Archives par mot-clé : Fournisseur d’accès à Internet

Mineurs, réseaux sociaux et sites pornos : contrôle de l’âge et risques sur la vie privée

Publié le par

Alors qu’une procédure de l’Arcom s’éternisent devant la justice contre cinq sites web pornographiques (Pornhub, Ttukif, xHamster, Xnxx, et Xvideos), le contrôle de l’âge – pour interdire aux mineurs l’accès à ces contenus pour adultes ou l’inscription sur les réseaux sociaux – pose problème.

Cela fait un an que la Commission nationale de l’informatique et des libertés (Cnil) a publié – le 9 juin 2021 – huit recommandations pour « renforcer la protection des mineurs en ligne » (1), dont une – la septième – s’intitule « Vérifier l’âge de l’enfant et l’accord des parents dans le respect de sa vie privée ». Car la question du contrôle de l’âge est complexe et difficile à mettre en œuvre au regard de la protection de la vie privée et du principe de l’anonymat. Or, 44 % des 11-18 ans déclarent avoir déjà menti sur leur âge pour utiliser les réseaux sociaux (2). Et quelle proportion des mineurs ont déclaré être majeurs sur les sites web à caractère pornographique ?

Vérifier l’âge : pas de procédé fiable (PEReN)
Vérifier l’âge de l’internaute reste encore à ce jour un problème car les solutions de contrôle sont soit facilement contournables (déclaration qui peut être mensongère, vérification par e-mail inefficace, …), soit portant atteinte à la protection des données et à la vie privée (reconnaissance faciale jugée disproportionnée, utilisation des données recueillies à des fins commerciales ou publicitaires, …). A ce jour, les réseaux sociaux – le plus souvent interdits aux moins de 13 ans (voire moins de 16 ans dans certains autres pays européens comme l’Allemagne), et les sites web pornographiques interdits aux moins de 18 ans – ne savent pas vraiment comment procéder pour être irréprochables dans le contrôle de l’âge de leurs utilisateurs.
A Bercy, le Pôle d’expertise de la régulation numérique (PEReN) – rattaché à la Direction générale des entreprises (DGE) et placé sous l’autorité conjointe des ministres chargés de l’Economie, de la Culture et du Numérique (3) – a publié le 20 mai dernier une étude à ce sujet. « Détection des mineurs en ligne : peut-on concilier efficacité, commodité et anonymat ? », s’interroge cette entité interministérielle. Son constat : « Aujourd’hui, pratiquement aucun service en ligne n’utilise de procédé fiable permettant de vérifier l’âge. Malgré leur multiplicité, peu de méthodes sont à la fois faciles à mettre en œuvre, peu contraignantes et respectueuses de la vie privée des utilisateurs, performantes et robustes face à des tentatives de fraude ». Le PEReN, qui est dirigé par Nicolas Deffieux (photo), fait aussi office de task force au service notamment de l’Arcom (Autorité de régulation de la communication audiovisuelle et numérique), au moment où celle-ci – du temps du CSA (Conseil supérieur de l’audiovisuel) – a mis en demeure le 13 décembre 2021 cinq sites web pornographiques et les a enjoints de se mettre en conformité avec les nouvelles dispositions du code pénal. Faute d’avoir obtempéré dans les temps (ultimatum de quinze jours), les cinq plateformes incriminées – Pornhub, Ttukif, xHamster, Xnxx, et Xvideos – se retrouvent devant la justice, à l’initiative de l’Arcom, dans le cadre d’une procédure « accélérée » qui s’éternise (4).
Selon NextInpact, la présidente du tribunal judiciaire de Paris a considéré le 24 mai dernier comme « caduque » l’assignation adressée par l’Arcom aux fournisseurs d’accès à Internet (FAI) afin qu’ils bloquent les cinq sites pornos. Raison de cette annulation : l’Arcom n’a informé le tribunal de cette assignation que le jour même de l’audience, au lieu de la veille au plus tard (5). L’Arcom doit donc réassigner les FAI, ce qui reporte l’audience de quelques semaines. Toujours selon NextInpact, les avocats des sites pornos réclament le dépôt d’une question prioritaire de constitutionnalité devant le Conseil constitutionnel et d’une question préjudicielle à la Cour de justice de l’Union européenne (CJUE).
Tandis que le Conseil d’Etat, lui, a été saisi de l’annulation du décret d’application du 7 octobre 2021 portant sur les «modalités de mise œuvre des mesures visant à protéger les mineurs contre l’accès à des sites diffusant un contenu pornographique » (6). Ce décret menace les FAI contrevenants à des sanctions pénales de « trois ans d’emprisonnement et de 75.000 euros d’amende lorsque ce message [à caractère violent, incitant au terrorisme, pornographique] est susceptible d’être vu ou perçu par un mineur » (7). Surtout que « les infractions (…) sont constituées y compris si l’accès d’un mineur aux messages (…) résulte d’une simple déclaration de celui-ci indiquant qu’il est âgé d’au moins dix-huit ans » (8). Cette dernière disposition introduite dans le code pénal découle de la loi du 30 juillet 2020 visant à protéger les victimes de violences conjugales.

