[data] Les métadonnées collectées par les professionnels


VENT DE TEMPETE SUR LES METADONNEES !

[mis à jour le 16 janvier 2017] STOP ! ON ARRETE TOUT ! La Commission européenne annonce officiellement le 10 janvier 2017 la réforme de la Directive 2002/58 « vie privée et communications électroniques » (modifiée en 2009) par un… Règlement UE (d’application directe dans les Etats membres de l’UE, sans loi nationale d’adoption). Dans 24 à 36 mois ? Les lobbys viennent de se placer dans les starting-blocks…

La presse en ligne fait mention de la règlementation devenue (spontanément) « E-Privacy« , avec quelques approximations…

Next INpact du 13 janvier 2017

Numérama du 12 janvier 2017

ZDNet du 11 janvier 2017

L’Usine Digitale du 9 janvier 2017

Les Echos.fr du 8 janvier 2017

L’arrêt CJUE « Tele2 Sverige » du 21 décembre 2016 

[mis à jour le 23 décembre 2016] Décidément, quand ce n’est pas la Commission, c’est la Cour de Justice de l’UE qui sort (enfin) les griffes. La CJUE, seule véritable autorité protectrice des libertés numériques en Europe, vient de rendre le 21 décembre 2016 un très important arrêt de principe (Aff. C‑203/15 « Tele2 Sverige » du 21 décembre 2016). Voici en synthèse ce qu’il faut en retenir. Pour une version complète et détaillée, c’est ici qu’il faut cliquer.

1er étage de la fusée :

« La directive 2002/58 du 12 juillet 2002… s’oppose à [toute] réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique ».

2ème étage de la fusée :

« La directive 2002/58 s’oppose à l’accès des autorités nationales aux [métadonnées]

[i] sans limiter… cet accès aux seules fins de lutte contre la criminalité grave,

[ii] sans soumettre ledit accès à un contrôle préalable par une juridiction / autorité administrative indépendante, et

[iii] sans exiger que [ces métadonnées] soient conservées sur le territoire de l’UE ».

La Directive 2006/24 du 15 mars 2006 sur la conservation de données avait déjà été annulée par un arrêt de la CJUE du 8 avril 2014 (voir ci-dessous, c’est en partie l’objet de la présentation qui suit).

Les législations nationales sur l’obligation de conservation des métadonnées

Maintenant, c’est le principe même des législations nationales (comme par exemple la loi française n°2006-64 du 23 janvier 2006 analysée dans les slides ci-dessous) qui est remis en question.

Entre temps, l’UE avait adopté le 27 avril 2016 la Directive n°2016/680 « prévention et détection des infractions pénales ». Vous étiez passé à coté de ce texte ? Normal, le même jour, l’UE a adopté le règlement 2016/679 sur la protection des données personnelles. Vous savez, la fameuse GRDP ! 

Mes quelques slides spéciales sur l’arrêt « Tele2 Sverige » sont accessible à partir de ce lien. Joyeux Noël 2016 !!!


[mise à jour du 12 septembre 2016] Il semble, selon Next INpact au 6 septembre 2016 (souvent très bien informé) que l’ARCEP se pose effectivement la question d’imposer à certains opérateurs actuellement « non régulés » (WhatsApp, Skype, etc.) les obligations qui pèsent sur les opérateurs télécom (décrites dans la présentation qui suit). A suivre attentivement…

[mise à jour du 24 août 2016] Grace à NextINpact, une fois encore, nous apprenons que la Suède et le Royaume-Uni sont sous les feus de la rampe pour leur législation respective en matière de collecte de métadonnées. Les conclusions de l’Avocat Général de la CJUE sont attendues en juillet ou septembre 2016…

[mise à jour du 8 juin 2016] Oui, 2 ans après l’invalidation de la directive 2006/24 par l’arrêt de la CJUE du 8 avril 2014, un parlementaire zélé ne cesse de questionner le gouvernement, juste pour savoir si les citoyens français seraient impactés par cette décision. Et vous savez quoi ? le gouvernement considère que tout va bien ! Vous êtes surpris ? Allez lire l’article de Marc Reese (Next INpact) de ce 8 juin 2016 « Conservation des données de connexion : pour le gouvernement, tout va bien »

[mise à jour du 1er juin 2016] Dans la foulée de l’adoption le 27 avril 2016 du Règlement 2016/679 « Data Protection », l’Union Européenne vient également d’adopter une directive n°2016/680 « relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales« . L’article 63 de cette directive prévoit que « Les États membres adoptent et publient, au plus tard le 6 mai 2018, les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive… Ils appliquent ces dispositions à partir du 6 mai 2018″. On en reparle dès que la loi française de transposition est votée par l’Assemblée et le Sénat (dans des termes identiques…) ? Ce sera probablement le travail de la future majorité parlementaire après les élections présidentielles de 2017…


Des obligations de collecte et de conservation des métadonnées ?

