Cyberterrorisme, de nouvelles obligations pour les entreprises
Paru dans l’Usine nouvelle n°2992 du 12 janvier 2006.
Nathalie Biltz(*)
Enjeu : Une nouvelle définition du statut d’opérateur de communications électroniques.
Mise en œuvre : Mettre en place un système fiable garantissant la conservation des données techniques sur une année.
Prévenir le terrorisme
Le dispositif légal déjà en vigueur prévoit en substance que les prestataires techniques de l’internet (fournisseur d’accès et hébergeur) doivent détenir et conserver des données permettant d’identifier leurs clients. Il est également prévu que le juge peut, dans le cadre d’une procédure judiciaire, requérir leurs communications. Le projet de loi antiterroriste élargit ce dispositif. Il prévoit, que les services spécialisés dans la lutte contre le terrorisme pourront, dans le cadre d’une enquête administrative, c’est-à-dire en dehors de toute procédure judiciaire, obtenir communication par les opérateurs (fournisseur d’accès et hébergeur) des données techniques générées par les communications électroniques de leurs clients dans le cas où ces derniers seraient susceptibles de se livrer à des activités terroristes.
Les implications concrètes
Ce projet de loi vise à faire en sorte que puissent être identifiés tous les abonnements dont une personne est titulaire. En outre, la connaissance des différentes données techniques telles que SIM, IMEI, adresse IP va leur permettre de connaître l’emplacement géographique d’une personne et ce, grâce au signalement de son téléphone portable auprès des antennes-relais. Pourra être connu les personnes auxquelles l’intéressé aura téléphoné ou envoyé des messages électroniques ou enfin les services internet qu’elle a consultés.
Les entreprises concernées
L’autre élément important de ce projet de loi est qu’il précise la notion d’opérateur de communications électroniques. Il ajoute en effet les dispositions suivantes «les personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit, sont soumises au respect des dispositions applicables aux opérateurs de communications électroniques». Sont désormais soumis à ces dispositions tous les espaces publics offrant un accès à internet tels que les cybercafés ou les espaces d’accès sans fil dit «Wi-Fi». En revanche, sont clairement exclues les entreprises fournissant un accès à internet à leurs employés. La direction prise par le projet de loi diffère ainsi de celle adoptée par la Cour d’appel de Paris(1) qui avait qualifié une entreprise de «prestataire technique» (de l’internet) et l’avait soumise à l’obligation de conservation de données techniques.
Une indemnisation nécessairement limitée
La durée de conservation des données techniques ne fait pas l’objet de dispositions précises dans ce projet de loi. Il est prévu qu’elle sera déterminée par un décret d’application. Il est rappelé qu’une proposition de directive(2) prévoit d’harmoniser en Europe la durée de conservation des données techniques (un an pour les données de trafic relatives à la téléphonie fixe et mobile et de six mois pour internet).
Le projet de loi est assez laconique sur le sujet de la compensation financière. Il prévoit le principe d’une compensation financière pour les «surcoûts identifiables et spécifiques» pour répondre aux demandes des services spécialisés dans la lutte contre le terrorisme. Les modalités de cette compensation seront, là encore, prévues par un décret d’application. Cette indemnisation sera nécessairement limitée au regard des investissements substantiels que devront faire les cybercafés et les espaces dits «Wi-Fi».
Il est important de noter que cette compensation ne vise que les coûts liés aux demandes des services d’enquête. Les surcoûts liés au stockage des données techniques, n’étant pas explicitement prévues par ce projet de loi, leur prise en charge fera sûrement l’objet de débats entre les acteurs concernés.
Les entreprises vont donc devoir anticiper la mise en œuvre de cette obligation légale et trouver une solution fiable et sécuritaire de conservation des données. Cela relance le débat de l’intégrité des données et celui de l’archivage électronique.
- (1) CA Paris, 14ème ch, 4 février 2005, BNP Paribas c/ Société World Press Online.
- (2) Proposition de directive relative à la conservation des données du 21 septembre 2005.
(*) Avocat, du Pôle Télécom et internet
nathalie-biltz@lexing.law