L’avis de la CNIL sur les articles 17, 18 et 19 du projet de loi societe de l’information...

Délibération N°01-018 du 3 mai 2001 portant avis sur le projet de loi sur la société de l’information

Le dispositif prévu

Le Titre II "De la liberté de communication en ligne" comporte un chapitre III, intitulé "L’effacement des données relatives aux communications", relatif à ce que l’on nomme communément, mais sous un vocable à coloration technique qui pourrait en dissimuler l’importance, les données de connexion, c’est-à-dire les informations qui sont produites ou nécessitées par la technologie, qu’il s’agisse de nos communications téléphoniques ou de nos connexions au réseau Internet.

Les informations relatives à l’usage que l’on fait du téléphone ou d’Internet sont de celles qui touchent le plus intimement à notre vie privée : les personnes que l’on appelle, quand, d’où (avec le téléphone mobile), notre navigation sur Internet, les services que nous utilisons et les sites que nous consultons, l’heure exacte de nos communications ou de nos connexions, leur durée.

Cette matière est d’ailleurs si intimement liée à notre vie privée que les Etats membres de l’Union européenne ont estimé, au moment de l’ouverture à la concurrence du marché des télécommunications, qu’elle devait faire l’objet d’une réglementation spécifique et harmonisée. Tel est l’objet de la directive 97/66 du 15 décembre 1997 "concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications" que le projet de loi transpose dans notre ordre interne.

Le projet, qui vise les données de connexion dont disposent les opérateurs de téléphonie mais aussi les fournisseurs d’accès à Internet(1), pose le principe d’un effacement ou d’une anonymisation de "toute donnée technique relative à une communication lorsque celle-ci est achevée", transposant ainsi l’article 6 de la directive 97/66. Deux exceptions sont cependant ménagées pour prévoir, d’une part, que certaines données nécessaires à la facturation ou au paiement de prestations pourront être conservés jusqu’à la fin de la période au cours de laquelle la facture peut être légalement contestée, d’autre part et surtout, que certaines données pourront être conservées pendant une durée maximale d’un an, "pour les besoins de la recherche et de la poursuite des infractions pénales et dans le seul but de permettre, en tant que de besoin, la mise à disposition de l’autorité judiciaire de ces données".

Le projet précise que les données qui seront conservées à de telles fins ainsi que, dans la limite prévue par la loi, leur durée de conservation seront précisées par décret en conseil d’Etat pris après avis de la Commission nationale de l’informatique et des libertés, qu’en aucun cas ces données ne pourront porter sur le contenu des correspondances échangées ou des informations consultées, enfin que la conservation et le traitement de ces données devront s’effectuer dans le respect des dispositions de la loi du 6 janvier 1978.

Le dispositif tel qu’il est arrêté par le projet de loi appelle plusieurs observations.

Observation générale

En évoquant, dans un même article, les données dont la conservation est justifiée par les nécessités de la facturation - ces données étant alors accessibles à la police judiciaire selon le droit commun - et celles dont la conservation, sans utilité pour l’internaute ou l’opérateur de télécommunication, sera prescrite par la loi à des fins exclusivement policières - c’est-à-dire, pris ensemble, le droit commun et l’exception - la présentation retenue par le projet de loi a pour effet d’estomper le caractère inédit du dispositif retenu. Cet effet ne peut qu’être renforcé par l’apparent parallélisme qui est établi entre les modalités de conservation des données dans les deux hypothèses, pourtant bien distinctes : référence, dans les deux cas, à une durée de conservation d’un an(2), renvoi, dans les deux cas, à un décret en conseil d’Etat pris après avis de la CNIL, référence commune aux dispositions de la loi du 6 janvier 1978.

Une telle présentation ne doit pas dissimuler les termes du débat important et légitime qui va être tranché par le législateur et qui concerne l’éventuelle utilisation par les services de police judiciaire des données liées à nos communications. L’enjeu est incontestablement d’importance à un moment où les pouvoirs publics souhaitent établir un cadre juridique suscitant la confiance pour l’entrée de la France dans la société de l’information.

Si, selon une certaine approche, les potentialités d’Internet (rapidité des communications et volatilité des informations) nécessitent la mise en place de mesures particulières propres à éviter le développement par le réseau de certaines formes de délinquance ou d’atteintes aux droits des tiers, une autre approche consiste à soutenir qu’une technologie de communication et d’information ne doit pas déroger aux principes fondamentaux de l’Etat de droit qui méritent sans doute d’être adaptés aux spécificités d’Internet mais qui ne sauraient être considérés comme caducs par le seul effet de la nouveauté technologique.

