Combien de temps devez-vous conserver les CDR (Communication Detail Record) de vos clients en Europe ? Le cas particulier de la France.

16/04/2022 - 8 min. read

Clock illustration of the time CDRs can be retained

En tant qu’opérateur nous agrégeons, traitons et manipulons des informations sensibles. Ces informations sont celles des utilisateurs de nos services et de leurs usages. Ces informations sont précieuses tant pour la gestion opérationnelle des services que pour les services de l’état qui font appel aux opérateurs pour délivrer des informations sur leurs utilisateurs et leurs usages télécoms dans le cadre d’enquête. Or les informations que nous agrégeons aussi utiles et sensibles qu’elles soient ont une durée de vie limitée. Elles doivent être supprimées au bout d’un certain temps pour se conformer au droit à la vie privée (à l’oubli notamment) et au RGPD.

Il y a deux grandes forces en présence qui s’affrontent sur ce sujet, l’état qui cherche à avoir accès à ces informations le plus longtemps possible pour assurer la sécurité nationale et les utilisateurs qui revendiquent leur droit à la vie privée et donc une conservation de ces données la plus courte possible. Pendant que ces forces font valoir chacune leur tour leurs intérêts au niveau national et européen, les opérateurs doivent se conformer aux évolutions et s’adapter notamment en ce qui concerne leur durée de conservation des informations d’usage. Alors où en est-on en France ? Et pendant combien de temps devons-nous garder ces informations ?

Le droit de collecte des données télécoms et leur transmission

Ainsi nous collectons comme le demande la régulation les noms prénoms et adresses des utilisateurs de nos numéros. Nous gardons également en base de données des CDRs (communications detail record) qui sont des résumés d’activités télécoms des utilisateurs, les numéros appelés, pendant combien de temps, à quelle heure. Les sujets de droit sur la vie privée sont largement régulés par le droit européen, qui étant supranational prévaut sur le droit national. Libre ensuite aux états membres de faire évoluer leur droit national en respectant le cadre européen.

Alors que dit l’Europe ?

Et bien l’Europe a défini un cadre protégeant la vie privée des utilisateurs à travers différents textes:

  • Le fameux RGPD/GDPR, qu’on ne prĂ©sente plus, qui traite de la gestion et de la protection des donnĂ©es personnelles sur le territoire de l’Union europĂ©enne.
  • La Directive ePrivacy 2002/58/EC amendĂ©e par la directive Data Retention 2006/24/EC puis par la directive 2009/136/EC.

    • Ce texte permettait initialement aux Ă©tats membres de l’UE de conserver les donnĂ©es de tĂ©lĂ©communications des citoyens pendant un minimum de six mois et un maximum de vingt-quatre mois.

Mais saisie, la cour de justice européenne déclare cette directive Data Retention invalide le 8 avril 2014 sur la base d’une surveillance qu’elle juge trop peu encadrée et généralisée. Ainsi la commission européenne doit faire évoluer cette directive.

  • Suite Ă  cette dĂ©cision de justice donc la nouvelle version de la directive ePrivacy est publiĂ©e et cette nouvelle version autorise la rĂ©tention des donnĂ©es de communication des utilisateurs tant que l’opĂ©rateur a besoin de ces donnĂ©es pour des raisons opĂ©rationnelles. Notamment pour des raisons de facturation ou commerciales/marketings si l’utilisateur a donnĂ© son accord.
  • Par consĂ©quent le droit europĂ©en permet, dans l’état actuel des choses, aux opĂ©rateurs de conserver les donnĂ©es d’usage utilisateur le temps de facturer leur client et jusqu’à ce que la pĂ©riode de contestation de la facture soit passĂ©e. Ainsi dans la majoritĂ© des cas la pĂ©riode de conservation de ces donnĂ©es s’étale entre 1 et 3 mois maximum.
  • Les autres donnĂ©es personnelles, notamment de localisation, si elles doivent ĂŞtre utilisĂ©es pour des raisons commerciales ou marketing doivent ĂŞtre anonymisĂ©es avant usage, et l’opĂ©rateur doit avoir reçu l’accord de l’utilisateur final au prĂ©alable.