Vie privée : ne pas enfreindre le RGPD
Il y a donc péril judiciaire dans le porno. D’autant qu’une deuxième procédure, distincte de celle de l’Arcom, suit son cours en référé déposé devant le tribunal judiciaire par deux autres associations – La Voix de l’enfant et e-Enfance – sur la base de la loi « Confiance dans l’économie numérique » (loi LCEN de 2004). Son visés les mêmes sites pornos que dans la première affaire, mais avec MrSexe, IciPorno, YouPorn et RedTube (soit neuf au total). Or, à ce jour, l’absence de procédés fiables pour contrôler l’âge des internautes sans porter atteinte à la vie privée – et en respectant au niveau européen le règlement général sur la protection des données (RGPD) – rend la situation compliquée pour les réseaux sociaux et les sites pornos. « Les procédés techniques visant à vérifier la majorité d’âge ne sauraient conduire au traitement de données biométriques au sens de l’article 9 du RGPD, compte tenu de la nature particulière de ces données et du fait que le recueil du consentement de la personne concernée ne pourrait être considéré comme libre s’il conditionne l’accès au contenu demandé », avait mis en garde la Cnil dans son avis du 3 juin 2021 sur le projet de décret « Protéger les mineurs » (devenu le décret du 7 octobre 2021).