Les termes de ce débat ne sont pas nouveaux, ni inédits en matière de nouvelles technologies. Ce fût d’ailleurs une des intuitions des législations de protection des données personnelles et de la vie privée, au premier rang desquelles figure la loi française du 6 janvier 1978 et la Convention du 18 janvier 1981 du Conseil de l’Europe pour la protection des données personnelles, que d’avoir prévu que l’informatisation de nos sociétés allait permettre la collecte, le stockage, la conservation et le traitement de données de plus en plus nombreuses sur nos comportements les plus intimes (l’usage d’une carte bancaire, la nature et le montant de nos achats, le lieu où l’on se trouve à tel moment, l’heure d’une connexion, le lieu d’où l’on passe un appel depuis un mobile, le passage à tel péage d’autoroute, etc.). Les nouvelles technologies contribuent à créer de nouveaux gisements de données qui constituent, pour la police, autant d’éléments de preuves aisément accessibles, lui offrant ainsi des possibilités d’investigation sans précédent.

Aussi, ayant pressenti que les capacités de stockage et de traitement de l’information pourraient se développer quasiment sans connaître de limites techniques - ce qui est précisément advenu - le législateur a-t-il souhaité définir, dès les premiers balbutiements de la société numérique, des garanties destinées à prévenir toute rupture de l’équilibre entre les droits du citoyen et les prérogatives de l’Etat.

En subordonnant le traitement d’informations nominatives au principe de finalité (quelles données collectées et traitées et à quelles fins ?), en limitant la durée de conservation de ces données à ce que justifie la finalité des traitements en cause, en exigeant que les données conservées soient "pertinentes" et non "excessives" au regard de la finalité de la collecte et en imposant des mesures générales d’information des citoyens sur ces différents points, les lois de protection des données personnelles et de la vie privée ont décliné, à l’aube de la société de l’information, les principes fondamentaux de proportionnalité et de retenue qui avaient précédemment et successivement conduit l’Etat à s’interdire d’opérer des perquisitions de nuit au domicile d’un particulier, de saisir des objets ou des effets lui appartenant en enquête préliminaire sans son consentement exprès ou encore de le placer sous écoute téléphonique hors un cadre juridique rigoureux et dans certaines circonstances d’une gravité particulière dont l’appréciation est soumise au contrôle d’une autorité indépendante (l’autorité judiciaire pour les écoutes judiciaires, une autorité administrative indépendante pour les interceptions de sécurité).

Ces principes de protection des données personnelles n’ont nullement eu pour effet de priver la police de moyens d’action dans la mesure où, tout au contraire, ces derniers se sont développés, quasi mécaniquement, au fur et à mesure de l’informatisation de nos sociétés. C’est précisément la raison pour laquelle les législations de protection des données personnelles et de la vie privée ont posé le principe suivant : tant que des données personnelles sont conservées dans un traitement ou un fichier, elles demeurent accessibles à l’autorité judiciaire et à la police judiciaire. En revanche, sauf exception proportionnée et justifiée, des données à caractère personnel ne peuvent être conservées au-delà de ce que justifie la finalité de leur collecte ou de leur traitement initial.

Le projet de loi dérogeant à ces principes, le dispositif retenu mériterait d’être apprécié dans la plus grande clarté compte tenu des intérêts en cause.

Observations sur la conservation des données nécessaires à la facturation

S’agissant des opérateurs de téléphonie (fixe ou mobile), les données générées par nos communications (qui on appelle ? quand ? pendant combien de temps ? où ? d’où ?) sont fondamentalement liées à la facturation qui est d’ailleurs très largement déterminée par elles. Ces données sont évidemment particulièrement sensibles, mais nul ne met en cause la légitimité de leur conservation aussi longtemps que la facture peut être contestée. Sans doute la téléphonie mobile a-t-elle apporté une information supplémentaire par rapport aux informations "plus classiques" liées à la téléphonie fixe : notre localisation lorsque nous passons ou recevons un appel depuis un portable.