Les conclusions de la justice européenne réduisent donc considérablement la période de conservation légale des informations d’usage et changent évidemment énormément les usages jusqu’alors nationaux, à tel point que certains pays ne s’y conforment pas.

Le bras de fer entre l’union et les états membres

C’est notamment le cas de la France, de la Belgique et du Royaume Uni. Pour faire appliquer le droit européen la cour européenne de justice lance alors la charge contre ces états pour non-respect de cette directive européenne pour le droit à la vie privée. Elle rend son verdict en octobre 2020

Dans cette décision la justice européenne :

  • Rappelle que les Ă©tats membres n’ont pas le droit Ă  la surveillance de masse, que la directive europĂ©enne prĂ©vaut sur le droit national en particulier en ce qui concerne le transfert par les fournisseurs de moyen de communication Ă©lectroniques de donnĂ©es de communications et de localisations vers les services de sĂ©curitĂ© Ă©tatiques. Elle ajoute que les fournisseurs ne doivent pas conserver les informations de communications de leurs utilisateurs de manière non discriminĂ©e et gĂ©nĂ©ralisĂ©e.
  • Rappelle que les Ă©tats ont donc interdiction de promulguer des lois gĂ©nĂ©rales allant Ă  l’encontre du caractère confidentiel des communications privĂ©es tel que la directive 2002/58/EC (dans sa version amendĂ©e donc) le prĂ©voit. Par consĂ©quent, les opĂ©rateurs ont interdiction de stocker et de transfĂ©rer de manière gĂ©nĂ©rale et indiffĂ©renciĂ© les donnĂ©es des utilisateurs.
  • Donne donc un cadre auquel les Ă©tats membres doivent se conformer. NĂ©anmoins elle reconnaĂ®t aux Ă©tats membres le droit de diverger de la directive dans certains cas prĂ©cis lorsqu’il s’agit de sauvegarder la sĂ©curitĂ© nationale et de lutter contre la criminalitĂ©.

Alors le diable est dans les détails, n’est ce pas ? Ainsi des “exceptions proportionnées” peuvent être appliquées, quelles sont-elles ?

  • La première est le fait qu’un Ă©tat peut par dĂ©cret, validĂ© par une autoritĂ© indĂ©pendante ou un juge, demander aux opĂ©rateurs de stocker et de transfĂ©rer des donnĂ©es des utilisateurs, de manière gĂ©nĂ©rale et indiffĂ©renciĂ©e, si l’état prĂ©voit une menace rĂ©elle et sĂ©rieuse Ă  sa sĂ©curitĂ© nationale dans le futur. Combien de temps en avance et pendant combien de temps cette situation peut durer ? Bonne question.
  • La deuxième est que l’état membre peut demander une conservation ciblĂ©e, limitĂ©e dans le temps et Ă  ce qui est strictement nĂ©cessaire, des donnĂ©es de trafic, de localisation et d’adresses IP. Cela doit ĂŞtre fait dans un cadre non discriminatoire et sur la base d’élĂ©ments objectifs. D’autres part les informations rĂ©coltĂ©es peuvent ĂŞtre conservĂ©es si ces informations font partie d’une enquĂŞte sur un crime ou une atteinte Ă  la sĂ©curitĂ© nationale dĂ©jĂ  rĂ©alisĂ©e pendant la pĂ©riode de cette enquĂŞte.
  • La troisième est que la cour de justice europĂ©enne autorise la collecte en temps rĂ©el d’information de communication ou de localisation, dans le cadre d’une rĂ©quisition judiciaire concernant un groupe limitĂ© de personnes suspectĂ©es d’activitĂ© terroriste.

L’un des aspects de la proportionnalité de ces mesures et le fait qu’elles doivent être limitées dans le temps et qu’une loi imposant une exception sans limitation de temps, devient de facto une règle générale, et va à l’encontre de la directive.

