La problématique des perquisitions et saisies en ligne en Afrique de l’Ouest : état des lieux et perspectives Cas du Burkina Faso, du Mali, du Sénégal et du Togo( Télécharger le fichier original )par Anatole KABORE UNIVERSITE GASTON BERGER UFR DE SCIENCES JURIDIQUE ET POLITIQUE - Master Pro 2 2009 |
2) L'objet et la durée de l'obligation de conservation
L'objet et la durée de l'obligation de conservation des données doivent être strictement définis au regard de ce que cela comporte comme conséquences sur la vie privée. En effet, la plupart des données sont des données à caractère personnel106(*). En conséquence, l'obligation de conservation des données ne saurait constituer une règle générale : le principe est l'effacement ou l'anonymisation des données. La détermination de l'objet de l'obligation de conservation doit donc respecter le principe de spécialité, en évitant de prescrire une obligation générale de conservation de toutes données107(*). Ainsi, il serait judicieux d'exclure de l'obligation de conservation, les données de communication pouvant être considérées comme des données indirectes de contenu ou de comportement. Certaines données techniques peuvent en effet fournir des éléments sur le contenu des informations transmises (par exemple l'url des sites visités, l'adresse IP du serveur consulté ou l'intitulé d'un courrier électronique), ou sur le comportement des internautes (adresse du destinataire d'un courrier électronique par exemple). En France, le Forum des Droits sur Internet dans sa recommandation aux pouvoirs publics du 18 juillet 2001, a considéré que ce type de données devait être exclu de l'obligation de conservation. En revanche, il a admis que l'adresse IP de l'utilisateur soit incluse. Celle-ci, en effet, relève bien des données nécessaires à l'établissement de la communication et n'indique rien quant au contenu des informations consultées ou au comportement de l'internaute.108(*) Le Décret n° 2006-358 du 24 mars 2006 relatif à la conservation des données des communications électroniques109(*) énumère les données concernées par la conservation en son article 1er. Il s'agit d'abord des informations permettant d'identifier l'utilisateur. Le décret vise ensuite les données relatives aux équipements terminaux de communication utilisés, les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication. Sont aussi inclues dans le texte, les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs et, enfin, celles permettant d'identifier le ou les destinataires de la communication. Auparavant, la loi du 2 août 2000 « avait » prescrit aux fournisseurs d'accès à l'Internet (F.A.I.) et aux fournisseurs d'hébergement d'identifier leurs clients bénéficiant de services d'accès à l'Internet et de conserver des données identifiantes sur réquisition de l'autorité judiciaire. Dans la loi sur la sécurité quotidienne (L.S.Q.) la conservation vise les données de connexion des internautes110(*). La durée de conservation des données doit être fixée en tenant compte d'une part des impératifs d'efficacité de l'action des services chargés des enquêtes et, d'autre part, des effets de cette durée sur les sujets de l'obligation et sur les libertés individuelles111(*). Ce délai ne doit pas être trop court au risque d'être improductif au regard du but poursuivi. De nombreux mois, voire des années, sont susceptibles s'écouler entre la commission de l'infraction et sa recherche effective. Une certaine lenteur prudente de la procédure permet d'ailleurs de garantir le respect des droits des personnes : les actes à poser le seront avec précaution. Ce délai ne doit pas être trop long non plus, l'idée étant de tenir compte des intérêts des personnes assujetties à cette obligation112(*) et des questions protection de liberté des internautes. Il faudrait donc un temps de conservation raisonnable : un an par exemple113(*). * 106 Pour le Burkina Faso, v. L n°010-2004/AN du 20 avril 2004 portant protection des données à caractère personnel. Pour plus de détail sur cette question, v. Madame S. SAWADOGO, « La protection des données personnelles, expérience du Burkina Faso », intervention à la Conférence des commissaires à la protection des données personnelles de la francophonie, 24 septembre 2007, < http://www.cai.gouv.qc.ca/CCPDF/doc/bf.pdf>. Pour le Sénégal, la protection des données personnelles fait l'objet du projet de loi n°32/2007 ; pour plus de détails, v. le site de l'Agence de l'Informatique de l'Etat du Sénégal, sur < http://www.adie.sn/article.php3?id_article=173>. * 107 Dans la législation belge, l'objet de cette obligation est constitué par les données d'appel et d'identification des utilisateurs recourant au service des opérateurs de réseaux de télécommunications et fournisseurs de télécommunications. Les données d'appel concernent les données relatives à l'origine, la destination, la durée, la localisation des appels. Transposés à l'environnement numérique, ces exemples recouvrent également les adresses IP des ordinateurs émetteur et récepteurs de la communication, le début et la fin de la conservation afin de pouvoir relier cette adresse IP à un utilisateur précis, le log book des prestataires de service, les adresses des sites visités, voire la durée de ces visites, les adresses emails des messages échangés, tant de l'émissaire que du destinataire. V. F. VILLENGAGNE et S. DUSOLLIER, « La Belgique sort enfin ses armes contre la cybercriminalité », op.cit., p. 26. * 108 Forum des Droits sur Internet, « Conservation des données relatives à une communication, Recommandation aux pouvoirs publics », 18 juillet 2001< http://www.foruminternet.org/telechargement/documents/reco20011218.pdf>, p. 4. * 109 V. le texte dudit décret sur < http://www.legifrance.gouv.fr/imagesJOE/2006/0326/joe_20060326_0073_0009.pdf>. * 110 V. B. WARUSFEL, « Procédure pénale et technologie de l'information : de la Convention sur la cybercriminalité à la Loi sur la sécurité quotidienne < http://www.droit.univ-paris5.fr/warusfel/articles/procpenale-ntic_warusfel02.pdf>, p. 4 à 5. * 111 En Europe, le Groupe de l'article 29, dans son avis du 11 octobre 2002 avait déclaré que la conservation doit être prévue pour une période limitée et constituer une mesure nécessaire, appropriée et proportionnelle. Cet avis était conforme à la position prise par les Commissaires européens à la protection des données lors de la conférence internationale de Cardiff. V. < http://europa.eu.int/>. * 112 En effet, il ne faut pas perdre de vue les implications de cette durée pour les personnes auxquelles l'obligation de conservation incombe. La conservation engendre des coûts. Il sera injuste que ce coût reste à la charge de ces personnes. La nouvelle réglementation devrait donc y voir la responsabilité de l'Etat. La diction selon laquelle l'Etat est un mauvais payeur est une triste réalité en Afrique, surtout dans le paiement des frais occasionnés par le fonctionnement de la justice. C'est dire que les coûts de la conservation des données seront, pour la plupart des cas, à la charge effective des personnes tenues de cette obligation, quoique le législateur les aurait mis à la charge de l'Etat. * 113 Ce qui serait conforme aux délais arrêtés en droit français et belge. V. en droit français, art. 1er al. 2 du D. n° 2006-358 du 24 mars 2006. |
|