Autrice : Manon LÉONARD Master 2 Droit des communications électroniques, Aix-Marseille université
Relecteurs : Étienne MERLE, journaliste, et Philippe MOURON, professeur de droit privé, directeur du master droit des communications électroniques, Aix-Marseille université
********
Dans le cadre d’un partenariat, cet article a également été publié sur le site internet du média Les Surligneurs.
*******
La plateforme Telegram, connue pour sa politique de confidentialité “révolutionnaire” prônant la vie privée et la liberté d’expression, a décidé de se conformer aux lois et de transmettre désormais aux autorités judiciaires les données à caractère personnel de ses utilisateurs. Mais ce changement de politique de confidentialité est-il légal ?
En août dernier, le PDG de Telegram, Pavel Durov a été arrêté sur le sol français. La cause principale de cette arrestation est liée à plusieurs manquements de la plateforme, qui hébergerait des contenus manifestement illicites au sens de plusieurs dispositions pénales, notamment des contenus pédopornographiques. Mais la question de l’identification des utilisateurs semble aussi sur la table.
En effet, la plateforme Telegram repose sur un système de “chiffrement de bout à bout” défini comme un protocole de sécurité qui garantit depuis l’origine la sécurité de la communication, ce qui permet une politique de confidentialité optimale au détriment de la loi.
Pourtant, la loi pour la confiance dans l’économie numérique (LCEN) en date du 21 juin 2004 prévoit en son article 6 l’obligation pour les hébergeurs de collecter et de conserver les données d’identification et de connexion de ses utilisateurs à des fins de transmission aux autorités judiciaires compétentes.
Le manquement à cette obligation est en principe puni d’un an d’emprisonnement et de 250 000 euros d’amende.
En l’occurrence, la plateforme Telegram ne se conformait pas à cette obligation.
UN VIRAGE À 180° PERÇU COMME UNE TRAHISON
Cependant, à la suite de l’arrestation de son PDG, la politique de confidentialité de Telegram a très rapidement évolué, en particulier au point 8.3 “Autorités chargées de l’application de la loi” : “Si Telegram reçoit une ordonnance valide des autorités judiciaires compétentes confirmant que vous êtes suspecté dans une affaire impliquant des activités criminelles qui violent les conditions d’utilisation de Telegram, nous effectuerons une analyse juridique de la demande et pourrons divulguer votre adresse IP et votre numéro de téléphone aux autorités compétentes. Si des données sont partagées, nous inclurons ces événements dans un rapport de transparence trimestriel publié à l’adresse suivante : https://t.me/transparence.”
La plateforme Telegram a clairement décidé de se ranger du côté de la loi, et cela a pu soulever quelques mécontentements au regard de sa politique antérieure empêchant la divulgation de toute donnée à caractère personnel, qui se voulait plus respectueuse de la vie privée et de la liberté d’expression.
Cependant, la plateforme Telegram ne transmettra des données à caractère personnel que sous validité de l’ordonnance impliquant des activités dites “criminelles”. Il reste donc à savoir dans quels cas relevant de cette catégorie une telle transmission sera effectuée.
UNE PLATEFORME RATTRAPÉE PAR LE DROIT FRANÇAIS ET EUROPÉEN
Il est important de rappeler que les exigences de conservation et d’identification ont beaucoup évolué avec différentes décisions de la Cour de justice de l’Union européenne, de la Cour de cassation et du Conseil d’État.
En effet, depuis 2014, la Cour de justice de l’Union européenne est venue limiter la conservation de données en matière de trafic et de localisation, afin de garantir davantage l’effectivité du droit au respect de la vie privée des internautes.
La conservation et la transmission des données d’identification et de connexion des utilisateurs de plateforme sont désormais limitées aux procédures intéressant la “criminalité grave” et les menaces graves, réelles ou prévisibles pour la sécurité nationale.
Cette évolution a été intensément critiquée au motif que la Cour de justice donne une portée inédite au respect des droits fondamentaux, celle-ci étant de nature à limiter la réquisition et la communication des données dans un certain nombre de cas, y compris d’ordre pénal, ce qui constituerait en réalité une immixtion dans les compétences des États membres.
Le rapport d’information du Sénat, intitulé “Surveiller pour punir ?”, en date du 15 novembre 2023, a ainsi permis de faire le point en matière de conditions d’accès aux données de connexion au sein des enquêtes pénales. Ce rapport énonce divers points, comme la notion autonome de l’Union européenne de “criminalité grave”, la procédure de “quick freeze”, et rappelle que le recours à l’utilisation des adresses IP de façon généralisée et indifférenciée ne peut se faire que dans une période dédiée et pour les raisons précitées.
La plateforme Telegram ne pouvait éternellement passer à travers les mailles du filet, du seul fait qu’elle héberge des contenus au même titre que les autres.
Même si les hébergeurs ne sont en principe pas responsables du contenu illicite partagé par leurs utilisateurs, ils doivent néanmoins être en mesure de contribuer à la lutte contre la diffusion de certains contenus problématiques en passant notamment par les données d’identification des utilisateurs.