Garde à vue et mot de passe

Mis à jour le 7 novembre 2022

Une personne a été arrêtée pour possession de stupéfiants. Pendant sa garde à vue, elle a refusé de donner aux enquêteurs les codes permettant de déverrouiller deux téléphones susceptibles d’avoir été utilisés dans le cadre d’un trafic de stupéfiants.

Cette personne, poursuivie devant une juridiction correctionnelle, n’a pas été condamnée pour avoir refusé de donner ses codes de déverrouillage de téléphones ; elle a été relaxée.

Les mots de passe et les conventions de chiffrement permettent la protection des données, et leur divulgation imposée par les autorités peut mettre en danger la liberté individuelle et la démocratie mais aussi permettre la répression du crime.

Le Conseil Constitutionnel, sur QPC où intervient la Quadrature du Net, juge que l’incrimination de refus de communication de mot de passe n’est pas contraire à la Constitution.

L’article 434-15-2 du code pénal, dans sa rédaction résultant de la loi du 3 juin 2016 prévoit :


« Est puni de trois ans d’emprisonnement et de 270 000 € d’amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale. 

« Si le refus est opposé alors que la remise ou la mise en œuvre de la convention aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets, la peine est portée à cinq ans d’emprisonnement et à 450 000 € d’amende ».
L’article 29 alinéa 1 de la loi de 2004 pour la confiance dans l’économie numérique (loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique) prévoit :

On entend par moyen de cryptologie tout matériel ou logiciel conçu ou modifié pour transformer des données, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète. Ces moyens de cryptologie visent principalement à garantir la sécurité du stockage ou de la transmission de données, en permettant d’assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité.

 
Le Conseil fait une lecture classique du texte, c’est-à-dire stricte, en application du principe selon lequel la loi pénale est d’interprétation stricte, et en déduit la constitutionnalité de la disposition (en l’occurrence l’alinéa 1 de l’article, seul visé).
 
L’accusation devra caractériser contre la personne suspectée :
 
– la connaissance du mot de passe ou de la convention (la personne qui est requise est bien celle qui a effectivement connaissance du mot de passe, et non pas seulement la personne qui est censée connaître, ou qui pourrait, ou devrait, connaître…les intermédiaires techniques en tant qu’entreprises s’en remettant à leurs machines pour gérer et accéder aux mots de passe pourraient justifier leur refus en opposant l’absence de tout organe personne physique (être humain) ayant accès à la convention secrète) ;
– la probabilité que le moyen de cryptologie a été utilisé à des fins criminelles ou délictueuses.
 
Les autorités judiciaires visées sont celles qui interviennent dans le cadre de l’enquête préliminaire ou de flagrance ou de l’instruction (titres II et III du livre I du code de procédure pénale). La requête doit répondre à un formalisme (notification officielle des conséquences d’un refus).
 
Décision 2018-696 du Conseil Constitutionnel du 30 mars 2018.
Une simple demande de communication de mot de passe par un enquêteur fonctionnaire de police ne paraît donc pas permettre de qualifier les faits. Et le refus de communiquer le code de verrouillage, un « PIN » (pour Personal Identification Number) n’est pas un refus de communiquer une convention de cryptage. En ce sens d’ailleurs Paris 16 avril 2019, n°19/09267.
 
Conventionnalité. La Cour de cassation a jugé que le délit de refus de remettre une convention secrète de déchiffrement cryptologique ne portait pas en soi atteinte au droit de se taire et de ne pas s’auto-incriminer découlant de l’article 6 de la Convention européeenne des droits de l’homme (Cass. crim., 10 déc. 2019, n° 18-86.878)
 
La Cour de cassation indique que le refus de livrer le PIN peut équivaloir à refuser de livrer la convention de déchiffrement (Crim.13 oct.2020, n°20-80150).
 
Il s’agit de distinguer le code permettant d’accéder à un terminal (ordinateur, téléphone, serveur, carte SIM…) et la clé permettant de déchiffrer les données ou métadonnées stockées ou circulantes.
 
Dans certains cas le PIN ou autres codes secrets et mots de passe ne permettent pas d’empêcher l’accès aux données, dans d’autres oui, la jurisprudence est par conséquent hésitante (CA Paris 16 avril 2019, 18-09.267 ;  Cass. crim., 13 oct. 2020, n° 20-80.150 ; Cass. crim., 13 oct. 2020, n° 19-85.984).
 

