Combien de temps devez-vous conserver les CDR (Communication Detail Record) de vos clients en Europe ? Le cas particulier de la France.

En tant qu’opérateur nous agrégeons, traitons et manipulons des informations sensibles. Ces informations sont celles des utilisateurs de nos services et de leurs usages. Ces informations sont précieuses tant pour la gestion opérationnelle des services que pour les services de l’état qui font appel aux opérateurs pour délivrer des informations sur leurs utilisateurs et leurs usages télécoms dans le cadre d’enquête. Or les informations que nous agrégeons aussi utiles et sensibles qu’elles soient ont une durée de vie limitée. Elles doivent être supprimées au bout d’un certain temps pour se conformer au droit à la vie privée (à l’oubli notamment) et au RGPD.

Il y a deux grandes forces en présence qui s’affrontent sur ce sujet, l’état qui cherche à avoir accès à ces informations le plus longtemps possible pour assurer la sécurité nationale et les utilisateurs qui revendiquent leur droit à la vie privée et donc une conservation de ces données la plus courte possible. Pendant que ces forces font valoir chacune leur tour leurs intérêts au niveau national et européen, les opérateurs doivent se conformer aux évolutions et s’adapter notamment en ce qui concerne leur durée de conservation des informations d’usage. Alors où en est-on en France ? Et pendant combien de temps devons-nous garder ces informations ?

Le droit de collecte des données télécoms et leur transmission

Ainsi nous collectons comme le demande la régulation les noms prénoms et adresses des utilisateurs de nos numéros. Nous gardons également en base de données des CDRs (communications detail record) qui sont des résumés d’activités télécoms des utilisateurs, les numéros appelés, pendant combien de temps, à quelle heure. Les sujets de droit sur la vie privée sont largement régulés par le droit européen, qui étant supranational prévaut sur le droit national. Libre ensuite aux états membres de faire évoluer leur droit national en respectant le cadre européen.

Alors que dit l’Europe ?

Et bien l’Europe a défini un cadre protégeant la vie privée des utilisateurs à travers différents textes:

• Le fameux RGPD/GDPR, qu’on ne présente plus, qui traite de la gestion et de la protection des données personnelles sur le territoire de l’Union européenne.

• La Directive ePrivacy 2002/58/EC amendée par la directive Data Retention 2006/24/EC puis par la directive 2009/136/EC.

  • Ce texte permettait initialement aux états membres de l’UE de conserver les données de télécommunications des citoyens pendant un minimum de six mois et un maximum de vingt-quatre mois.

Mais saisie, la cour de justice européenne déclare cette directive Data Retention invalide le 8 avril 2014 sur la base d’une surveillance qu’elle juge trop peu encadrée et généralisée. Ainsi la commission européenne doit faire évoluer cette directive.

• Suite à cette décision de justice donc la nouvelle version de la directive ePrivacy est publiée et cette nouvelle version autorise la rétention des données de communication des utilisateurs tant que l’opérateur a besoin de ces données pour des raisons opérationnelles. Notamment pour des raisons de facturation ou commerciales/marketings si l’utilisateur a donné son accord.
• Par conséquent le droit européen permet, dans l’état actuel des choses, aux opérateurs de conserver les données d’usage utilisateur le temps de facturer leur client et jusqu’à ce que la période de contestation de la facture soit passée. Ainsi dans la majorité des cas la période de conservation de ces données s’étale entre 1 et 3 mois maximum.
• Les autres données personnelles, notamment de localisation, si elles doivent être utilisées pour des raisons commerciales ou marketing doivent être anonymisées avant usage, et l’opérateur doit avoir reçu l’accord de l’utilisateur final au préalable.

Les conclusions de la justice européenne réduisent donc considérablement la période de conservation légale des informations d’usage et changent évidemment énormément les usages jusqu’alors nationaux, à tel point que certains pays ne s’y conforment pas.

Le bras de fer entre l’union et les états membres

C’est notamment le cas de la France, de la Belgique et du Royaume Uni. Pour faire appliquer le droit européen la cour européenne de justice lance alors la charge contre ces états pour non-respect de cette directive européenne pour le droit à la vie privée. Elle rend son verdict en octobre 2020

Dans cette décision la justice européenne :

• Rappelle que les états membres n’ont pas le droit à la surveillance de masse, que la directive européenne prévaut sur le droit national en particulier en ce qui concerne le transfert par les fournisseurs de moyen de communication électroniques de données de communications et de localisations vers les services de sécurité étatiques. Elle ajoute que les fournisseurs ne doivent pas conserver les informations de communications de leurs utilisateurs de manière non discriminée et généralisée.
• Rappelle que les états ont donc interdiction de promulguer des lois générales allant à l’encontre du caractère confidentiel des communications privées tel que la directive 2002/58/EC (dans sa version amendée donc) le prévoit. Par conséquent, les opérateurs ont interdiction de stocker et de transférer de manière générale et indifférencié les données des utilisateurs.
• Donne donc un cadre auquel les états membres doivent se conformer. Néanmoins elle reconnaît aux états membres le droit de diverger de la directive dans certains cas précis lorsqu’il s’agit de sauvegarder la sécurité nationale et de lutter contre la criminalité.

