Aux Etats-Unis, le Congrès a autorisé les opérateurs à vendre les données personnelles de leurs abonnés, dont leur historique de navigation, sans leur consentement. En France et en Europe, le cadre légal est heureusement beaucoup plus contraignant. [...]
Le principe général, rappelle la Cnil, c’est celui de la confidentialité des communications électroniques : «Toutes les données qui transitent sur Internet sont confidentielles et il n’est possible de porter atteinte à ce principe qu’en recueillant le consentement des utilisateurs» – hors exceptions en matière de police, de justice ou de renseignement. Pour le contenu des correspondances privées, le cadre est très clair : il doit être protégé par les opérateurs chargés de les acheminer. La loi numérique a par ailleurs défini ce que recouvre ce secret des correspondances : il inclut l’identité des correspondants, l’intitulé (d’un mail par exemple), les pièces jointes. Y sont soumis non seulement les opérateurs télécoms, mais aussi les «services de communication au public en ligne» (réseaux sociaux, services de messagerie instantanée…). Ces acteurs n’ont le droit d’exploiter la correspondance de leurs utilisateurs à des fins publicitaires qu’après avoir obtenu leur aval.
En ce qui concerne les données administratives (nom, adresse, mode de paiement…), «les règles classiques en matière de traitement de données s’appliquent pleinement puisqu’il s’agit ni plus ni moins d’une relation commerciale», poursuit la Cnil. Si un FAI veut transmettre ces données à un tiers pour une finalité autre que l’accès à Internet de son abonné, il doit en informer ce dernier. Pour le téléphone ou l’adresse mail, le consentement est obligatoire. [...]
L’affaire se complique un peu avec ce qu’on appelle les «données techniques de connexion», ou métadonnées : qui se connecte à quelle adresse web (l’URL), qui appelle quel numéro de téléphone… En France, les opérateurs télécoms peuvent conserver les données nécessaires à la facturation pour un an maximum. Depuis la loi sur la sécurité quotidienne de 2001, ils sont par ailleurs tenus de conserver certaines données techniques (identifiant de l’utilisateur, date, horaire et lieu des communications, données permettant d’identifier le destinataire, notamment) pendant un an pour les besoins des enquêtes pénales. Cette obligation a été étendue aux hébergeurs internet par la Loi pour la confiance dans l’économie numérique de 2004. Au-delà de ce délai, les données doivent être effacées ou anonymisées.
Mais dans tous les cas, explique Alexandre Archambault, les adresses web n’entrent pas dans cette catégorie. Selon le code des postes et des communications électroniques, les données «conservées et traitées» par les opérateurs ne peuvent «en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit». «Pour les fournisseurs d’accès, l’URL n’est pas une donnée pertinente pour l’acheminement des données : elle n’est pas collectée et encore moins conservée», précise l’avocat. Là encore, il y a des exceptions en matière de sécurité, du programme IOL de 2009, révélé l’an dernier par Mediapart et Reflets.info, aux «boîtes noires» prévues par la loi renseignement, en passant par le recueil en temps réel des données de connexion inscrit dans la loi de programmation militaire de 2013.
«De plus en plus, ce sont les métadonnées qui intéressent les autorités», souligne Alexandre Archambault. La révision de la directive européenne dite «e-privacy» (vie privée et communications électroniques) devrait permettre de poser un cadre plus précis : dans le futur règlement, qui s'appliquera directement dans les Etats membres, les métadonnées «auront la même importance que le contenu des communications, elles relèveront de la sphère privée, avec les mêmes garanties procédurales».
La loi sur le renseignement adoptée en Grande-Bretagne, qui impose aux opérateurs de conserver l’historique de navigation des internautes, y contreviendrait, n’eût été le Brexit. Et en tout état de cause, même si le droit à la vie privée est de plus en plus mal en point, on est ici encore loin de ce qu’a validé le Congrès américain : ni le cadre national ni le cadre européen ne permettent aux fournisseurs d’accès de collecter votre historique de navigation pour le revendre à des fins publicitaires sans votre consentement.