S’agissant de ceux des fournisseurs d’accès à Internet dont la tarification du service est liée à un forfait, les données dont la conservation est justifiée par une nécessité de facturation sont plus limitées dans la mesure où le tarif des connexions à Internet est toujours celui d’une communication locale, quels que soient la distance du serveur auquel l’abonné se connecte, la nature du site Web consulté ou l’identité du destinataire d’un message électronique.

La CNIL a déjà appelé de ses voeux(3) une harmonisation de la durée de conservation de telles données. En effet, jusqu’à présent seul l’opérateur historique était tenu, en conséquence des dispositions de l’article L126 du code des P et T, de ne les conserver que pendant une durée d’un an, les règles de droit commun en matière de prescription des créances civiles autorisant les opérateurs entrants à conserver ces informations pendant le délai ordinaire de prescription, soit 5 ans, durée qui pouvait, à tous égards et compte tenu en particulier de la sensibilité des informations en cause, paraître tout à la fois excessive et susceptible de provoquer des atteintes injustifiées à la vie privée des personnes.

Aussi, la CNIL ne peut-elle qu’être favorable à ce que le projet de loi consacre le principe de finalité, principe cardinal de la protection des données personnelles et de la vie privée, en prévoyant que les opérateurs ne pourront conserver les données en cause pour les besoins de la facturation et du paiement des prestations que jusqu’à l’expiration de la période au cours de laquelle la facture peut être légalement contestée ou des poursuites engagées pour en obtenir le paiement et en fixant, pour tous les opérateurs, ce délai à un an. Il résultera d’un tel dispositif d’harmonisation un raccourcissement des durées de conservation actuellement pratiquées par certains opérateurs.

S’agissant d’une éventuelle utilisation de ces données par les opérateurs souhaitant commercialiser leurs propres produits et services, la Commission prend également note avec satisfaction qu’un traitement de ces données à de telles fins ne pourra être entrepris qu’avec le consentement exprès des personnes. Cette disposition, que commande la transposition de l’article 6 de la directive 97/66 du 15 décembre 1997, renforcera les garanties jusqu’alors offertes aux usagers, le droit actuel ne distinguant pas entre ces données et des données plus "classiques" telles qu’un nom ou une adresse. En revanche, le texte proposé laisse entier le problème de savoir si un tel consentement, une fois acquis, autoriserait ou non l’opérateur à conserver les données de facturation au-delà de la durée d’un an. Ce point mériterait incontestablement d’être éclairci.

De même, la CNIL prend note avec satisfaction qu’en aucun cas de telles données ne pourront être utilisées pour le compte de tiers et qu’enfin la conservation et le traitement de ces données seront soumis aux dispositions de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

La Commission s’interroge toutefois sur la rédaction proposée pour l’article L32-3-3 nouveau §III du code des postes et télécommunications (article 17 du projet) qui évoque l’hypothèse d’une transmission de ces données de facturation à des tiers. Outre l’apparente contradiction entre une telle hypothèse et les garanties ci-dessus rappelées, une telle précision pourrait paraître sans réelle portée dans la mesure où la référence faite à la loi du 6 janvier 1978 suffit à autoriser une telle transmission dès lors qu’elle serait justifiée par la finalité de facturation ou de recouvrement.

En définitive, le principe d’une conservation des seules données nécessaires à la facturation, la fixation de la durée de conservation de ces données à un an, quel que soit l’opérateur, ainsi que le renvoi à un décret en conseil d’Etat pris après avis de la CNIL pour déterminer celles des données qui pourront être conservées à ce titre reçoivent l’approbation de la Commission.

Observations sur la conservation des données de connexion sans lien avec la facturation

L’enjeu

Il convient d’emblée de relever qu’en faisant obligation aux opérateurs de télécommunications de conserver des données de connexion dépourvues d’utilité pour la facturation, le projet de loi ne poursuit pas un objectif d’ordre public qui serait justifié par la nécessité d’identifier les auteurs de contenus illégaux ou attentatoires aux droits des tiers (sites pédophiles, négationistes, racistes, diffamatoires et autres). En effet, la loi du 1er août 2000 a déjà établi à la charge des hébergeurs de sites mais aussi des fournisseurs d’accès - visés ensemble par l’article 43-9 nouveau de la loi du 30 septembre 1986 - une obligation générale de "détenir et conserver les données de nature à permettre l’identification de toute personne ayant contribué à la création d’un contenu", dans des conditions et pour une durée qui doivent être précisées par un décret en conseil d’Etat pris après avis de la CNIL, les données ainsi conservées pouvant être requises par l’autorité judiciaire.