Donc la règle européenne reste le cadre par défaut et sauf contre ordre il faudrait garder les données d’utilisation personnelles pendant un temps limité nécessaire à la facturation.

Et en parlant de contre ordre, la France a répliqué.

En effet, en avril 2021, le Conseil d’état approuve la conservation des données de connexion de manière non discriminée générale et pendant un an. Selon le conseil d’état, cette décision ne contredit pas le droit Européen. En effet le conseil d’état considère que cette décision se fait dans le cadre des cas exceptionnels autorisés par la directive car d’abord il y a une menace pesant sur la sécurité nationale et ensuite l’état lutte également contre la criminalité ce qui fait deux motifs d’exceptions. Pour se conformer à l’aspect temporel de cet état exceptionnel le Conseil prévoit que le gouvernement doit réévaluer la réalité de la menace régulièrement. Pour ainsi mettre fin à cet “état d’urgence télécoms” et retourner au cadre standard européen ou éventuellement le prolonger. Combien de fois cet état exceptionnel peut-il être prolongé ? Pendant combien de temps ? Est-ce que la lutte contre le terrorisme ou la criminalité aura disparu à la prochaine révision ? Bonnes questions… Les défenseurs des droits en tout cas ont dénoncé le flou qui entoure cette décision du conseil d’état en craignant que son interprétation entraîne une surveillance généralisée sur le long terme à travers la prolongation de cet état d’urgence ce qui est contraire au droit européen.

Ok, donc quelle est la situation actuelle ?

La France a donc décidé d’interpréter les directives européennes dans le sens d’une plus longue conservation des données de communication en l’occurrence 1 an. On peut imaginer que la décision du conseil d’état fera de nouveau l’objet d’une procédure devant la cour de justice européenne et il est vraisemblable que l’interprétation de la France soit débattue. D’autant que cette décision n’est pas isolée puisque l’Allemagne (qui demande de garder les données pendant 10 semaines) et l’Italie (1 an également) sont aussi en opposition avec le droit européen. D’ailleurs le 25 mai 2021 la CEDH a répétée dans une décision de justice contre le Royaume Uni et qui fait jurisprudence auprès des états membres la “nécessité et la proportionnalité” dans le cadre de la collecte massive de donnée. Rappelant que cette pratique doit prévoir un “encadrement par des garanties de bout en bout”, notamment les garanties mentionnées précédemment.

Opérationnellement cela veut dire que :

  • Les opĂ©rateurs en France devant se conformer au droit français tant qu’il n’est pas jugĂ© contraire au droit europĂ©en et doivent donc appliquer la dĂ©cision du conseil d’état. Il faut donc garder les informations de communication pendant une pĂ©riode de 1 an. Cette situation sera amenĂ©e Ă  Ă©voluer sans nul doute mais c’est le cas prĂ©sent.
  • Le cadre europĂ©en s’applique nĂ©anmoins et donc sauf exception française (et allemande et italienne…), pour les activitĂ©s europĂ©ennes des opĂ©rateurs, les donnĂ©es de communication non anonymisĂ©es peuvent ĂŞtre conservĂ©es pendant la pĂ©riode de facturation et celle nĂ©cessaire au traitement des contestations.
  • D’autre part, ces informations doivent ĂŞtre conservĂ©es le temps de l’enquĂŞte si ces informations sont des pièces du dossier.
  • Les informations anonymisĂ©es peuvent ĂŞtre conservĂ©es Ă  des fins marketings et commerciales avec l’accord de l’utilisateur.

C’est tout pour l’instant dans cette histoire toujours en évolution et nous espérons avoir apporté un peu de clarté. Nous mettrons à jour cet article dès qu’il y aura de nouveaux développements !

N’hésitez pas à nous contacter pour rester informé de ces évolutions !

European Telcos

Besoin de services personnalisés ?

Parlez avec notre Ă©quipe de vente sales@cantoo.co

Vous avez une réquisition légale?

Envoyez-nous un e-mail Ă  requisition@cantoo.co

Restez connecté

LinkedIn