Dans son arrêt du 7 novembre 2022, la Cour de cassation, assemblée plénière, pourvoi n° K 2183.146, indique, dans son communiqué de presse :

Un « moyen de cryptologie » a pour but de rendre des informations incompréhensibles, afin de sécuriser leur stockage ou leur transmission. Une « convention secrète de déchiffrement » permet la mise au clair des informations cryptées. Lorsqu’un téléphone portable est équipé d’un « moyen de cryptologie », le code de déverrouillage de son écran d’accueil peut constituer une « clé de déchiffrement » si l’activation de ce code a pour effet de mettre au clair les données cryptées que l’appareil contient ou auxquelles il donne accès. Dès lors, si un téléphone portable doté de ces caractéristiques techniques – comme c’est le cas aujourd’hui de la plupart des téléphones portables –  est susceptible d’avoir été utilisé pour la préparation ou la commission d’un crime ou d’un délit, son détenteur, qui aura été informé des conséquences pénales d’un refus, est tenu de donner aux enquêteurs le code de déverrouillage de l’écran d’accueil. S’il refuse de communiquer ce code, il commet l’infraction de « refus de remettre une convention secrète de déchiffrement ». Par conséquent, en l’espèce, la décision de la cour d’appel est cassée et une autre cour d’appel est désignée pour rejuger l’affaire.

 

L’encadrement de l’accès aux données conservées par des opérateurs téléphoniques

Mises à jour 6 janvier 2023 en fin de page

Dans le cadre d’une enquête préliminaire ou d’une enquête de flagrance, le procureur de la République a la possibilité de faire requérir auprès d’un officier de policier judiciaire la transmission des données de télécommunication d’une personne concernée par l’enquête, notamment le suspect. Ce recours est prévu par le code de procédure pénale français : article 60-1 et article 77-1-1.

Les données de télécommunication peuvent être déterminantes dans une enquête et révéler de nombreuses informations aux enquêteurs. Que ce soit en matière de données de géolocalisation ou de données relatives au trafic, les informations permettent de faire avancer une enquête judiciaire.

Cependant, ce dispositif pourrait être fortement limité à la suite d’un arrêt rendu par la Cour de justice de l’Union européenne le 2 mars 2021. Celui-ci fait suite à une affaire en Estonie mais pourrait néanmoins impacter la procédure française.

Vous souhaitez connaître vos droits et vos devoirs en matière de conservation de données par un opérateur téléphonique ? Pierre de Roquefeuil, avocat spécialisé en droit des technologies de l’information à Paris, vous accompagne pour vous conseiller et pour faire respecter vos intérêts. L’avocat spécialisé vous aidera à identifier la procédure adaptée à votre situation.

Dans quels cas, le dispositif d’accès aux données conservées par les opérateurs téléphoniques peut être utilisé ?

Le droit français impose aux opérateurs téléphoniques la conservation des métadonnées pendant un an afin que les services de renseignement et les autorités puissent y avoir accès dans le cadre d’une information judiciaire.

Pierre de Roquefeuil, avocat spécialisé en droit du numérique et de la communication à Paris, vous apporte quelques informations sur l’encadrement de l’accès aux données conservées par les opérateurs téléphoniques.

Des fichiers recensent toutes nos données en matière de télécommunication : les date et heure des communications téléphoniques, l’identité des interlocuteurs, mais aussi les données de géolocalisation. Des sociétés privées conservent ces données durant un an afin de permettre aux forces de l’ordre et aux services de renseignement d’avoir la possibilité de requérir à ces informations dans le cadre d’une enquête.

Trois décrets du 20 octobre 2021 déterminent le cadre applicable en matière de conservation des données de connexion par les opérateurs de communication électronique, les fournisseurs et les hébergeurs d’accès à internet. Ils précisent les conditions de communication des demandes d’autorisation.

La demande d’autorisation de communication des données de connexion et l’autorisation préalable d’accès aux données doit être formulée par écrit et transmise de façon à en assurer sa confidentialité et de pouvoir attester de sa bonne réception.