Le projet de loi sur la société de l’information est de portée beaucoup plus large puisqu’il concerne tous les internautes qui échangent des mails ou naviguent sur le Web, même s’ils ne créent aucun contenu accessible au public.

Certes, le projet précise que les données ainsi conservées "ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit". Mais cette rédaction, qui se borne à un constat exclusivement technique, si elle n’est pas inexacte, pourrait cependant donner à penser que de telles données sont anodines. Or, elles ne le sont nullement dans la mesure où, comme le précise le projet par ailleurs, elles portent notamment "sur l’identification des personnes utilisatrices des services fournis par l’opérateur de télécommunication".

Concrètement, il s’agit de faire obligation aux fournisseurs d’accès de conserver ce que l’on nomme les "adresses IP" des ordinateurs connectés aux services accessibles par Internet, adresses qui constituent l’équivalent d’un numéro minéralogique que le fournisseur d’accès attribue à l’ordinateur utilisé par l’abonné, soit de manière permanente, soit à chacune de ses connexions. La conservation de cette adresse IP permet d’identifier tout ordinateur connecté au réseau (et donc la personne physique titulaire de la ligne) et ses heures de connexion. Certes, à elle seule, la conservation de ces informations ne permet pas d’identifier l’activité de l’internaute. Mais si le projet de loi prescrit la conservation de telles données, c’est précisément pour associer à un comportement sur Internet une identité précise. La technologie d’Internet (c’est-à-dire le protocole de communication entre ordinateurs distants) permet déjà à certains robots de récupérer l’ensemble des adresses IP des ordinateurs connectés ; la conservation des données de connexion par les fournisseurs d’accès permettra d’identifier individuellement leurs utilisateurs ou tout au moins la personne physique titulaire de la ligne. De même, le rapprochement des données devant être conservées par les fournisseurs d’accès avec celles dont la loi du 1er août 2000 a prescrit la conservation aux hébergeurs de sites, permettrait d’identifier, non pas seulement les personnes ayant rendu un contenu accessible sur Internet, mais beaucoup plus généralement les internautes s’étant bornés à consulter tel ou tel site.

Ces quelques précisions techniques donnent la mesure de ce qui est en cause dans le projet de loi : l’absolue et inédite transparence de notre activité d’internaute lorsque pourtant nous nous abstenons de mettre un contenu à la disposition du public via le réseau.

Les termes du débat

Nul ne paraît contester la nécessité de prévoir des mesures de précaution afin de lutter contre certaines formes de délinquance ou de criminalité sur le réseau, tout particulièrement en matière d’intrusion ou de propagation de virus informatique. Ce souci d’intérêt public nécessite, à n’en pas douter, la conservation par les fournisseurs d’accès des données de connexion. Mais c’est la portée des mesures à prévoir à cette fin et les garanties qui doivent les entourer qui font légitimement débat depuis plusieurs années entre les acteurs de la société de l’information et les pouvoirs publics dans l’ensemble des pays développés.

Compte tenu du caractère dérogatoire aux principes généraux de protection des données personnelles et de la vie privée et, de manière plus générale, des atteintes possibles au respect de la vie privée et des libertés individuelles qu’emporte la conservation à des fins exclusivement policières de données dépourvues d’utilité technique, une fois la connexion établie entre un internaute et son interlocuteur (qu’il s’agisse de la personne physique avec laquelle l’internaute communique par courrier électronique ou d’un serveur distant, support d’un site public d’information), la sagesse et le principe de proportionnalité que commande tout particulièrement l’article 6 de la Convention de sauvegarde des droits de l’Homme et des libertés fondamentales devraient présider au débat public que le projet de loi ne manquera pas de susciter.

Les intérêts en cause sont nombreux et de nature diverse.

S’agissant des impératifs de sécurité publique, ne sont pas en cause la prévention et la recherche des contenus illégaux accessibles au public (le dispositif légal institué par la loi du 1er août 2000 y répond déjà), mais celles des actes de délinquance que la communication par le réseau pourrait faciliter ou permettre.

Il est déjà possible aux autorités de l’Etat, dans les conditions prévues par la loi du 1er août 1991 relative au secret des correspondances émises par la voie des télécommunications, de procéder à des interceptions de communications sur Internet, comme elles peuvent le faire pour les communications téléphoniques, ce qui résulte d’ailleurs clairement de l’article 52 du projet de loi. De telles interceptions, placées sous le contrôle du juge ou d’une autorité indépendante, permettent déjà d’identifier les comportements délictuels ou criminels.