[mis à jour 11 juin 2016] Quelles sont les métadonnées que les professionnels des télécoms et de l’internet ont l’obligation de collecter et de conserver lorsque nous passons par leurs réseaux ou leurs services ?

Qui sont les professionnels concernés ?

Vous allez voir, c’est pas simple, surtout que se superposent des directives européennes et des textes nationaux, qui s’articulent mal entre eux. La matière concerne surtout les hébergeurs, les opérateurs télécom et les fournisseurs d’accès à Internet (FAI). Mais pas seulement. Les professionnels qui proposent, même à titre accessoire et gratuit, un accès public à un réseau de communication sont également concernés par le caractère obligatoire de cette collecte (on pense aux réseaux Wi-Fi des hôtels par exemple).

Métadonnées vs. contenu des communications

Et d’ailleurs, quelles sont ces métadonnées ? Le terme générique de « métadonnées » n’est jamais utilisé dans les textes légaux (allez savoir pourquoi…), qui utilisent sans logique des expressions comme « données techniques« , « données de connexion« , « données de trafic » ou « données de localisation« .

Il est aisé de distinguer métadonnées et correspondances stricto sensu lorsque l’on évoque les correspondances électroniques. La donnée ? C’est le contenu d’une correspondance, le message lui-même (ou l’URL consultée). Les métadonnées ? C’est tout le reste. C’est en tout cas ainsi que le droit appréhende la distinction. Et vous allez voir, cette liste est incroyablement longue, répartie entre (i) métadonnées d’identification des personnes (qui ?) et (ii) données strictement techniques (quand ? comment ? depuis et vers quel lieu ?).

La liste des métadonnées collectées

Je vous sens déjà enchantés à la (re)découverte des articles R.10-13 et R.10-14 du Code des postes et des communications électroniques, dans leur version issue du décret n°2012-436 du 30 mars 2012 portant transposition du nouveau cadre réglementaire européen des communications électroniques, sans oublier le décret n°2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne (oui, rien que le titre donne envie…).

Cet inventaire est très important dans la mesure où même la loi Renseignement du 24 juillet 2015 se réfère à ces textes.

En quoi le sujet VOUS concerne ?

Les métadonnées que les professionnels ont l’obligation de collecter concernent l’ensemble des données de VOTRE ordinateur, de VOTRE tablette et de VOTRE smartphone (et bientôt de l’ensemble de VOS objets connectés, avec l’arrivée massive de l’Internet des objets [Internet of Things ou IoT] ).

En résumé, ce sont les métadonnées de TOUS les objets et terminaux « connectés » qui sont collectées et stockées par les professionnels de l’Internet et des télécoms, pour des finalités aussi diverses que :

(i) la facturation des prestations que les professionnels rendent à leurs abonnés (jusque là, pas de difficulté),

(ii) la sécurité des systèmes d’information de ces mêmes professionnels (OK, là aussi, cela peut se comprendre) ou

(iii) les informations nécessaires à la recherche, la constatation ou la poursuite d’infraction pénale (là encore, rien de choquant sur le principe, mais – c’est bien connu, « le diable est dans les détails« …). S’y ajoute au passage la poursuite des infractions liées au téléchargement illicite en application de la loi Hadopi (c’est en cela que la LCEN est visée dans ces textes).

En clair, voila ce que les professionnels doivent conserver à propos de VOTRE usage de VOS terminaux. Ca y est ? Le sujet devient plus concret pour VOUS ?


Vous êtes prévenus, c’est TRES technique. Mais c’est en images avec « Oukase » (collection Grand Angle) et, rien que pour ça, on dit MERCI MERCI et MERCI à Carole Braud des éditions Bamboo et aux auteurs, Messieurs Brahy, Stoffel et Espinosa. Avant de vous précipiter sur la rubrique —> Pour aller plus loin avec tous les liens de téléchargement des textes et arrêt de référence (bande de veinards). Bien évidemment, les affirmations contenues dans cette présentation n’engagent pas l’ARCEP, ni la CNIL


—> Pour aller plus loin sur la collecte des métadonnées

Les directives

Directive 97:66:CE du 15 décembre 1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications

Directive 2002:19:CE du 7 mars 2002 relative à l’accès aux réseaux de communications électroniques et aux ressources associées, ainsi qu’à leur interconnexion (directive %22accès%22)

Directive 2002:20:CE du 7 mars 2002 relative à l’autorisation de réseaux et de services de communications électroniques (directive %22autorisation%22)

Directive 2002:21:CE du 7 mars 2002 relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques (directive %22cadre%22)

Directive 2002:22:CE du 7 mars 2002 concernant le service universel et les droits des utilisateurs (directive %22service universel%22)

Directive 2002:58:CE du 12 juillet 2002 %22directive vie privée et communications électroniques%22

Directive 2006:24:CE du 15 mars 2006 sur la conservation de données

CNIL – ARCEP – Code pénal

ARCEP – avis 13 octobre 2005 concernant le projet de loi relatif à la lutte contre le terrorisme