Ainsi, la législation prévoit que la demande d’autorisation de communication des données de connexion puisse pour chaque enquête préciser :
– Le nom de la personne suspectée ou le nom de toute autre personne pour laquelle un accès aux données de connexion est nécessaire à l’enquête. Le cas échéant, lorsque le nom n’est pas connu, l’adresse IP ou toute autre donnée de connexion peuvent être sollicités.
– Les données de connexion ou les types de données de connexions sollicités pour chacune des personnes ou dans chacun des cas.
– Les périodes durant lesquelles l’accès aux données de connexion est sollicité.
– Les éléments factuels et de droit qui permettent de justifier la demande.

Ces décrets démontrent l’importance des données de connexion dans le cadre d’affaires judiciaires. Le procureur de la République peut, dans le cadre d’une enquête, requérir toutes les données de connexion qui la concerne. Ces données peuvent permettre aux enquêteurs d’obtenir des informations clés dans une enquête.

En effet, dans le cadre de la prévention du terrorisme, le recours aux métadonnées est indispensable. Les données de localisation des individus suspectés ainsi que les écoutes téléphoniques peuvent communiquer aux enquêteurs des informations clés. Ces informations peuvent permettre d’éviter le passage à l’acte des individus. Dans un objectif de prévention de la sécurité nationale, le recours à ces informations est autorisé par le code de la sécurité intérieure français.

Le cabinet Roquefeuil avocats vous apporte son éclairage sur la législation française en matière d’accès aux métadonnées. L’avocat spécialisé vous expose les conséquences qui font suite à l’arrêt de la Cour de justice de l’Union européenne.

Quelles conséquences à la suite de l’arrêt de la Cour de justice de l’Union européenne ?

La Cour de justice de l’Union européenne (CJUE) a déclaré les pratiques de conservation « généralisée et indifférenciée » des données de connexion illégales. Depuis ces déclarations, la conservation de ce dispositif en France demeure incertaine.

En effet, dans l’affaire question préjudicielle CJUE C-793/19 SpaceNet, l’avocat général a précisé que le droit européen « s’oppose à une réglementation nationale qui impose aux fournisseurs de services de communications électroniques accessibles au public de conserver, de manière préventive, générale et indifférenciée, les données relatives au trafic et les données de localisation des utilisateurs finals de ces services à des fins autres que celles de la protection de la sécurité nationale contre une menace grave réelle et actuelle ou prévisible ».

L’avocat général a également indiqué qu’une législation est illicite lorsqu’elle « ne subordonne pas l’accès des autorités compétentes aux données relatives au trafic et aux données de localisation conservées à un contrôle préalablement effectué par une juridiction ou pas une entité administrative indépendante.

Aussi, le Conseil constitutionnel a rappelé que la conservation généralisée de toutes les données de connexion est contraire à la Constitution.

A titre d’exemple, la Cour de justice de l’Union européenne a été saisie d’une question d’une juridiction espagnole dans le cadre de l’instruction d’une affaire. Celle-ci concernant un vol avec violences pendant lequel le téléphone portable de la victime fut dérobé. Le juge chargé d’instruire l’affaire avait refusé de faire requérir la transmission des numéros de téléphones activés par l’appareil volé, estimant que l’infraction n’était pas assez grave pour justifier l’accès à des données personnelles. Ainsi, la juridiction d’appel a interrogé la Cour de justice de l’Union européenne à ce sujet. Cette dernière a alors répondu que l’article 15 de la directive, lu à la lumière des articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne, « doit être interprété en ce sens que l’accès d’autorités publiques aux données visant à l’identification des titulaires des cartes SIM activées avec un téléphone mobile volé, telles que les nom, prénom et, le cas échéant, adresse de ces titulaires comporte une ingérence dans les droits fondamentaux de ces derniers, consacrés à ces articles de la Charte, qui ne présente pas une gravité telle que cet accès devrait être limité, en matière de prévention, de recherche, de détection et de poursuite d’infractions pénales, à la lutte contre la criminalité grave ».

Par conséquent, l’accès à des données à caractère personnel conservées par les opérateurs téléphoniques, ne peuvent pas être justifiées par des infractions de faible gravité portant atteinte grave au droit à la vie privée.

