Messagerie instantanée (« chat ») : quel cadre juridique?

Par : Viviane GELLES le 07/01/2022

Catégories : abus sexuels, chat, confidentialité, contenu, données de connexion, e-privacy, messagerie instantanée, métadonnées, secret des correspondances

Le cadre juridique européen

La Directive 2002/58/CE[1] du Parlement européen et du Conseil du 12 juillet 2002 dite « Directive E-Privacy » consacre le principe selon lequel les États doivent garantir la confidentialité des communications électroniques et interdire à toute personne, autre que l’utilisateur de la communication électronique concernée, d’écouter, d’intercepter, de collecter, de stocker ou, plus généralement, de traiter ces données personnelles sans le consentement des utilisateurs concernés.

Elle vient également préciser que les données relatives au trafic et les données de localisation des utilisateurs doivent être effacées dès lors qu’elles ne sont plus nécessaires pour la réalisation de la prestation de service (article 6). Elle permet aussi l’anonymisation des données de géolocalisation, autres que les données de trafic, éventuellement recueillies par le fournisseur (article 9).

De son côté, l’article 7 de la Charte des droits fondamentaux de l’Union Européenne dispose que « Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications.»[2]

Cette protection couvre tant les correspondances postales que les communications électroniques. C’est au travers des articles L-32-3[3] et suivants du Code des postes et des communications électroniques que le secret des correspondances est précisément consacré et encadré en droit français.

Ainsi, les fournisseurs de services de communications électroniques et les membres de leurs personnels sont tenus de respecter le secret des correspondances, à savoir : le contenu de la correspondance, l’identité des utilisateurs, l’intitulé des messages et les documents éventuellement joints aux échanges.

Seul le traitement automatique d’analyse du contenu des correspondances, de l’identité ou des documents joints, à des fins d’affichage, de tri ou d’acheminement des correspondances ou encore de détection de contenu non sollicités ou de virus est permis.

Des limites ont toutefois été posées à ce principe de confidentialité. La balance d’équilibre entre la protection de la vie privée et de la confidentialité d’une part et les besoins de sécurité et d’intérêt public d’autre part, se situe au sein de l’article 15 de la directive e-privacy.

Ce dernier vient expliquer que les États peuvent en effet limiter les principes fondamentaux érigés par la directive e-privacy dès lors que la limitation est une mesure « nécessaire, appropriée et proportionnée », instituée pour « sauvegarder la sécurité nationale, la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques ».

C’est ainsi que les États sont autorisés à légiférer en vue d’autoriser la conservation de données pendant une durée limitée, dès lors que la mesure remplit les critères ci-dessus exposés.

La Directive E-Privacy a été transposée de manière imparfaite en France, notamment par les articles L34-1 et suivants du Code des postes et des communications électroniques[4] et par la loi n°2004—801 du 6 août 2004 modifiant la loi du 6 janvier 1978[5] relative à l’informatique, aux fichiers et aux libertés, qui intègre les cas de traitement des données personnelles pour le compte des États et ce notamment pour des raisons de sûreté de l’État ou dont l’objet relève de la prévention, de la recherche ou encore de la poursuite d’infractions pénales (Article 26). Cette loi de 2004 transpose également la Directive dite « Police Justice », en encadrant le traitement des données personnelles par toute autorité compétente à des fins, notamment, de prévention et de détection des infractions pénales.

Par ailleurs, le Parlement européen a adopté, à l’été 2021, un règlement (UE) 2021/1232[6] portant dérogation temporaire à la directive E-Privacy et qui est directement applicable au sein des États membres et ce jusqu’au 3 aout 2024, venant combler le manque de transposition en droit interne concernant l’article 15 [v1] [mg2] de la directive E-privacy dans un domaine bien spécifique : les abus sexuels commis contre des enfants en ligne.

Il prévoit et encadre la possibilité[7] pour les fournisseurs d’utiliser les moyens techniques spécifiques dont ils disposent en vue de détecter les abus sexuels sur mineurs et de les signaler aux autorités compétentes répressives et de retirer de leurs services le matériel relatif auxdits abus sexuels.

Le traitement doit être strictement nécessaire aux fins précédemment exposées, proportionné et limité aux technologies utilisées par les fournisseurs, limité aux données de contenu et aux métadonnées associées.

Il convient de préciser à cet égard, qu’il n’y a pas d’obligation de mise en place de procédures pour détecter ces abus.