Alors le diable est dans les détails, n’est ce pas ? Ainsi des “exceptions proportionnées” peuvent être appliquées, quelles sont-elles ?

• La première est le fait qu’un état peut par décret, validé par une autorité indépendante ou un juge, demander aux opérateurs de stocker et de transférer des données des utilisateurs, de manière générale et indifférenciée, si l’état prévoit une menace réelle et sérieuse à sa sécurité nationale dans le futur. Combien de temps en avance et pendant combien de temps cette situation peut durer ? Bonne question.
• La deuxième est que l’état membre peut demander une conservation ciblée, limitée dans le temps et à ce qui est strictement nécessaire, des données de trafic, de localisation et d’adresses IP. Cela doit être fait dans un cadre non discriminatoire et sur la base d’éléments objectifs. D’autres part les informations récoltées peuvent être conservées si ces informations font partie d’une enquête sur un crime ou une atteinte à la sécurité nationale déjà réalisée pendant la période de cette enquête.
• La troisième est que la cour de justice européenne autorise la collecte en temps réel d’information de communication ou de localisation, dans le cadre d’une réquisition judiciaire concernant un groupe limité de personnes suspectées d’activité terroriste.

L’un des aspects de la proportionnalité de ces mesures et le fait qu’elles doivent être limitées dans le temps et qu’une loi imposant une exception sans limitation de temps, devient de facto une règle générale, et va à l’encontre de la directive.

Donc la règle européenne reste le cadre par défaut et sauf contre ordre il faudrait garder les données d’utilisation personnelles pendant un temps limité nécessaire à la facturation.

Et en parlant de contre ordre, la France a répliqué.

En effet, en avril 2021, le Conseil d’état approuve la conservation des données de connexion de manière non discriminée générale et pendant un an. Selon le conseil d’état, cette décision ne contredit pas le droit Européen. En effet le conseil d’état considère que cette décision se fait dans le cadre des cas exceptionnels autorisés par la directive car d’abord il y a une menace pesant sur la sécurité nationale et ensuite l’état lutte également contre la criminalité ce qui fait deux motifs d’exceptions. Pour se conformer à l’aspect temporel de cet état exceptionnel le Conseil prévoit que le gouvernement doit réévaluer la réalité de la menace régulièrement. Pour ainsi mettre fin à cet “état d’urgence télécoms” et retourner au cadre standard européen ou éventuellement le prolonger. Combien de fois cet état exceptionnel peut-il être prolongé ? Pendant combien de temps ? Est-ce que la lutte contre le terrorisme ou la criminalité aura disparu à la prochaine révision ? Bonnes questions… Les défenseurs des droits en tout cas ont dénoncé le flou qui entoure cette décision du conseil d’état en craignant que son interprétation entraîne une surveillance généralisée sur le long terme à travers la prolongation de cet état d’urgence ce qui est contraire au droit européen.

Ok, donc quelle est la situation actuelle ?

La France a donc décidé d’interpréter les directives européennes dans le sens d’une plus longue conservation des données de communication en l’occurrence 1 an. On peut imaginer que la décision du conseil d’état fera de nouveau l’objet d’une procédure devant la cour de justice européenne et il est vraisemblable que l’interprétation de la France soit débattue. D’autant que cette décision n’est pas isolée puisque l’Allemagne (qui demande de garder les données pendant 10 semaines) et l’Italie (1 an également) sont aussi en opposition avec le droit européen. D’ailleurs le 25 mai 2021 la CEDH a répétée dans une décision de justice contre le Royaume Uni et qui fait jurisprudence auprès des états membres la “nécessité et la proportionnalité” dans le cadre de la collecte massive de donnée. Rappelant que cette pratique doit prévoir un “encadrement par des garanties de bout en bout”, notamment les garanties mentionnées précédemment.

Opérationnellement cela veut dire que :

• Les opérateurs en France devant se conformer au droit français tant qu’il n’est pas jugé contraire au droit européen et doivent donc appliquer la décision du conseil d’état. Il faut donc garder les informations de communication pendant une période de 1 an. Cette situation sera amenée à évoluer sans nul doute mais c’est le cas présent.
• Le cadre européen s’applique néanmoins et donc sauf exception française (et allemande et italienne…), pour les activités européennes des opérateurs, les données de communication non anonymisées peuvent être conservées pendant la période de facturation et celle nécessaire au traitement des contestations.
• D’autre part, ces informations doivent être conservées le temps de l’enquête si ces informations sont des pièces du dossier.
• Les informations anonymisées peuvent être conservées à des fins marketings et commerciales avec l’accord de l’utilisateur.

C’est tout pour l’instant dans cette histoire toujours en évolution et nous espérons avoir apporté un peu de clarté. Nous mettrons à jour cet article dès qu’il y aura de nouveaux développements !

N’hésitez pas à nous contacter pour rester informé de ces évolutions !