Double anonymat préconisé par la Cnil
Dans sa délibération parue au J.O. le 12 octobre de la même année (9), la Cnil écarte aussi le recours à la carte d’identité : « Serait considérée comme contraire aux règles relatives à la protection des données la collecte de justificatifs d’identité officiels, compte tenu des enjeux spécifiques attachés à ces documents et du risque d’usurpation d’identité lié à leur divulgation et détournement ».
Quoi qu’il en soit, l’article 8 du RGPD interdit l’utilisation de données personnelles des enfants âgés de moins de 13 à 16 ans, selon les Etats membres. La France, elle, a retenu l’âge de 15 ans. Ainsi, en-dessous de cet âge légal, la loi « Informatique et Libertés » impose – conformément au RGPD – le recueil du consentement conjoint de l’enfant et du titulaire de l’autorité parentale (10). Si la préoccupation première était de ne pas exposer les mineurs de 13 à 16 ans à de la publicité ciblée sur les réseaux sociaux, lesquels sont censés avoir mis en place des procédés de vérification de l’âge (11), cette obligation concerne désormais les sites web à caractère pornographique.
A noter que les jeux d’argent et de hasard en ligne (comme les paris sur Internet) sont également soumis au contrôle préalable de l’âge. Au niveau européen, la Commission européenne soutient l’initiative euConsent qui vise à mettre en place des systèmes de vérification de l’âge et de consentement parental qui soient interopérables, sécurisés et ouverts à l’échelle paneuropéenne – conformes à la certification eIDAS (12). Dans le consortium euConsent se côtoient Facebook, Google, les associations européennes respectivement des opérateurs télécoms historiques Etno et des fournisseurs d’accès à Internet EuroIspa, ou encore des organisations de protection de l’enfance. Le futur Digital Services Act (DSA), législation sur les services numériques, va introduire à son tour une interdiction de la publicité ciblée pour les mineurs.
Le contrôle de l’âge va se renforcer sur Internet, mais les méthodes de vérifications laissent à désirer. Le PEReN a classé dans son étude les solutions selon le mode de preuve employé (voir aussi tableau ci-dessous) :
• Le contrôle de l’âge, à l’aide d’un document portant l’identité et la date de naissance de la personne, à l’aide d’un document dont toutes les parties identifiantes auraient été supprimées avant tout traitement, ou enfin par les parents (contrôle parental) ;
• L’estimation algorithmique de l’âge sur la base du contenu publié ou utilisé par l’utilisateur sur le site ou bien à partir de données biométriques (voix, images, vidéos, …) ;
• Le déclaratif se basant uniquement sur les déclarations des internautes.
Le PEReN estime « primordial que la vérification de l’âge ne soit pas directement opérée par la plateforme ou le service en ligne afin de réduire le risque de croisement ou de réutilisation des données collectées lors de la vérification ». Il préconise alors « un mécanisme de tiers, voire de double tiers, [qui] peut être mis en place pour la transmission du résultat de la vérification précisément afin de minimiser ce risque ». Ainsi, ce mécanisme de doubletiers constitue une mise en œuvre possible du double anonymat recommandé par la Cnil, laquelle – en partenariat avec un laboratoire de l’Ecole polytechnique et le PEReN – a développé un prototype de ce mécanisme de vérification de l’âge par double anonymat pour en démontrer la faisabilité technique. D’après le PEReN « cette preuve de concept [devait] être rendue disponible fin mai ».
Contacté par Edition Multimédi@, son directeur général Nicolas Deffieux nous indique que la Cnil est maître des horloges. Le prototype est en effet entre les mains de Vincent Toubiana, qui y dirige le laboratoire d’innovation numérique (Linc). « Notre calendrier a été décalé et je n’ai actuellement aucune date de publication prévue », nous précise ce dernier. @

Charles de Laubier

Le feu vert à Starlink en France inquiète certains

Publié le par

En fait. Le 2 juin, l’Arcep a annoncé avoir attribué – par décision du 25 mai 2022 – des fréquences à la société Starlink appartenant au milliardaire Elon Musk pour le service Internet fixe par satellite qu’il va lancer en France en recourant à sa constellation déjà en orbite. Ce nouveau concurrent tombé du ciel inquiète.

En clair. Le Conseil d’Etat avait annulé le 5 avril 2022 la première autorisation accordée par l’Arcep à Starlink (1) deux mois plus tôt, car le régulateur avait omis de lancer une consultation publique préalable (2). Cette dernière a finalement eu lieu et nous donne un aperçu de l’état d’esprit avec lequel les opérateurs télécoms ou satellitaires déjà en place accueillent l’arrivée de ce nouvel entrant sur le marché français de l’accès à Internet.
« L’arrivée en France de la société Starlink peut perturber le marché de l’accès à haut débit par satellite existant. (…) Le déploiement massif et avancé de satellites pour la constellation Starlink en orbite basse risque de créer une situation dominante », s’inquiète l’opérateur par satellite Eutelsat, dans sa réponse à l’Arcep, en évoquant des « risques de déstabilisation du marché de la connectivité par satellite » et un « risque de constitution d’un monopole », voire des « risques environnementaux ». Selon l’opérateur français Eutelsat, Starlink est aujourd’hui – « et de très loin » – la constellation la plus avancée en termes de déploiement par le constructeur aérospatial américain SpaceX (fondée aussi par Elon Musk), avec plus de 2.100 satellites en service. Son objectif est d’en déployer plus de 4.400 satellites d’ici 2027 et à (long) terme 42.000 – « ce qui est considérable ». Ses concurrents Kuiper (de société Blue Origin appartenant au milliardaire Jeff Bezos) et OneWeb (groupe indo-britannique détenu à 24 % par Eutelsat) sont bien moins avancés.
De son côté, Orange utilise des capacités spatiales louées à des opérateurs satellitaires tels qu’Eutelsat, Intelsat, SES ou encore Arabsat pour fournir des services VSAT (3) à ses entreprises clientes, sur terre ou en mer. « S’agissant des aspects économiques et concurrentiels, nous [Orange] constatons que les constellations sont en train de se développer de manière importante : Kuiper, Bosch [via Sapcorda Services, avec Mitsubishi Electric et U-blox, ndlr], OneWeb, Télésat [M7 Group alias Canal+ Luxembourg, ndlr], la Commission européenne ont annoncé leur projet […]. Cette concurrence vis-à-vis des réseaux fixes et des offres d’Internet fixe avec satellites géostationnaires déjà présents doit se faire dans les règles […], en particulier […] en zone rurale, ou en zones difficiles d’accès, par exemple les zones de montagne ». @

