[intro] Vous rêviez de faire comme Steve Jobs et de fonder votre société d’hébergement dans votre garage ? Vous pouvez à présent oublier…
[/intro]

On en a beaucoup parlé, ce n’est donc pas un scoop: après avoir suscité beaucoup de remous au regard du respect de la vie privée, la directive européenne sur la rétention des données a finalement été déclarée invalide en avril dernier par la Cour de Justice européenne. Nous vous renvoyons à ce propos à notre article intitulé « Rétention des données et droits fondamentaux : le juge fait la leçon au législateur » (https://ictrecht.be/fr/2014/04/09/donnees-personnelles/). Pour faire court, ce qui pose problème, ce n’est pas tant le but de la législation en cause (lutter contre la criminalité grave afin de garantir la sécurité publique est une fin tout à fait légitime), que le caractère disproportionné de ce qui est exigé à cette fin. Le texte couvre en effet de manière généralisée l’ensemble des individus et toutes les catégories de données, sans distinction. La durée de conservation va également au-delà du strict nécessaire.

On en a beaucoup moins parlé, et pourtant, c’est peut-être bien ça qui aurait davantage dû passer sous la plume des journalistes : alors que les autorités nationales de plusieurs Etats membres ne se sont pas fait attendre pour adapter leurs dispositions nationales à la jurisprudence de la CJCE, la Belgique, elle, fait une nouvelle fois figure de mauvais élève.

Des obligations (trop) lourdes

Faut-il le rappeler, l’annulation d’une directive au niveau européen n’entraine pas automatiquement celle de la législation pertinente la transposant dans chacun des Etats membres… Et c’est bien là que le bât blesse. Car en raison de l’inertie du législation belge, qui n’a entrepris aucune démarche pour modifier sa loi de transposition du 30 juillet 2013, tous les fournisseurs d’accès à internet et les opérateurs de téléphonie fixe et mobile actifs en Belgique (sans exception!) sont désormais tenus, depuis la semaine passée, de disposer des infrastructures nécessaires pour conserver les données de connexion de tous leurs abonnés et utilisateurs. Tous sont par ailleurs invités à prendre les mesures techniques et organisationnelles appropriées afin de protéger les données conservées. Mais tout cela coûte cher, très cher. L’achat de serveurs de stockage, l’acquisitions de connaissances techniques, ou encore l’engagement de personnel compétent en la matière: tout cela a un prix. Et tout le monde ne peut malheureusement pas se permettre un tel investissement.

Une concurrence déloyale et un sérieux frein à l’innovation

Les implications pratiques de cette législation vont beaucoup trop loin. En plus de porter atteinte à notre droit fondamental au respect de la vie privée, cette loi est anticoncurrentielle et risque à terme de faire la part belle aux géants des télécoms tels que Belgacom, Voo, ou encore Telenet. Le texte de loi actuel pousse en effet les petits acteurs déjà présents sur le marché vers la porte de sortie, et constitue par ailleurs un obstacle structurel à l’entrée sur le marché de nouveaux services tels que ceux liés à la VoIP. Tout ça parce que ceux-ci ne disposent pas des fonds nécessaires pour pouvoir jouer les agents de police. Mais depuis quand demande-t-on aux facteurs de jouer aux pompiers ? Pourquoi ne pas demander aux épiciers d’être médecins, tant qu’on y est…

Il est tout à fait irraisonnable et pratiquement impossible d’exiger un effort financier identique de la part des grosses boites et des petits indépendants ou des start-ups. C’est d’ailleurs contraire au principe d’égalité, qui exige que des situations égales soient traitées de manière égale, et des situations inégales, de manière inégale.

Pour être francs, on ne voit de toute façon pas qui serait prêt à investir dans une infrastructure coûteuse tout en sachant que celle-ci ne sera sans doute plus obligatoire dans un futur (plus ou moins) proche. Il faut en effet savoir qu’une procédure a été initiée par l’Association des Fournisseurs Internet en Belgique (ISPA), et est actuellement pendante devant la Cour constitutionnelle belge. Il n’est donc pas exclu que la loi belge soit jugée inconstitutionnelle et donc à son tour déclarée invalide.

Ce n’est pas tout: en plus d’imposer des obligations légales démesurées, le législateur belge a eu la bonne idée de les assortir de sanctions pénales extrêmement lourdes. Les menaces de sanctions et l’incertitude juridique qui règne autour du texte de loi actuel ont pour effet de freiner d’autant plus drastiquement l’innovation, qui nécessite déjà elle-même des moyens matériels importants.

Tout ça pour quoi? Pour (potentiellement) voir sa responsabilité engagée!

Les données que la loi impose aux FAI de conserver sont des données importantes, qui ont de la valeur. Prenez l’exemple d’un transfert de société: les données de communication électronique entre les deux entités pendant les jours qui auront précédé le transfert peuvent présenter un caractère inestimable aux yeux de beaucoup. Or, tout ce qui a de la valeur attire la convoitise, c’est bien connu. Et les systèmes informatiques des PME et des start-ups sont évidemment des cibles de choix pour les hackers, parce que plus faciles à pirater.

Les petits poucets du secteur des télécoms risquent donc de voir leur responsabilité engagée, pour des données qu’ils ont conservées sur leurs serveurs non pas par choix, mais par contrainte.

Conclusion

La Belgique doit choisir : lutter contre la criminalité et le terrorisme à tout prix, au risque de mettre en danger la compétitivité de ses opérateurs sur le marché européen, ou prendre le taureau par les cornes et revoir les dispositions belges en profondeur.

Dans l’attente d’une telle nouvelle législation, nous ne pouvons qu’inviter les autorités belges à suivre l’exemple suédois, où il a temporairement été décidé de ne pas poursuivre les fournisseurs d’accès internet ayant effacé les métadonnées qu’ils ont collectées.