Néanmoins, la Cour de justice de l’Union européenne précise qu’il appartient à chaque nation d’appliquer son droit national en précisant qu’il appartient au juge pénal d’écarter les données recueillies de façon non conforme au droit de l’Union dans le cas où les personnes qui sont poursuivies ne seraient pas en mesure de commenter efficacement les informations et les éléments de preuve. Celles-ci provenant d’un domaine échappant à la connaissance des juges et qui sont susceptibles d’influencer de manière prépondérante l’appréciation des faits.

En effet, la Cour de justice de l’Union européenne reconnaît que la conservation des métadonnées peut être utile dans un objectif de prévention de la menace grave pour la sécurité nationale. Cependant, elle insiste sur le respect de trois conditions : la limite du dispositif dans le temps, la possibilité de justifier la saisie de ce levier par une menace grave, réelle, actuelle ou prévisible pour la sécurité nationale. Enfin, l’utilisation des métadonnées doit être réalisée sous le contrôle effectif d’une juridiction ou d’une autorité administrative indépendante.

De ce fait, le traitement automatisé de données relatives à la localisation en prévention du terrorisme prévu par le Code de la sécurité intérieure est autorisé. Celui-ci doit permettre de filtrer toutes les données pour n’en faire ressortir que les données permettant de rechercher et d’identifier la personne.

En revanche, lorsqu’il ne s’agit pas de menace grave pour la sécurité nationale, la conservation des données à titre de prévention doit être ciblée. Par exemple, les écoutes téléphoniques ne sont autorisées que pour des enquêtes de criminalité organisée ou de terrorisme. Elles sont possibles pour les crimes et délits punis de plus de deux ans d’emprisonnement. Quant aux données de géolocalisation, les services de renseignement ou les forces de l’ordre ne peuvent les utiliser que pour les délits punis de plus de cinq ans d’emprisonnement, ou trois ans dans le cas où il y aurait atteinte à la personne.

Vos données de connexion ont été utilisées dans le cadre d’une enquête et vous souhaitez être conseillé ? Pierre de Roquefeuil, avocat spécialisé en droit du numérique et de la communication à Paris, vous accompagne pour vous conseiller et pour faire respecter vos intérêts. L’avocat spécialisé vous aidera à identifier la procédure adaptée à votre situation.

Qui conserve quoi ? Les opérateurs conservent les métadonnées, et les transfèrent aux autorités, à quelles conditions ? Quelles métadonnées ?

Entre jurisprudence nationale et communautaire, les règles paraissent encore flottantes, mais à l’avantage des GAFAM qui tentent de faire prévaloir la confidentialité due à leurs abonnés et en même temps une conception américaine de la liberté d’expression qui consiste à admettre toutes les calomnies, anonymes ou non.

Pour une opinion publique toujours friande de lapidation, au mépris des objectifs les plus élémentaires de réinsertion sociale.

Les mots de passe et la garde à vue

Les avis négatifs et dénigrants

La nouvelle règlementation internet en préparation : DSA – DMA

Le projet de règlement e-privacy

 

Mise à jour du 6 août 2022

Cour de cass.

Cass. crim., 12 juill. 2022, n° 21-83.710, 
Cass. crim., 12 juill. 2022, n° 21-83.820,
Cass. crim., 12 juill. 2022, n° 20-86.652, 
Cass. crim., 12 juill. 2022, n° 21-84.096, 

 

Droit de l’UE Données de trafic et de localisation Adresses iP Identité civile  
Menaces grave contre la sécurité nationale Conservation sur injonction des autorités avec possibilité de recours juridictionnel de vérification Conservation sur injonction des autorités avec possibilité de recours juridictionnel de vérification Conservation sur injonction des autorités avec possibilité de recours juridictionnel de vérification  
Criminalité grave

Conservation de certaines données sur injonction limitée

Conservation rapide, plus étendue, de certaines données sur injonction limitée, sur contrôle préalable,  (jurisp cass. = en tout cas contestable devant un juge indépendant en cas de grief)

Conservation sur injonction limitée Conservation  
Autres Pas de conservation Pas de conservation Conservation  

 