L’AG annuelle d’Orange dans un climat de malaise

Publié le par

En fait. Le 19 mai, se tiendra l’assemblée générale annuelle d’Orange. Elle entérinera la fin de l’ère de Stéphane Richard pour ouvrir celle de Christel Heydemann, le titre de président revenant à Jacques Aschenbroich. Entre grosses rémunérations des dirigeants et échecs des négociations salariales, « le climat social se tend ».

En clair. « Le climat social se tend. L’excès de sous-traitance, comme l’illustre l’affaire Scopelec (1), épuise les équipes en interne. Les résultats sont mauvais malgré les annonces aux marchés. Le moral n’est pas bon. Tout le monde attend la composition de la nouvelle équipe », confie à Edition Multimédi@ une source en interne chez Orange. En cause : les franches augmentations de dirigeants, dont celle de Christel Heydemann. En fonction depuis le 4 avril dernier (2), l’ex-dirigeante de Schneider Electric Europe pourra atteindre au maximum une rémunération double – 2,25 millions d’euros – de celle de Stéphane Richard, PDG jusqu’en janvier 2022 et actuel président jusqu’au 19 mai (en empochant 475.000 euros d’indemnité de départ). Les émoluments de la nouvelle DG comprennent son salaire fixe (900.000 euros) et la part variable (si tous ses objectifs sont atteints), auxquels il faut ajouter l’octroi d’actions gratuites dites de « performance » (814.000 euros au prix du cours au 09- 05-22). Sans parler de la « retraite chapeau » en cas de départ anticipé. La dissociation en début d’année entre directeur général et président va coûter plus cher à Orange car le futur président Jacques Aschenbroich – s’il devait être confirmé par l’allongement de son mandat au-delà de ses 70 ans (résolution 17 à voter à la majorité des deux tiers) – bénéficiera d’un salaire fixe de 450.000 euros. Cette rémunération est le plafond légal pour un président d’une entreprise publique (3), bien que l’Etat ne possède plus que 22,95 % d’Orange. « Le profil de Jacques Aschenbroich fait débat car il entend rester président de Valeo (jusqu’en mai 2023) et au conseil d’administration de BNP Paribas et Total, deux entreprises fournisseurs et concurrents d’Orange sur de nombreux marchés : France, Espagne, Pologne, Afrique. Son cumul passe assez mal auprès des investisseurs », prévient notre interlocuteur.
Quant aux directeurs généraux délégués Ramon Fernandez et Gervais Pellissier, ils seront eux-aussi grassement payés, si – comme pour la nouvelle DG – les actionnaires approuvent les résolutions les concernant lors de l’AG. « Tous perdants… sauf une », regrette le syndicat CFDT en faisant référence aux émoluments de Christel Heydemann. D’autant que cette dernière commence son mandat de DG sur un échec des négociations salariales, en limitant l’augmentation générale à 3% alors que l’inflation est de plus de 5% … @

Orange éteindra le cuivre sous la lumière de l’Arcep

Publié le par

En fait. Le 7 février, l’Arcep a lancé – jusqu’au 4 avril – deux consultations publiques à la suite de la présentation du plan envisagé par Orange de fermeture du réseau de boucle locale de cuivre. L’opérateur télécoms historique souhaite commencer la bascule vers la fibre « à partir de 2023 » et la terminer en 2030. Dossier sensible.

