Les termes de la Résolution 1373 du Conseil de Sécurité des Nations Unies, relative au tarissement des sources de financement et autres avoirs des terroristes et de leurs organisations, dont les réseaux de communications électroniques sont des vecteurs incontournables, rendent centrale et névralgique la question de l’identification des abonnés de réseaux de communication électroniques, qui fait désormais partie des critères de labellisation des meilleures pratiques internationales des opérateurs de téléphonie et services associés ou dérivés, bien qu’étant de nature à la dissocier de la problématique de la manipulation de données à caractère personnel, qui peut être, a fortiori, d’une plus grande impériosité.
- Définition, objectifs et modalités de l’identification
- Définition de l’identification de l’abonné
L’identification est le fait de collecter les informations – inscrites sur un document officiel d’identification – de tout abonné lors de la souscription d’un abonnement auprès de l’opérateur, l’exploitant ou le fournisseur de réseau de communications électroniques ouvert au public.
- Modalités de l’identification de l’abonné
L’opération consiste à obliger l’abonné à se faire identifier, physiquement et électroniquement, l’abonné du réseau, au moyen de la collecte de sa pièce d’identification : carte nationale d’identité, passeport, carte de séjour, visa, carte consulaire, etc. Il est aussi question de la présence physique, cela veut-il dire que l’abonné doit pouvoir être identifié scrupuleusement comme étant la personne réellement concernée ? Ce ne devrait être le cas car, l’opérateur n’a pas qualité pour effectuer une telle opération.
- Objectifs de l’identification de l’abonné
Les objectifs de l’identification sont de divers ordres. Pour les opérateurs, il s’agit de : identifier tous leurs abonnés, réaliser et mettre à jour une base de données d’identification fiable et sécurisée des abonnés, procéder à la suspension systématique des abonnés sans nom ou sans numéro de pièce d’identité, mais actifs dans leurs réseaux téléphoniques respectifs, et de répondre aux réquisitions judiciaires.
Pour les services publics de sécurité de l’Etat, les objectifs sont de : diligenter les enquêtes et les procédures judiciaires relatives aux infractions commises à l’aide des réseaux de communications électroniques – la cybercriminalité : menaces, injures, dénonciation calomnieuses, diffamations, extorsions, attentats -, adresser aux opérateurs des réquisitions de la Police judiciaire à l’effet d’identification des présumés délinquants, assurer l’identification de l’appelant des services d’urgence.
- Limites de l’identification des abonnés
- Identification des abonnés : procédure inefficace
L’inefficacité de l’identification est tout d’abord due à la vente groupée de puces et à l’identification de l’acheteur qui va par la suite les revendre à d’autres personnes, sans procéder à leur identification. Le deuxième problème est l’identification factice lors des ventes de puces à la criée. Le dernier problème est celui de l’inexistence de l’identification. En tout état de cause, ces pratiques rendent impossible le rapprochement de la puce avec son utilisateur final, lequel n’est plus l’abonné préalablement identifié.
- Identification des abonnés : procédure incomplète
Au regard des objectifs de sécurité, l’identification, ayant pour but de lutter contre la cybercriminalité, n’a pas d’impact car les puces remises lors de la souscription de l’abonnement, et surtout celles non rattachées à l’identification d’un abonné, et à celles, bien qu’enregistrées, auraient été abandonnées, volées, perdues ou données, peuvent être récupérées et utilisées à des fins criminelles, et notamment le financement et les activités de terrorisme. Cette insuffisance rend incomplet le processus à cause de non atteinte des résultats escomptés.
En ce qui concerne les objectifs des opérateurs, l’incomplétude de l’identification est aussi tributaire de leur responsabilité quant aux données qu’ils ont le devoir de collecter, et qu’ils ont la possibilité plus ou moins avouée de traiter ou de commercialiser. Or, les opérateurs n’ont pas toujours en ligne de mire l’intérêt de préservation de données des abonnés, notamment lorsqu’il n’y a aucune réglementation l’exigeant ou le prescrivant, alors même qu’ils en tirent des avantages financiers et économiques considérables.