CJUE

CJUE 20 septembre 2022, C793/19, C794/19

CJUE, 2 mars 2021, aff. C-746/18, H.K./Prokuratuur

6 oct. 2020, La Quadrature du net [Assoc.], aff. C-511/18, C-512/18 et C-520/18,
5 avr. 2022, Commissionner of An Garda Síochána, aff. C-140/20,
 2 oct. 2018, aff. C-207/16

Textes concernés :
Article L. 34-1, III, et III bis du Code des postes et des communications électroniques

La Loi du 30 juillet 2021 – 2021-998 (art.17) modifiant la LCEN, art.6 II, (loi n° 2004-575 du 21 juin 2004) et L34-1 code des postes et communications électroniques
Articles 60-1, 60-1-1, 77-1-1 et 77-1-2, articles 99-3 et 99-4, du Code de procédure pénale

Trois décrets du 20 octobre 2021

Décret n° 2021-1362 du 20 octobre 2021 relatif à la conservation des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne, pris en application du II de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, remplaçant (abrogé) Décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne

Directive « e-Privacy » 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)

Cons. const.

20 mai 2022, n° 2022-993 QPC

Conseil d’Etat

CE, 21 avr. 2021, n° 394922, 397844, 397851, 393099, 424717 et 424718 (French Data Network)

CA Paris

18 fév. 2022, n°20/13824, limiterait la communication des données d’identification à la matière pénale, confirmant ordonnance de référé sur article 145 du code de procédure civile et article 6 LCEN
27 avril 2022

TJ – TGI Paris

30 janvier 2013
5 avril 2022

 

Commentaire :

Dans un arrêt du 2 mars 2021 (CJUE, 2 mars 2021, aff. C-746/18, H.K./Prokuratuur), la CJUE a affirmé que l’accès aux données de connexion ne peut être autorisé que :

– si ces données ont été conservées conformément aux exigences du droit européen ;
– s’il a eu lieu pour la finalité ayant justifié la conservation ou une finalité plus grave, sauf conservation rapide ;
– s’il est limité au strict nécessaire ;
– s’agissant des données de trafic et de localisation, s’il est circonscrit aux procédures visant à la lutte contre la criminalité grave, et ;
– s’il est soumis au contrôle préalable d’une juridiction ou d’une entité administrative indépendante.

La Cour de cassation arrête que les articles 60-1, 60-1-1, 77-1-1 et 77-1-2 sont contraires au droit de l’Union en ce qu’ils ne prévoient pas un contrôle préalable par une juridiction ou une entité administrative indépendante.

Article L. 34-1, III bis, du Code des postes et des communications électroniques :

« Les données conservées par les opérateurs en application du présent article peuvent faire l’objet d’une injonction de conservation rapide par les autorités disposant, en application de la loi, d’un accès aux données relatives aux communications électroniques à des fins de prévention et de répression de la criminalité, de la délinquance grave et des autres manquements graves aux règles dont elles ont la charge d’assurer le respect, afin d’accéder à ces données. »

 

Mise à jour 22 septembre 2022

Article 60-1-2 du code de procédure pénale :

Création LOI n°2022-299 du 2 mars 2022 – art. 12

A peine de nullité, les réquisitions portant sur les données techniques permettant d’identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés mentionnées au 3° du II bis de l’article L. 34-1 du code des postes et des communications électroniques ou sur les données de trafic et de localisation mentionnées au III du même article L. 34-1 ne sont possibles, si les nécessités de la procédure l’exigent, que dans les cas suivants :

1° La procédure porte sur un crime ou sur un délit puni d’au moins trois ans d’emprisonnement ;

2° La procédure porte sur un délit puni d’au moins un an d’emprisonnement commis par l’utilisation d’un réseau de communications électroniques et ces réquisitions ont pour seul objet d’identifier l’auteur de l’infraction ;

3° Ces réquisitions concernent les équipements terminaux de la victime et interviennent à la demande de celle-ci en cas de délit puni d’une peine d’emprisonnement ;

4° Ces réquisitions tendent à retrouver une personne disparue dans le cadre des procédures prévues aux articles 74-1 ou 80-4 du présent code ou sont effectuées dans le cadre de la procédure prévue à l’article 706-106-4.