En clair. L’extinction du réseau de cuivre d’Orange sera le premier gros et épineux dossier que Christel Heydemann trouvera le 4 avril prochain (1) sur son bureau lors de sa prise de fonction en tant que directrice générale de l’ex-France Télécom. Le plan de fermeture du réseau de boucle locale de cuivre – en métropole et outre-mer – que l’opérateur historique des télécoms a présenté par courrier du 31 janvier 2022 à l’Arcep (2), est un dossier politiquement sensible. Surtout à la veille d’échéances électorales majeures que sont la présidentielle (10 et 24 avril) et les législatives (12 et 19 juin).
Le gendarme des télécoms, qui soumet jusqu’au 4 avril à consultation publique le plan d’Orange d’extinction progressive (2023-2030) des paires de cuivre téléphoniques encore largement utilisées aujourd’hui pour l’ADSL, s’est engagé à « veiller à ce que la fermeture du réseau cuivre se fasse selon un rythme et des modalités préservant l’intérêt de tous les utilisateurs, particuliers et entreprises, et garantissant une concurrence effective et loyale entre les opérateurs » (3). Dès 2026, par endroits, commencera l’arrêt technique de l’ADSL et la migration forcée vers la fibre. Orange ne devra cependant pas fermer les lignes ADSL pour favoriser ses boucles locales optiques (FTTH) au détriment de ses rivaux. Concernant le préavis avant l’extinction de lignes, l’Arcep voulait en 2019 imposer à Orange cinq ans de « délai de prévenance ». Contesté par ce dernier, ce délai a été ramené à trois ans. Parallèlement à la consultation publique sur le plan « cuivre » 2023-2030, l’Arcep consulte cette fois les acteurs concernés sur les conséquences tarifaires (4). Pour les opérateurs télécoms concurrents d’Orange, dont ils louent la boucle locale de cuivre héritée de l’ex-France Télécom (actuellement pour 9,65 euros par mois et par ligne totalement dégroupée), le tarif d’accès au réseau de cuivre devrait être revu à la hausse. Autrement dit, les tarifs du « dégroupage de la boucle locale » ne seront plus « orientés vers les coûts ». Mais l’Arcep propose notamment pour les accès « cuivre », dont le tarif de location sera amené à augmenter, une « obligation de non-excessivité du tarif » selon des modalités prévues à l’avance. En 2020, l’Arcep n’avait pas accédé à la demande d’Orange d’une hausse conséquente du tarif du dégroupage car elle craignait « la création d’une rente temporaire » (5) au profit de l’ancien monopole public. @

Données de connexion : le Conseil d’Etat dit d’ajuster légèrement la loi française au droit européen

Publié le par

Données de connexion (comme l’adresse IP) ou données téléphoniques (comme le numéro), leur conservation est interdite. Mais il y a une exception obligeant les opérateurs et les hébergeurs à conserver ces données durant un an. Le Conseil d’Etat appelle le gouvernement à circonscrire cette rétention.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Décevante pour certains, équilibrée pour d’autres : la décision du 21 avril 2021 du Conseil d’Etat (1) – saisi en avril 2021 par les associations La Quadrature du Net, French Data Network et Igwan.net – a le mérite de procéder à une analyse précise du cadre règlementaire national relatif aux données de connexion, en opérant une distinction entre l’obligation de conservation et le droit d’accès à ces données. Pour se conformer à la jurisprudence européenne, des adaptations sont à prévoir – mais à la marge.