CNIL – avis 22 décembre 2014 (Internet et wi-fi en libre accès)

art. 226-15 Code pénal

art. 432-9 Code pénal

Lois et décrets français

LCEN n°2004-575 du 21 juin 2004

Décret n°2011-219 du 25 février 2011 (en application de la LCEN)

Loi n°2006-64 du 23 janvier 2006

Décret n°2006-358 du 24 mars 2006

Décret n°2012-488 du 13 avril 2012 modifiant les obligations des opérateurs de communications électroniques

Les jurisprudences

2005 – CA Paris, 4 février 2005, BNP c. Word Press

2007 – CA Paris, 12 décembre 2007, Google c: Benetton

2008 – TGI Paris, 5 février 2008, FREE

2014 – CJUE C-293:12 – 8 avril 2014 Digital Rights Ireland

2015 – Cour d’Appel de Paris Pôle 1 Chambre 3 – 15 décembre 2015


collecte et conservation des métadonnées [Ledieu-Avocats]


26-fai-telecom-hebergeur-communication-electronique-ledieu-avocat-contrat-droit-nouvelles-technologies-logiciel-saas-donnees-personnelles-metadonnees-renseignement-vfr02-3-06-12-2016-051


collecte et conservation des métadonnées [Ledieu-Avocats]


26-fai-telecom-hebergeur-communication-electronique-ledieu-avocat-contrat-droit-nouvelles-technologies-logiciel-saas-donnees-personnelles-metadonnees-renseignement-vfr02-3-06-12-2016-053


26-fai-telecom-hebergeur-communication-electronique-ledieu-avocat-contrat-droit-nouvelles-technologies-logiciel-saas-donnees-personnelles-metadonnees-renseignement-vfr02-3-06-12-2016-054


26-fai-telecom-hebergeur-communication-electronique-ledieu-avocat-contrat-droit-nouvelles-technologies-logiciel-saas-donnees-personnelles-metadonnees-renseignement-vfr02-3-06-12-2016-055


26-fai-telecom-hebergeur-communication-electronique-ledieu-avocat-contrat-droit-nouvelles-technologies-logiciel-saas-donnees-personnelles-metadonnees-renseignement-vfr02-3-06-12-2016-056


26-fai-telecom-hebergeur-communication-electronique-ledieu-avocat-contrat-droit-nouvelles-technologies-logiciel-saas-donnees-personnelles-metadonnees-renseignement-vfr02-3-06-12-2016-057


26-fai-telecom-hebergeur-communication-electronique-ledieu-avocat-contrat-droit-nouvelles-technologies-logiciel-saas-donnees-personnelles-metadonnees-renseignement-vfr02-3-06-12-2016-058


26-fai-telecom-hebergeur-communication-electronique-ledieu-avocat-contrat-droit-nouvelles-technologies-logiciel-saas-donnees-personnelles-metadonnees-renseignement-vfr02-3-06-12-2016-059


26-fai-telecom-hebergeur-communication-electronique-ledieu-avocat-contrat-droit-nouvelles-technologies-logiciel-saas-donnees-personnelles-metadonnees-renseignement-vfr02-3-06-12-2016-060


26-fai-telecom-hebergeur-communication-electronique-ledieu-avocat-contrat-droit-nouvelles-technologies-logiciel-saas-donnees-personnelles-metadonnees-renseignement-vfr02-3-06-12-2016-061


26-fai-telecom-hebergeur-communication-electronique-ledieu-avocat-contrat-droit-nouvelles-technologies-logiciel-saas-donnees-personnelles-metadonnees-renseignement-vfr02-3-06-12-2016-062


26-fai-telecom-hebergeur-communication-electronique-ledieu-avocat-contrat-droit-nouvelles-technologies-logiciel-saas-donnees-personnelles-metadonnees-renseignement-vfr02-3-06-12-2016-063


26-fai-telecom-hebergeur-communication-electronique-ledieu-avocat-contrat-droit-nouvelles-technologies-logiciel-saas-donnees-personnelles-metadonnees-renseignement-vfr02-3-06-12-2016-064


26-fai-telecom-hebergeur-communication-electronique-ledieu-avocat-contrat-droit-nouvelles-technologies-logiciel-saas-donnees-personnelles-metadonnees-renseignement-vfr02-3-06-12-2016-065


26-fai-telecom-hebergeur-communication-electronique-ledieu-avocat-contrat-droit-nouvelles-technologies-logiciel-saas-donnees-personnelles-metadonnees-renseignement-vfr02-3-06-12-2016-066


26-fai-telecom-hebergeur-communication-electronique-ledieu-avocat-contrat-droit-nouvelles-technologies-logiciel-saas-donnees-personnelles-metadonnees-renseignement-vfr02-3-06-12-2016-067


26-fai-telecom-hebergeur-communication-electronique-ledieu-avocat-contrat-droit-nouvelles-technologies-logiciel-saas-donnees-personnelles-metadonnees-renseignement-vfr02-3-06-12-2016-068