Le projet de loi n’a donc pas pour objet de rechercher un moyen de substitution à une technique qui ne serait pas applicable à Internet - l’interception est possible sur Internet - mais à étendre les possibilités dont devraient disposer les autorités publiques, en ajoutant aux moyens traditionnels dont elles disposent déjà (les interceptions de communication), des moyens nouveaux que la technologie et les protocoles de communication permettent de mettre en oeuvre (le rapprochement et l’analyse des données de connexion).

S’il a pu être regretté par les autorités policières, dans tous les pays du monde, que certains fournisseurs d’accès ne conservent que durant quelques jours les données de connexion de leurs usagers, une telle situation ne doit pas faire perdre de vue le fait que la plupart des fournisseurs d’accès, en tout cas les plus importants, conservent, à des fins de sécurité informatique interne, les données de connexion de leurs abonnés pendant une durée de l’ordre de trois mois, ces données étant alors accessibles aux forces de police, dans le cadre des enquêtes judiciaires qu’elles diligentent. Imposer une obligation de conservation des données de connexion pendant un an, au motif que, jusqu’à présent et dans le silence de la loi, certains fournisseurs d’accès ne conservaient ces données que durant quelques jours pourrait paraître, sur le terrain des libertés individuelles et publiques, manquer de mesure.

Il convient de mettre en regard des impératifs d’intérêt public, qui méritent donc d’être nuancés, la liberté personnelle : celle de consulter un site Internet sans avoir le sentiment d’être sous surveillance, celle de pouvoir adresser un message électronique, comme on adresse un courrier postal ou un appel téléphonique, non pas avec un sentiment particulier de liberté, tant celle-ci nous paraît acquise, mais sans calcul ni préoccupation. Le développement du minitel en France a suscité, en termes de libertés personnelles, des débats de même nature que ceux qui sont aujourd’hui abordés, s’agissant d’Internet. Ne convenait-il pas de se prémunir contre certains des usages "inconvenants" de la télématique, de veiller au respect de l’ordre public et d’une certaine civilité par les kiosques ? Le choix a pourtant été fait de ne pas lier la facturation à la nature des services offerts et de renoncer à installer une "mémoire vive"(4) dans les terminaux de sorte que la nature des services consultés par les usagers ne soit ni conservée, ni traitée. Et nul n’avance qu’en procédant ainsi l’Etat se serait désarmé face à certaines formes de délinquance. Il s’agissait, à l’heure d’une technologie jusqu’alors inédite, de s’en tenir aux principes fondamentaux de protection de la vie privée des personnes qui président également à l’accès aux services de communication audiovisuelle : en cette matière, le secret de ses choix, dans une société de libertés, devrait demeurer la règle et les exceptions très rigoureusement pesées.

Le dernier intérêt en cause, qui ne se situe pas sur le terrain des libertés mais qui mérite sans doute d’être évoqué, est celui des fournisseurs d’accès eux-mêmes, acteurs sans lesquels les connexions à Internet ne seraient pas possibles. Sans doute les contraintes d’une catégorie de professionnels ne sauraient-elles dicter ce que commande l’intérêt général. Cependant, c’est sur eux que pèsera, techniquement et financièrement, l’obligation de conserver pendant de longues durées les données de connexion. Les estimations les plus sérieuses évaluent le nombre de pages Web consultées par jour, en France, à 4 ou 5 milliards. S’agissant des messages électroniques, l’Association des fournisseurs d’accès précise que les abonnés des professionnels qu’elle fédère auraient envoyé, pour la seule journée du 3 janvier 2001, 3.600.000 messages. De tels volumes donnent incontestablement la mesure de l’obligation qui leur serait faite s’ils étaient tenus de conserver pendant une durée d’un an trace de l’ensemble des connexions et du coût que représenterait, alors, la recherche de celles des données qui pourraient, les cas échéant, être utiles à une enquête. Il serait à craindre que le coût final d’une telle obligation soit reporté sur les internautes.