Rétention des données de connexion
Interdiction de principe. Les données de communication sont celles qui sont engendrées automatiquement par les communications effectuées via Internet (données de connexion) ou la téléphonie (données téléphoniques). Elles donnent des informations sur chaque message échangé (nom, prénom, numéro de téléphone pour les données téléphoniques, numéro IP pour les données de connexion). Egalement qualifiées de « métadonnées », elles représentent tout ce qui n’est pas le contenu lui-même de la communication, mais qui informe sur cette dernière (horodatage par exemple).
La conservation de ces données est interdite, en application de l’article L. 34-1 du code des postes et des communications électroniques qui impose leur effacement – voire l’anonymisation de « toute donnée relative au trafic » (2).
Cependant, il existe une exception à ce principe. L’article R10-13 du même code (3) impose aux opérateurs de communications électroniques, aux fournisseurs d’accès à Internet (FAI) et aux hébergeurs de conserver – pour une durée d’un an – toutes les données de trafic, de localisation et celles relatives à l’identité de leurs utilisateurs. Cette conservation se justifie pour les besoins d’une part, de la recherche, de la constatation et de la poursuite des infractions, notamment pénales, et, d’autre part, des missions de défense et de promotion des « intérêts fondamentaux de la nation » (indépendance, intégrité de son territoire, sécurité, forme républicaine de ses institutions, moyens de sa défense et de sa diplomatie, etc. (4)) confiées aux services de renseignement. Ainsi – et c’est bien ce que relève le Conseil d’Etat dans son arrêt du 21 avril 2021 –, il existe une obligation de conservation générale et indifférenciée des données de connexion. On retrouve dans la directive ePrivacy (5) (désormais abrogée) le principe et l’exception précités. En effet, le texte européen interdisait le stockage des communications et des données relatives au trafic (6), mais ouvrait la faculté pour les Etats membres d’adopter des mesures législatives visant à limiter la portée de cette interdiction (7).
Dans la continuité de plusieurs décisions antérieures, un arrêt du 8 avril 2014 de la Cour de Justice de l’Union européenne (CJUE) rappelle que la conservation des données de connexion constitue une ingérence profonde dans la vie privée des citoyens de l’UE (8). La Haute juridiction européenne exige en conséquence : de solides garanties, des textes clairs et une obligation circonscrite à la seule lutte contre les infractions graves. Elle a consolidé cette analyse le 2 mars 2021, en conditionnant les législations permettant l’accès des autorités publiques aux données de connexion « à des procédures visant à la lutte contre la criminalité grave ou à la prévention de menaces graves contre la sécurité publique » (9). Dans la suite de l’arrêt de la CJUE du 2 mars 2021, le Conseil d’Etat a pris position à son tour : il admet que la conservation généralisée et indifférenciée peut être justifiée dans un objectif de sécurité nationale. A ce titre, les risques d’attentats qui pèsent sur le pays, mais également les risques d’espionnage et d’ingérence étrangère, les risques d’attaques informatiques ou encore l’augmentation de l’activité de groupes radicaux et extrémistes constitueraient autant de menaces portant atteinte à la sécurité nationale. Il prévoit cependant que le gouvernement doit adapter la règlementation, dans les six mois, afin de prévoir un réexamen périodique de la menace, de manière à rectifier le dispositif.