En effet, le règlement a pour objet d’encadrer les activités dites « volontaires » qu’avaient certains fournisseurs à détecter les abus sexuels pour les signaler, afin de les rendre compatibles avec le respect de la vie privée et familiale.[v3]

Enfin, depuis 2017, la Commission européenne travaille sur un projet dit « Règlement E-Privacy » qui viendrait mettre à jour et compléter la directive E-Privacy afin de tenir compte des évolutions du secteur et notamment de l’arrivée de nouveaux acteurs et enjeux en la matière.

A ce stade, le Règlement prévoit :

– que son adoption ne priverait pas les Etats de leur faculté à l’interception de communications électroniques, dès lors que cela est nécessaire et proportionné pour assurer la sauvegarde des intérêts publics ;

– que les fournisseurs devront prévoir des procédures appropriées afin de faciliter le traitement des demandes légitimes des autorités compétentes ;

– qu’il ne s’appliquera pas aux activités menées par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces.

2. La Jurisprudence

A Interdiction d’imposer une obligation générale et indifférenciée de conservation de données aux fournisseurs

La directive de 2006(2006/24)[8] avait tenté d’harmoniser les modalités de conservation et d’accès aux données personnelles d’utilisateurs par les autorités. La Cour de Justice de l’Union Européenne (« CJUE ») avait alors saisi l’opportunité de préciser, dans l’arrêt Digital Rights Ireland Ltd, C-293/12, en date du 8 avril 2014 dit « Digital Rights[v4] »[9] que les États ne pouvaient imposer une obligation générale et indifférenciée de conservation de données aux fournisseurs, invalidant ainsi la précédente Directive.

B Finalité des dérogations au principe de confidentialité : la lutte contre la criminalité grave dans les limites du strict nécessaire.

L’arrêt de la CJUE « Tele 2 et Watson » C-203/15 en date du 21 décembre 2016[v5] [10] a confirmé la position prise dans l’arrêt précité.

En effet, la CJUE rappelle que les dérogations au titre de l’article 15 de la Directive E-Privacy sont d’interprétation stricte, compte tenu des atteintes potentielles à la vie privée. Seule la lutte contre la criminalité grave est susceptible de justifier de telles mesures.

Néanmoins, la CJUE estime que la[v6] lutte contre la criminalité grave n’est pas suffisante pour justifier une règlementation qui permettrait la conservation généralisée et indifférenciée de l’ensemble des métadonnées et des données de localisation des utilisateurs. Elle vient aussi rappeler le test de « stricte nécessité » selon lequel toute dérogation à la protection des données personnelles ne peut s’opérer que dans les limites du strict nécessaire, notamment en termes temporels, de localisation ou de personnes concernées.

C. La menace grave comme critère au test de stricte nécessité

Les modalités du test de stricte nécessité n’ayant pas été étayés, la CJUE a eu l’occasion d’y apporter quelques clarifications dans son arrêt[v7] C-511/18en date du 6 octobre 2020 « La Quadrature du Net »[11] :

Lorsqu’un État fait face à une menace grave pour la sécurité nationale qui s’avère être réelle et actuelle ou prévisible, alors il y a lieu de prévoir une dérogation exceptionnelle au principe de confidentialité des communications électroniques. Cette dérogation doit être conforme au principe de proportionnalité.

La CJUE précise également que seule la conservation ciblée des données est acceptable en vue de lutter contre la criminalité grave, en ajoutant la possibilité d’effectuer des conservations « rapides » de données permettant ainsi aux autorités compétentes d’imposer une obligation à effet immédiate de conservation (en l’état) de certaines données pour une durée limitée au strict nécessaire.

D. La question des infractions pénales en général

Les arrêts précédents se sont principalement focalisés sur les cas de lutte contre la criminalité grave, le terrorisme et les méthodes de renseignement, sans être aussi exhaustif pour les cas d’infractions pénales, et, de manière générale le traitement des données personnelles en procédure pénale.

Ainsi, par l’arrêt C746/18 en date du 2 mars 2021[12], la CJUE a fait suite à l’arrêt Quadrature du Net en précisant que les règlementations nationales autorisant les autorités compétentes à accéder à des données relatives au trafic ou à la localisation qui permettent de tirer des conclusions précises sur la vie privée des utilisateurs, à des fins de prévention, recherche, détection et poursuites d’infractions pénales, ne sont pas compatibles avec la Directive E-Privacy.