=> Les levées d’anonymat sont en principe interdites, en particulier en ce qui concerne des délits civils sans qualification pénale ou des délits mineurs (typiquement les diffamations et injures non discriminatoires envers les particuliers), ce qui va à l’encontre des exigences du droit au procès équitable prévu par la CEDH. Des avancées jurisprudentielles sont donc encore à attendre.

Les textes (articles L34-1 et R10-13 du code des postes et des communications électroniques, L34-1 issu de la réforme Loi du 30 juillet 2022) permettent uniquement une levée de l’identité civile et des données fournies lors de la souscription du contrat (par le parquet seulement ?) « pour les besoins des procédures pénales ».

La fourniture de l’identité civile et des données de contrat (initialement fournies par l’utilisateur) par un opéateur ou un hébergeur peut-être insuffisante pour débusquer l’auteur d’une infraction ; les données dites techniques de localisation et d’identification des machines et logiciels utilisés sont la plupart du temps indispensables à l’identification précise de l’auteur et des circonstances de l’infraction.

Plusieurs pistes sont évoquées pour contester cette approche actuelle du législateur :

  • en contestant l’applicabilité de la directive « e-Privacy » 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques ; directive qui sous-tend la réforme, mais qui n’aurait pas vocation à régir l’expression publique, seulement les communications privées ;
  • en contestant la constitutionnalité de la loi du 30 juillet 2022 pour atteinte au droit au procès équitable ;

 

Mise à jour du 6 janvier 2023 :

Une ordonnance remarquable de référé du tribunal judiciaire de Paris du 21 décembre 2022 rendue contre Wikimedia reconnaît le droit d’accès à l’identité civile de l’auteur du contenu malfaisant, à ses coordonnées, – mais à l’exclusion toutefois de ses données de connexion – , dans un contexte d’atteinte à la vie privée, de dénigrement et de cyberharcèlement (les délits de presse ne sont pas invoqués), atteintes susceptibles de justifier des actions civiles et pénales.

Le juge rappelle les conditions du référé :

L’article 145 du code de procédure civile dispose que s’il existe un motif légitime de conserver ou d’établir avant tout procès la preuve de faits dont pourrait dépendre la solution d’un litige, les mesures d’instruction légalement admissibles peuvent être ordonnées à la demande de tout intéressé, sur requête ou en référé.

La juridiction des référés, saisie en application de l’article 145, dispose d’un pouvoir souverain pour apprécier si le demandeur justifie d’un motif légitime et n’a pas à rechercher s’il y a urgence. Elle doit vérifier si le procès en germe allégué par le demandeur n’est pas manifestement voué à l’échec.

Sont légalement admissibles, des mesures d’instruction circonscrites dans le temps et dans leur objet et proportionnées à l’objectif poursuivi. Il lui incombe de vérifier si la mesure ordonnée est nécessaire à l’exercice du droit à la preuve et proportionnée aux intérêts antinomiques en présence.

Le juge précise opportunément, comme en réponse aux articles L34-1 et R10-13 du code des postes et des communications électroniques, L34-1 issu de la réforme Loi du 30 juillet 2022 :

Le seul fait que le procureur ait l’opportunité des poursuites, comme le soutient la société Wikimedia Foundation Inc, ne saurait suffire à rendre illicite la mesure d’instruction sollicitée, qui vise à identifier l’auteur de ces actes.

> Le « motif légitime » exigé pour justifier une demande en référé préalablement  à un procès, notamment aux fins d’établissement de preuves, ne saurait être anihilé par un pronostic sur les décisions du procureur à propos de poursuites futures, comme le rappelle le juge.

 

 

 

Le projet de règlement e-Privacy, communications électroniques et vie privée

Mise à jour 23 sept.2022

En attendant la directive 2002/58 continue d’inspirer la jurisprudence, notamment en matière de levée d’anonymat sur internet aux fins de recherche des auteurs de propos illcites publiés sur internet, alors pourtant que la directive concerne les communications entre personnes (correspondance privée) et non l’écriture de propos publics en ligne (CJUE, gde. ch., 6 oct. 2020, aff. C-511/18, C-512/18 et C-520/18) 

***

Le projet de Règlement ePrivacy proposé par le Parlement et le Conseil européens le
10 janvier 2017, vise à répondre aux préoccupations des citoyens européens  sur la protection de leurs données
personnelles stockées sur leurs smartphones, tablettes, ordinateurs portables,
etc., en renforçant les règles applicables en matière de communications
électroniques et de démarchage commercial.
 
