainsi la loi belge du 29 mai 2016 « relative à la collecte et à la conservation des données dans le secteur des communications électroniques », sans attendre une nouvelle législation en la matière. @

* Christiane Féral-Schuhl, ancienne présidente
du Conseil national des barreaux (CNB) après
avoir été bâtonnier du Barreau de Paris,
est l’auteure de « Cyberdroit » paru aux éditions Dalloz.

Vie privée et télétravail : la consécration des VPN

Publié le par

En fait. Le 5 mai, la fondation Mozilla – créée dans la foulée du développement il y a vingt ans du navigateur Firefox – a rendu disponible en France sa solution de réseau privé virtuel, Mozilla VPN, pour permettre aux internautes de sécuriser et de masquer leurs connexions à Internet et de ne pas être géolocalisés.

En clair. Les VPN – Virtual Private Network – sont plus connus par les internautes des pays autoritaires ou dictatoriaux qui pratiquent la censure de contenus en ligne et les blocages d’accès à des plateformes étrangères. Mais échaudés par les atteintes en ligne à leur vie privée, le pistage de leurs navigations et géolocalisations à des fins publicitaires (sans parler des cookies), voire la fuite de leurs données personnelles, les internautes des pays démocratiques sont de plus en plus demandeurs de VPN. Le sigle fait même son entrée dans le Larousse 2022 !
« Pour vivre heureux vivons cachés » est le nouveau credo du Web, dont les connexions sécurisées « https » ne suffisent pas. Le VPN est une sorte de camouflage numérique et de bouclier en ligne, qui offre une sécurisation par chiffrement des données et masque l’adresse IP de l’internaute (une de ses données personnelles) pour ne pas être détecté, pisté ou identifié. Pratiqué de longue date par les technophiles, les réseaux privés virtuels se démocratisent au fur et à mesure que les offres de VPN grand public faciles d’utilisation sont proposées (NordVPN, IPVanish, Cyberghost VPN, Surfshark, etc). Et ce, moyennant paiement sur un mois (de 5 à 12 euros) ou sur six à trois ans (de 2 euros à 10 euros par mois selon la durée de souscription). Pour Mozilla VPN lancé le 5 mai en France et en Allemagne (1), les tarifs sont de 9,99 euros pour un mois, 6,99 par mois sur six mois ou de 4,99 euros pour douze mois (2). L’utilisation du navigateur Firefox n’est pas nécessaire, mais un compte Mozilla si. La fondation californienne à but non lucratif s’appuie pour cela sur la société suédoise Amagicom qui opère un réseau mondial de 750 serveurs (dans 30 pays) fonctionnant sur leur solution open-source de VPN, Mullvad, et sécurisé de bout-enbout (3) par le protocole de cryptage WireGuard. « Surfez, jouez, travaillez et streamez tout en préservant votre confidentialité sur Internet », promet la fondation Mozilla.
Depuis mars 2020, confinements successifs oblige, la Cnil (https://lc.cx/Cnil-VPN) et l’Arcep (https://lc.cx/Arcep-VPN) recommandent d’utiliser des VPN pour télétravailler ou se former en distanciel, et « éviter l’exposition directe sur Internet » (dixit la Cnil). Mais attention, « la combinaison de celui-ci [le VPN de l’employeur] avec votre Wifi peut engendrer un débit ralenti » (dixit l’Arcep). @