En effet, cet accès est strictement limité aux procédures « visant à la lutte contre la criminalité grave ou à la prévention de menaces graves contre la sécurité publique ».

En revanche, elle ajoute également que le traitement des données relatives à l’identité civile des utilisateurs, à la seule fin de l’identification de ce dernier sans que les informations puissent être associées aux informations relatives aux communications effectuées peut être justifié par l’objectif de prévention, de recherche, de détection et de poursuite d’infractions pénales.

E. La position du Conseil d’Etat français

C’est dans ce contexte de la Jurisprudence Tele 2 Watson et Digital Rights ci-dessus évoquée [v8] [mg9] que le Conseil d’État a eu à se prononcer sur la conformité au droit européen de certaines dispositions françaises, tel que l’article 34-1 du code des postes et des communications électroniques, relatives à la conservation des données personnelles d’utilisateurs de services de communication électronique ainsi qu’à l’accès à ces données par les autorités françaises[v10] .

Le Conseil d’Etat admet que la conservation généralisée et indifférenciée de certaines données se justifie par la menace actuelle que rencontre la France pour sa sécurité nationale.

Il impose au gouvernement de procéder à un examen périodique de l’existence d’une menace grave, réelle et actuelle ou prévisible pour la sécurité nationale, sous le contrôle du juge administratif. Par ailleurs et en dehors des besoins de sécurité nationale, le Conseil d’État juge l’obligation de conservation généralisée (en dehors des données peu sensibles comme l’adresse IP, identité civile des utilisateurs) illégale.[mg11]

L’exploitation et l’accès aux données préalablement conservées pour les besoins des services du renseignement doit être subordonnée à l’autorisation d’une juridiction ou d’une autorité indépendante dotée d’un pouvoir contraignant. Le Conseil d’Etat a ainsi constaté que le contrôle qui était prévu dans la règlementation française n’était pas suffisant et a ordonné une modification du droit national en ce sens.

Le Conseil d’Etat écarte néanmoins la faculté émise par la juridiction européenne quant à la conservation ciblée, s’avérant en pratique irréalisable.

Dans un tel contexte jurisprudentiel français et européen, et au lendemain de diverses réformes législatives, notamment par la dernière loi relative à la prévention d’actes de terrorisme et au renseignement du 30 juillet 2021[13], le cadre législatif français qui s’applique à votre encontre est le suivant :

Conformément à l’article L34-1 du Code des postes et des communications électroniques[14], une obligation de conservation de certaines données pèse sur les fournisseurs de communications électroniques. Ces derniers effacent ou rendent anonymes les données relatives aux communications électroniques.

Des procédures internes permettant de répondre aux demandes autorités compétentes doivent être mises en place.

L’obligation d’effacer ou d’anonymiser les données de communications électroniques est néanmoins assortie de certaines réserves évoquées dans ledit article que vous retrouverez sous forme de tableau :

Les fournisseurs ont l’obligation de conserver les données suivantes

Durée

Finalité

L34-1 II bis 1

Et R10-13

les informations relatives à l’identité civile de l’utilisateur, à savoir :

– Les nom et prénom, la date et le lieu de naissance pour une personne physique ou la raison sociale, ainsi que les nom, prénom, date et lieu de naissance de la personne agissant en son nom, lorsque le compte est ouvert au nom d’une personne morale

– La ou les adresses postales associées

– La/Les adresse(s) de courrier électronique de l’utilisateur et du ou des comptes associés Le ou les numéros de téléphone.

A l’expiration d’un délai de cinq ans à compter de la fin de validité de son contrat

Procédure pénale, Prévention des menaces contre la sécurité publique et de la sauvegarde de la sécurité nationale

L34-1 II bis 2 et R10-13

Autres informations fournies par l’utilisateur lors de la souscription d’un contrat ou de la création d’un compte ainsi que les informations relatives au paiement, à savoir

– L’identifiant utilisé

– Le ou les pseudonymes utilisés

– Les données relatives à la vérification et/ou modification du mot de passe

Le type de paiement utilisé
La référence du paiement

Le montant

Jusqu’à l’expiration d’un délai d’un an à compter de la fin de validité de son contrat ou de la clôture de son compte ;

Procédure pénale, Prévention des menaces contre la sécurité publique et de la sauvegarde de la sécurité nationale

L34-1 II bis 3 R10-13

Les données techniques permettant d’identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés

L’adresse IP attribuée à la source de la connexion et le port associé

Le numéro d’identifiant de l’utilisateur

Le numéro d’identification du terminal

Le numéro de téléphone à l’origine de la communication[mg12]

Jusqu’à l’expiration d’un délai d’un an à compter de la connexion ou de l’utilisation des équipements terminaux.