- Proposition des moyens de protection des abonnés
- Propositions des moyens de protection relatives à l’identification des abonnés : de l’identification à l’authentification
La première mesure serait une coopération triangulaire entre les services détenant le fichier de l’identification et du contrôle de la circulation des populations à l’intérieur du territoire, et entre l’intérieur et l’extérieur du pays – carte nationale d’identité, carte de séjour, passeport, visas d’entrée dans le territoire -, les services de gestion du fichier de l’état civil, et le fichier des abonnés, détenu par les opérateurs. Ainsi, un abonnement, même souscrit, ne devrait être activé que lorsque les vérifications auraient été réalisées avec satisfaction soit dans le fichier de l’identification, soit dans le fichier de l’état-civil. Aux termes desdites vérifications, avec satisfaction sur la réalité de l’existence et du statut de l’abonné, les services de sécurité devraient donner le quitus à l’opérateur pour activer ou désactiver l’abonnement. Cette approche permet aussi de migrer d’un régime d’identification vers un régime d’authentification. Lorsque l’on s’identifie, on donne une identité qui devrait déjà exister et être enregistrée dans une base de données. L’authentification, quant à elle, permet de procéder à la vérification de l’exactitude de l’identité communiquée.
La deuxième mesure est, en plus de la non-activation ou de la désactivation des abonnés non identifiés, l’alignement de l’activation de la puce sur la durée et la date de validité de la pièce officielle qui a servi à l’identification au moment de la souscription de l’abonnement, y compris pour les puces prépayées. Autrement dit, la puce de l’abonné devrait se désactiver automatiquement à la date d’expiration de sa carte d’identité, son passeport, sa carte de résident, son visa, sa déclaration de décès ou son accès à l’âge de majorité pénale, si le mineur avait préalablement été identifié sous le couvert d’un majeur, etc.
Troisièmement, il serait opportun de mettre en place une activation temporaire avec certaines restrictions pour s’arrimer aux situations particulières d’attentes administratives ou médicales, par exemple.
Enfin, les opérateurs devraient de plus en plus investir dans la réalisation d’applications mobiles permettant une identification instantanée au moment de la souscription, même lors de la vente d’abonnements à la criée.
- Propositions des moyens de protection relatives à la protection des données des abonnés
Une double approche est possible, aussi bien du côté des opérateurs qu’au niveau de l’Etat, notamment lorsqu’il n’existe pas une législation dédiée en matière de protection de données des abonnés, et, en présence des fondamentaux principes et exigences de présomption d’innocence et du respect de la vie privée de l’abonné.
L’opérateur peut se protéger par la préservation des intérêts de l’abonné au moyen de deux dispositifs. Premièrement, il pourrait mettre en place, systématiquement, un dispositif d’information des abonnés, avec mention de la possibilité de traitement et d’utilisation de leurs données à des fins clairement et limitativement énumérées : fins commerciales, non commerciales, sécuritaires ou judiciaires, par exemple. En second lieu, il serait opportun que l’opérateur mette en place un dispositif de réquisition du consentement de l’abonné pour tout traitement qui pourrait être fait de leurs données, avec précision sur la nature et la destination des traitements, à l’exclusion des traitements à des fins sécuritaires ou judiciaires, qui sont obligatoires.
Cette approche serait un avantage pour l’abonné qui pourrait avoir la possibilité de défendre ses droits, soit par la voie de la responsabilité délictuelle soit par celle de la responsabilité contractuelle.
L’Etat, quant à lui, devrait construire et élaborer une règlementation en deux volets. Le premier volet pourrait concerner les traitements de données à des fins administratives, judiciaires et sécuritaires. Le second volet pourrait être relatif aux activités commerciales et non commerciales, autres que celles évoquées dans le premier volet, ci-dessus.
Ce qu’il faut retenir
L’identification de l’abonné de réseau de communications électroniques est un dispositif dont les implications administratives, judiciaires et sécuritaires sont souveraines, pouvant relever de la raison d’Etat. Ce qui peut aller à contre-courant des besoins commerciaux, financiers et économiques des opérateurs dont le but légitime est l’accroissement du trafic et du chiffre d’affaires.
Cependant, les conditions dans lesquelles s’opère l’identification peuvent être de nature à en limiter l’efficience et à préjudicier gravement sur les intérêts de l’abonné dont les données, bien que légalement collectées, ne sont pas toujours légitimement traitées et utilisées voire transigées. D’où la nécessité d’un dispositif réglementaire étatique dédié et une approche contractuelle conséquente, entre l’opérateur et l’abonné.
Cette problématique avait déjà interpelé l’espace économico-juridique de l’Union européenne qui, s’étant rendue compte de la valeur marchande des données et de la nécessaire protection de la vie privée de l’abonné, sans léser les impératifs sécuritaires étatiques, avait mis au point le « paquet européen » de la protection de données à caractère personnel, créant ainsi une solution dont peuvent s’inspirer d’autres espaces souverains.
*Par Laurent-Fabrice ZENGUE,
Juriste, Droit du numérique et des données
DU Université Paris 1 Panthéon-Sorbonne