 

Dans une note d’information, la Commission Européenne lance officiellement le
processus législatif consacré à la proposition de règlement. La Commission
invite le Parlement européen et le Conseil à faire avancer rapidement les
travaux sur leurs propositions et à garantir leur adoption pour le 25 mai 2018
au plus tard (date à partir de laquelle, par ailleurs, le règlement UE général
n°2016/679 du 27 avril 2016 sur la protection des données entrera en
application).
 
Il s’agira d’une mise à jour des dispositions de la directive ePrivacy 2002/58/CE
du 12 juillet 2002 (révisée le 25 novembre 2009 par la directive 2009/136/CE).
 
Les dispositions de cette ancienne directive vont donc prendre
une nouvelle jeunesse par le biais de ce règlement, qui les rendra directement
applicables, cette fois-ci à tous les Etats membres et sans délai de transposition,
permettant ainsi de lutter contre les inégalités et les différences
d’appréciation en matière de protection des données personnelles. De plus,
ce règlement viendra en complément du Règlement 
UE général n°2016/679 du 27 avril 2016 sur la protection des données personnelles dont l’entrée en vigueur est prévue le 25 mai 2018.

L’ancienne directive ePrivacy 2002/58/CE du 12 juillet 2002 avait toutefois déjà fait l’objet de transpositions éparses dans le droit français de 2004 à 2012 à
travers 11 textes, le nouveau règlement aura donc pour mérite de servir de texte unique de référence sur le sujet et directement applicable  :
 

Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique
   Loi n° 2004-669 du 9 juillet 2004 relative aux communications électroniques et aux
services de communication audiovisuelle
   Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à
l’égard des traitements de données à caractère personnel et modifiant la loi n°
78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
   Décret n° 2005-862 du 26 juillet 2005 relatif aux conditions d’établissement et
d’exploitation des réseaux et à la fourniture de services de communications
électroniques

Décret n° 2009-834 du 7 juillet 2009 portant création d’un service à compétence nationale
dénommé « Agence nationale de la sécurité des systèmes d’information »

Loi n° 2011-302 du 22 mars 2011 portant diverses dispositions d’adaptation de la
législation au droit de l’Union européenne en matière de santé, de travail et
de communications électroniques
  Loi n° 2011-901 du 28 juillet 2011 tendant à améliorer le fonctionnement des maisons
départementales des personnes handicapées et portant diverses dispositions relatives
à la politique du handicap

Ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques
     Décret n° 2012-436 du 30 mars 2012 portant transposition du nouveau cadre réglementaire
européen des communications électroniques
   Décret n° 2012-488 du 13 avril 2012 modifiant les obligations des opérateurs de
communications électroniques conformément au nouveau cadre réglementaire
européen
 

Dans le règlement en préparation, trois volets sont prévus :
 
  • 1er
    volet 
    : l’écoute, l’interception, l’analyse et le stockage
    de SMS, de courriers électroniques ou d’appels vocaux seront interdits à défaut
    de consentement de l’utilisateur : cela concernera le contenu de la
    communication mais aussi les données relatives au lieu, à l’heure et au
    destinataire. (cela concernera aussi les applications telles que WhatsApp,
    facebook, Skype, Gmail, etc).
  • 2ème
    volet 
    : la
    transparence en matière d’utilisation des cookies. L’objectif est d’offrir aux
    utilisateurs un environnement numérique moins « envahi » par les
    bandeaux cookies qui s’affichent à chaque page visitée. A cet égard,
    l’utilisateur aura la possibilité d’accepter ou de refuser les cookies et
    devrait pouvoir le faire plus
    systématiquement en configurant les paramètres de navigation (concernant les
    cookies dits « cookies tiers », qui visent essentiellement à
    communiquer des données à des tiers à des fins commerciales, les navigateurs
    devront pouvoir permettre leur blocage par défaut)

Remarque : le
cookie est l’équivalent d’un fichier texte de petite taille, stocké sur le
terminal d’un internaute. Leur apparition date des années 90 et permettent
ainsi aux développeurs de sites web de conserver des données utilisateur afin
de faciliter la navigation et de permettre certaines fonctionnalités. Les
cookies ont toujours été plus ou moins controversés car ils contiennent des
informations personnelles pouvant potentiellement être exploitées par des
tiers.