Lutte contre la criminalité et la délinquance grave, de la prévention des menaces graves contre la sécurité publique et de la sauvegarde de la sécurité nationale,

Dans certains cas, le premier ministre pourra en outre enjoindre aux fournisseurs de conserver certaines données :

En cas d’injonction du premier ministre

Conservation des données suivantes :

Durée

Finalité

L34-1 III

(R10-13)

Certaines catégories de données de trafic et de données de localisation

à savoir :

Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication
Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs
Les données techniques permettant d’identifier le ou les destinataires de la communication, mentionnées aux 1° à 4° du IV du présent article

Pour les opérations effectuées à l’aide de téléphones mobiles, les données permettant d’identifier la localisation de la communication.

Un an

A compter du jour de l’enregistrement

Sauvegarde de la sécurité nationale, lorsqu’est constatée une menace grave, actuelle ou prévisible, contre cette dernière,

Ces données conservées par les fournisseurs peuvent faire l’objet d’une injonction de conservation rapide par les autorités en vue de prévenir et réprimer criminalité, la délinquance grave et autres manquements graves.

Il convient de préciser que les données conservées et traitées portent exclusivement sur :

– l’identification des utilisateurs,

– sur les caractéristiques techniques des communications des utilisateurs

– et sur la localisation des équipements terminaux.

Le code précité exclut spécifiquement le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit, dans le cadre de ces communications.

Conformément à l’article L39-3 du Code des postes et des communications le fournisseur encourt un an d’emprisonnement et 75 000 euros d’amende s’il :

è Ne procède pas aux opérations tendant à effacer ou à rendre anonymes les données relatives aux communications dans les cas où ces opérations sont prescrites par la loi

è Ne procède pas à la conservation des données techniques dans les conditions où cette conservation est exigée par la loi.

Les personnes physiques coupables de ces infractions encourent également l’interdiction, pour une durée de cinq ans au plus, d’exercer l’activité professionnelle à l’occasion de laquelle l’infraction a été commise.

Conclusion :

Les fournisseurs de communications électroniques doivent garantir la confidentialité du contenu des correspondances échangées sur leur plateforme en vertu du principe du secret des correspondances.

En principe, les fournisseurs de communications électroniques sont par ailleurs tenus d’effacer ou de rendre anonymes les données relatives aux communications électroniques.

Néanmoins, les fournisseurs de communications électroniques sont tenus de conserver certaines données (voir tableau) :

– Les informations relatives à (i) l’identité de leurs utilisateurs et (ii) les informations fournies par ces derniers lors de leur souscription pendant des durées respectivement de 5 et 1 an à compter de l’expiration de son contrat (ou de la clôture du compte)

– Les données techniques identifiant la source de la connexion ou les équipements terminaux utilisés pour une durée de d’un an à compter de la connexion ou de l’utilisation des équipements terminaux.

Il est possible que des demandes de conservation, et le cas échéant, d’accès de certaines données soient expressément demandées sur injonction du premier ministre, à savoir :

– Certaines catégories de données de trafic pour une durée de 1 an

Viviane Gelles & Maëliss Guillaud

[1] https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A02002L0058-20091219

[2] https://www.europarl.europa.eu/charter/pdf/text_fr.pdf

[3] https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000034312035/

[4] Créée par la loi du 9 juillet 2004 relative aux communications électroniques : https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000000439399/

[5] https://www.legifrance.gouv.fr/loda/id/JORFTEXT000000886460/

[6] https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32021R1232&from=PT

[7] « Le présent règlement établit des règles temporaires et strictement limitées (…) dans le seul but de permettre aux fournisseurs (…) d’utiliser, sans préjudice du règlement (UE) 2016/679, des technologies spécifiques de traitement des données à caractère personnel et d’autres données dans la mesure strictement nécessaire pour détecter les abus sexuels commis contre des enfants en ligne sur leurs services, pour les signaler et pour retirer de leurs services le matériel relatif à des abus sexuels commis contre des enfants en ligne. »