L’appréciation de la Commission

L’obligation faite aux fournisseurs d’accès de conserver à des fins de police trace des connexions qui, par recoupement avec d’autres données, peuvent dévoiler notre navigation sur le Web et, de manière plus générale, l’usage privé que l’on fait du réseau, déroge aux principes fondamentaux de protection des libertés individuelles. Dès lors, il convient que la loi édictant une telle obligation soit à la fois claire et précise et que le dispositif mis en oeuvre soit adapté et proportionné.

Or, le projet de loi renvoie au pouvoir réglementaire le soin de déterminer les données en cause et leur durée de conservation précise, dans la limite maximale d’un an. Certes, la rédaction du projet de loi sur ce point laisse penser que la durée de conservation finalement retenue pourrait être, dans certains cas, inférieure à un an et que seules certaines données de connexion, et non pas toutes, seraient en définitive conservées.

Cependant, l’hypothèse d’un tri entre des données à caractère technique qui sont rassemblées dans des fichiers dits "fichiers log" peut paraître assez peu réaliste d’autant qu’un tel dispositif reviendrait à ajouter à la contrainte faite aux opérateurs de conserver des données sans utilité pour eux une deuxième contrainte consistant à leur demander de procéder à une sélection a priori entre les données produites par la technologie. D’autre part et surtout, l’obligation ainsi instituée dérogeant au droit commun, sa portée et ses modalités de mise en oeuvre paraissent devoir être déterminées par le législateur. Il est en tout cas permis de s’interroger sur le point de savoir si un renvoi aussi général au pouvoir réglementaire, fût-ce après avis de la CNIL, offre les garanties de précision et de clarté exigées dans une matière qui touche aux libertés individuelles et publiques, étant observé qu’il ne s’agit plus, comme dans la loi du 1er août 2000, de permettre l’identification d’auteurs de contenus diffusés sur Internet mais toutes les personnes se connectant à Internet.

Sur le fond, la Commission estime que dans la mesure où la pratique des fournisseurs d’accès n’est pas aujourd’hui harmonisée et où certains d’entre eux ne conservent que très peu de temps les données de connexion, ce qui au demeurant ne peut que fragiliser la sécurité informatique de leurs propres installations, l’obligation nouvelle qui serait désormais faite à l’ensemble des fournisseurs d’accès de conserver les données de connexion pendant une durée de trois mois serait adaptée aux objectifs d’intérêt public poursuivis par le projet de loi.

La Commission croit devoir souligner que, selon le témoignage recueilli auprès de ses homologues européens, ceux des Etats-membres ayant prévu une obligation de conservation de ces données pendant une durée maximale de cet ordre ne paraissaient pas avoir rencontré de problèmes particuliers en matière de lutte contre la délinquance par le réseau.

Par ailleurs, dans une résolution législative portant avis du Parlement européen sur le projet d’action commune relative à la lutte contre la pornographie enfantine sur Internet(5), cette Assemblée a estimé qu’une durée de conservation des données de trafic de trois mois pouvait être adaptée.

Enfin, la commission européenne, saisie pour avis par la Belgique d’un projet de loi de réforme du code pénal qui retenait, notamment, une durée de conservation des données d’appels et d’identification des utilisateurs d’au moins douze mois, et qui renvoyait à des arrêtés royaux le soin d’arrêter les durées de conservation précises en fonction des services utilisés, a émis un avis circonstancié estimant que l’obligation ainsi définie était insuffisamment précise au regard des exigences européennes, qu’elle constituait une restriction excessive à l’exercice des activités économiques et une atteinte non justifiée aux principes de protection des données personnelles.

L’ensemble de ces considérations conduit la CNIL à estimer qu’un délai de conservation de trois mois serait parfaitement proportionné et adapté aux intérêts en cause.

Enfin, les conditions dans lesquelles de telles données personnelles pourraient être saisies ou accessibles dans le cadre d’une procédure judiciaire mériteraient sans doute d’être précisées compte tenu de la nature particulière de telles données qui ne sont pas conservées par les personnes concernées par la communication, mais par un tiers (le fournisseur d’accès). En effet, le projet de loi, en son état, ne parait subordonner un tel accès à ces données à aucune condition tenant à la gravité de l’infraction recherchée et donne à penser que ces données pourraient être consultées ou saisies dans le cadre d’une enquête préliminaire qui se caractérise, pourtant, par le fait qu’à ce stade l’infraction n’est pas patente et ne permet pas à la police judiciaire de procéder à des saisies ou perquisitions, sans l’accord exprès des personnes concernées.