Accès aux données de connexion
Mais cela ne modifie en rien l’obligation de conservation des données de connexion pour les opérateurs télécoms et fournisseurs d’accès et d’hébergement Internet, lesquels peuvent recevoir une demande d’accès de la part des services de renseignement. La lutte contre la criminalité légitime l’ingérence de l’Etat. Les services d’enquête doivent pouvoir accéder aux données de connexion afin de pouvoir remonter jusqu’à l’auteur de l’infraction. Cette modalité est parfaitement admise par la CJUE. Toutefois, si la finalité est légitime, la mise en œuvre interroge. Comment, en effet, circonscrire l’obligation de conservation des données de connexion à des infractions qui n’ont pas été commises, ou dont les auteurs n’ont pas encore été identifiés ? Une solution en fait impraticable. La finalité de la sécurité, même encadrée, conduit nécessairement à une conservation généralisée et indifférenciée des données par les opérateurs. En effet, elle soulève une difficulté opérationnelle. Obstacles techniques et ciblages Le Conseil d’Etat détaille lui-même l’ensemble des obstacles de nature technique et matérielle auxquelles font face les opérateurs, fournisseurs et hébergeurs. Ces derniers ne peuvent que difficilement effectuer un tri selon les personnes ou les zones géographiques. Il leur est également impossible d’identifier par avance une personne susceptible de commettre telle infraction, ou deviner un lieu où est susceptible de se dérouler telle autre.
Le Conseil d’État n’abroge pas pour autant la solution européenne (10). L’opportunité de la solution mise en avant par la CJUE – la conservation doit être ciblée sur certaines personnes soupçonnées ou des lieux spécifiques – n’est pas à proprement parler remise en question par le Conseil d’Etat. En revanche, il enjoint au Premier ministre de réviser les textes concernés (11) afin de circonscrire les finalités de l’obligation de conservation des données de trafic et de localisation à la seule sauvegarde de la sécurité nationale. Ce qui, selon le Conseil d’Etat, ne comprend pas les données d’identité civile, les coordonnées de contact et de paiement, les données relatives aux contrats et aux comptes, ainsi que les adresses IP qui, à elles seules, ne permettent pas d’obtenir d’information pertinente sur la communication. Le Conseil d’Etat valide également la légalité des techniques mises en œuvre par les services de renseignement.
L’accès en temps différé (12), l’accès en temps réel aux données de connexion en matière terroriste (13), la géolocalisation en temps réel (14), ou encore les fameuses boîtes noires ou traitements algorithmiques – à savoir les « traitements automatisés destinés, en fonction de paramètres précisés dans l’autorisation, à détecter des connexions susceptibles de révéler une menace terroriste » (15) – sont autant de techniques mises à la disposition des services de renseignement. Introduites dans le code de la sécurité intérieure (16) à la suite des attentats de 2015, leur légalité, fortement contestée à plusieurs reprises, a été questionnée de nouveau, sans infléchir la position du Conseil d’Etat qui admet leur conformité au droit de l’Union européenne (UE). Cependant, le recours à ces techniques doit être contrôlé par une institution dotée d’un pouvoir contraignant. La Commission nationale de contrôle des techniques de renseignement (CNCTR), instituée en juillet 2015 (17), a bien été mise en place pour veiller au respect du principe de proportionnalité de l’atteinte à la vie privée qu’entraînent ces techniques (18). Cependant, comme elle formule seulement des avis simples ou des recommandations qui n’ont pas de force contraignante, le Conseil d’Etat – pour se conformer au droit de l’UE – a annulé les décrets (19) en ce qu’ils prévoient la mise en œuvre de ces techniques de renseignement (20) sans contrôle préalable par une autorité administrative indépendante dotée d’un pouvoir d’avis conforme ou d’une juridiction.
Au final, des changements marginaux sont à prévoir. Si le Conseil d’Etat admet que la règlementation française doit être adaptée pour se conformer à la jurisprudence européenne, on observe qu’il s’agit de changements à la marge : prévoir un réexamen périodique de la menace qui justifie la conservation des données de connexion, redéfinir les finalités des traitements et garantir un pouvoir contraignant aux avis formulés par la CNCTR. Le cadre législatif et règlementaire français apparaît ainsi dans les grandes lignes conforme aux exigences de la CJUE.

Conservation généralisée : arrêt belge contre
La Cour constitutionnelle belge, elle, n’a pas fait la même analyse. Saisie en janvier 2017 par l’Ordre des barreaux francophones et germanophone, ainsi que par trois associations sans but lucratif (21), elle a rendu le lendemain de la décision du Conseil d’Etat en France, soit le 22 avril 2021, un arrêt (22) où elle retient que le droit de l’UE, à la lumière de la jurisprudence de la CJUE, impose aux Etats de renoncer, pour l’essentiel, à « la conservation généralisée et indifférenciée des données » de connexion (données de trafic et des données de localisation, adresses IP, identité civile des utilisateurs de moyens de communications électroniques, …), annulant ainsi la loi belge du 29 mai 2016 « relative à la collecte et à la conservation des données dans le secteur des communications électroniques », sans attendre une nouvelle législation en la matière. @

* Christiane Féral-Schuhl, ancienne présidente
du Conseil national des barreaux (CNB) après
avoir été bâtonnier du Barreau de Paris,
est l’auteure de « Cyberdroit » paru aux éditions Dalloz.