#033 L’obligation de collecte des métadonnées des professionnels

Une obligation de collecte et de conservation des métadonnées ? Quelles sont les métadonnées que les professionnels des télécoms et de l’internet ont l’obligation de collecter et de conserver lorsque nous passons par leurs réseaux ou leurs services ?

collecte et conservation des métadonnées [Ledieu-Avocats]

Qui sont les professionnels concernés ?

Vous allez voir, c’est pas simple, surtout que se superposent des directives européennes et des textes nationaux, qui s’articulent mal entre eux. La matière concerne surtout les hébergeurs, les opérateurs télécom et les fournisseurs d’accès à Internet (FAI). Mais pas seulement. Les professionnels qui proposent, même à titre accessoire et gratuit, un accès public à un réseau de communication sont également concernés par le caractère obligatoire de cette collecte (on pense aux réseaux Wi-Fi des hôtels par exemple).

Métadonnées vs. contenu des communications

Et d’ailleurs, quelles sont ces métadonnées ? Le terme générique de « métadonnées » n’est jamais utilisé dans les textes légaux (allez savoir pourquoi…), qui utilisent sans logique des expressions comme « données techniques« , « données de connexion« , « données de trafic » ou « données de localisation« .

Il est aisé de distinguer métadonnées et correspondances stricto sensu lorsque l’on évoque les correspondances électroniques. La donnée ? C’est le contenu d’une correspondance, le message lui-même (ou l’URL consultée). Les métadonnées ? C’est tout le reste. C’est en tout cas ainsi que le droit appréhende la distinction. Et vous allez voir, cette liste est incroyablement longue, répartie entre (i) métadonnées d’identification des personnes (qui ?) et (ii) données strictement techniques (quand ? comment ? depuis et vers quel lieu ?).

La liste des métadonnées collectées

Je vous sens déjà enchantés à la (re)découverte des articles R.10-13 et R.10-14 du Code des postes et des communications électroniques, dans leur version issue du décret n°2012-436 du 30 mars 2012 portant transposition du nouveau cadre réglementaire européen des communications électroniques, sans oublier le décret n°2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne (oui, rien que le titre donne envie…).

Cet inventaire est très important dans la mesure où même la loi Renseignement du 24 juillet 2015 se réfère à ces textes.

En quoi le sujet VOUS concerne ?

Les métadonnées que les professionnels ont l’obligation de collecter concernent l’ensemble des données de VOTRE ordinateur, de VOTRE tablette et de VOTRE smartphone (et bientôt de l’ensemble de VOS objets connectés, avec l’arrivée massive de l’Internet des objets [Internet of Things ou IoT] ).

En résumé, ce sont les métadonnées de TOUS les objets et terminaux « connectés » qui sont collectées et stockées par les professionnels de l’Internet et des télécoms, pour des finalités aussi diverses que :

(i) la facturation des prestations que les professionnels rendent à leurs abonnés (jusque là, pas de difficulté),

(ii) la sécurité des systèmes d’information de ces mêmes professionnels (OK, là aussi, cela peut se comprendre) ou

(iii) les informations nécessaires à la recherche, la constatation ou la poursuite d’infraction pénale (là encore, rien de choquant sur le principe, mais – c’est bien connu, « le diable est dans les détails« …). S’y ajoute au passage la poursuite des infractions liées au téléchargement illicite en application de la loi Hadopi (c’est en cela que la LCEN est visée dans ces textes).

En clair, voila ce que les professionnels doivent conserver à propos de VOTRE usage de VOS terminaux. Ca y est ? Le sujet devient plus concret pour VOUS ?


Vous êtes prévenus, c’est TRES technique. Mais c’est en images avec « Oukase » (collection Grand Angle) et, rien que pour ça, on dit MERCI MERCI et MERCI à Carole Braud des éditions Bamboo et aux auteurs, Messieurs Brahy, Stoffel et Espinosa. Avant de vous précipiter sur la rubrique —> Pour aller plus loin avec tous les liens de téléchargement des textes et arrêt de référence (bande de veinards). Bien évidemment, les affirmations contenues dans cette présentation n’engagent pas l’ARCEP, ni la CNIL



—> Pour aller plus loin sur la collecte des métadonnées

Les directives

Directive 97:66:CE du 15 décembre 1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications

Directive 2002:19:CE du 7 mars 2002 relative à l’accès aux réseaux de communications électroniques et aux ressources associées, ainsi qu’à leur interconnexion (directive %22accès%22)

Directive 2002:20:CE du 7 mars 2002 relative à l’autorisation de réseaux et de services de communications électroniques (directive %22autorisation%22)

Directive 2002:21:CE du 7 mars 2002 relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques (directive %22cadre%22)

Directive 2002:22:CE du 7 mars 2002 concernant le service universel et les droits des utilisateurs (directive %22service universel%22)

Directive 2002:58:CE du 12 juillet 2002 %22directive vie privée et communications électroniques%22

Directive 2006:24:CE du 15 mars 2006 sur la conservation de données

CNIL – ARCEP – Code pénal

ARCEP – avis 13 octobre 2005 concernant le projet de loi relatif à la lutte contre le terrorisme

CNIL – avis 22 décembre 2014 (Internet et wi-fi en libre accès)

art. 226-15 Code pénal

art. 432-9 Code pénal

Lois et décrets français

LCEN n°2004-575 du 21 juin 2004

Décret n°2011-219 du 25 février 2011 (en application de la LCEN)

Loi n°2006-64 du 23 janvier 2006

Décret n°2006-358 du 24 mars 2006

Décret n°2012-488 du 13 avril 2012 modifiant les obligations des opérateurs de communications électroniques

Les jurisprudences

2005 – CA Paris, 4 février 2005, BNP c. Word Press

2007 – CA Paris, 12 décembre 2007, Google c: Benetton

2008 – TGI Paris, 5 février 2008, FREE

2014 – CJUE C-293:12 – 8 avril 2014 Digital Rights Ireland

2015 – Cour d’Appel de Paris Pôle 1 Chambre 3 – 15 décembre 2015


26-fai-telecom-hebergeur-communication-electronique-ledieu-avocat-contrat-droit-nouvelles-technologies-logiciel-saas-donnees-personnelles-metadonnees-renseignement-vfr02-3-06-12-2016-051


collecte et conservation des métadonnées [Ledieu-Avocats]


 

 

Derniers articles