2 directives à prendre en
compte :



Directive 2002/58 sur la vie privée : elle contient des règles sur
l’utilisation des cookies. Article 5 §3 exige que le stockage des données
(comme les cookies) dans l’ordinateur de l’utilisateur puisse seulement être
fait si : l’utilisateur est informé de la façon dont les données sont utilisées
; il est donné à l’utilisateur la possibilité de refuser cette opération de
stockage. Cependant, cet article statue aussi que le stockage de données pour
raisons techniques est exempté de cette loi. Selon l’avis du G29 n° 2/2010 de
2010, cette directive demeure très mal appliquée : la plupart des sites se
limite à une simple « bannière » informant de l’utilisation de
« cookies » sans donner d’information sur les utilisations, sans
différencier les cookies « techniques » des cookies de
« pistage », ni d’offrir de choix réel à l’utilisateur.



Directive 2009/136/CE du 25 novembre 2009 renforce donc les obligations
préalables au placement de cookies sur l’ordinateur de l’internaute à condition
que celui-ci ait donné son accord après avoir reçu une information claire et
complète. Cependant, malgré la volonté contraire du législateur européen, aucun
navigateur ne permet encore de dissocier les cookies techniques et les cookies
optionnels.
 
 
  • 3ème
    volet 
    : l’interdiction des communications électroniques
    non sollicitées, quel que soit le support utilisé (emails, SMS, appels
    téléphoniques, etc.). Sauf consentement préalable de l’utilisateur. Ainsi, pour
    l’envoi de spams, l’internaute pourra matérialiser son consentement en cochant
    une case et recevoir ainsi des offres
    commerciales
    de la société. De même, le consommateur qui aura activement inscrit son numéro
    sur liste rouge ne devra pas recevoir d’appels téléphoniques à visée
    commerciale.
Ce 3ème volet pose des
interrogations d’utilité pour la France : en effet, l’envoi de spams est
déjà encadré par le droit de la consommation en France, de même que la mise en
place de restrictions téléphoniques (Plateforme « bloctel.gouv.fr », issue de la loi n°2014-344 du 17 mars 2014
relative à la consommation). Les SMS et les messages vocaux ne sont pas concernés, mais
dépendent d’une autre procédure (Plateforme du 33 700).
 
Les principales cibles de ce texte,
sont les acteurs de la publicité ciblée et
les GAFA. En effet, La nouvelle proposition de la commission entend inclure
dans son champ d’application l’ensemble des opérateurs de services de
télécommunications : tels que Facebook (Facebook Messenger), WhatsApp, Google
Hangout, etc.
 
Pour certains observateurs, cette
proposition ne va pas assez loin en matière de protection des données.
 
Comme l’explique Lukasz Olejnik,
chercheur britannique diplômé d’un doctorat
informatique de l’INRIA, spécialisé dans les question de sécurité et vie privée,
la proposition de la commission ne prend pas
en compte les évolutions techniques qui attendent les navigateurs
et se
contente finalement de valider le statu quo : « À titre d’exemple, cette nouvelle mise à jour de la directive ne prend
pas en compte le fait que les navigateurs disposeront bientôt de
fonctionnalités bien plus puissantes, tels que l’accès aux données de capteurs
ou encore l’appairage entre le navigateur et l’appareil de l’utilisateur, via
Bluetooth.
».
Ainsi, les navigateurs pourront saisir des données via les
appareils connectés, notamment la collecte des cookies.
 
Ainsi, ce nouveau règlement
semblerait simplement renouveler quelques bases déjà acquises en 2009 ou avec
la nouvelle Directive entrant en vigueur en 2018, sans réellement apporter de
progrès.

Voir aussi : https://roquefeuil.avocat.fr/reglementation-des-cookies/

Les Etats
annoncent qu’ils prendront  position sur ce règlement seulement à partir de fin avril 2017.
Le 9 février 2017, le G29 a déclaré qu’il publiera son avis sur le règlement « peut-être en avril, sûrement avant
l’été [NDLR : 2017]
». 


MR