Chapitre 1 – Terminologie

Introduction concernant les définitions de l’article 1

22. Les rédacteurs estiment qu’en vertu de la convention, les Parties ne seront pas tenues de reproduire mot pour mot, dans leurs lois internes, les quatre notions définies à l’article 1, à condition que ces lois couvrent ces notions d’une façon qui soit compatible avec les principes de la Convention et offrent un cadre équivalent pour sa mise en œuvre.

Article 1 (a) – Système informatique

23. Aux fins de la Convention, un système informatique est un dispositif composé de matériel et de logiciels, conçus pour le traitement automatisé des données numériques. Il peut comprendre des moyens d’acquisition, de restitution et de stockage des données. Il peut être isolé ou connecté à d’autres dispositifs similaires au sein d’un réseau. « Automatisé » signifie sans intervention humaine directe, le « traitement des données » est un ensemble d’opérations appliquées à des données et effectuées par le biais de l’exécution d’un programme informatique. Un « programme informatique » est un ensemble d’instructions pouvant être exécutées par l’ordinateur pour obtenir le résultat attendu. Un ordinateur peut exécuter différents programmes. Dans un système informatique, on distingue généralement plusieurs composantes, à savoir le processeur ou l’unité centrale, et les périphériques. Par « périphérique », on entend un dispositif qui remplit certaines fonctions spécifiques en interaction avec l’unité centrale : imprimante, écran, lecteur/graveur de CD-ROM ou autre moyen de stockage, par exemple.

24. Un réseau est une interconnexion entre deux systèmes informatiques ou plus. Les connexions peuvent être reliées à la terre (fil ou câble, par exemple), sans fil (radio, infrarouge ou satellite, par exemple), ou les deux. Un réseau peut être géographiquement limité à une zone peu étendue (réseau local) ou couvrir une zone étendue (réseau étendu), et de tels réseaux peuvent eux-mêmes être interconnectés. L’Internet est un réseau mondial composé de nombreux réseaux interconnectés, qui utilisent tous les mêmes protocoles. Il existe encore d’autres types de réseaux, connectés ou non à l’Internet, capables de faire circuler des données entre des systèmes informatiques. Les systèmes informatiques peuvent être connectés au réseau en tant que points de sortie ou comme moyen de faciliter la transmission de l’information (routeurs et dispositifs similaires, par exemple). L’important, c’est que les données soient échangées sur le réseau.

Article 1 (b) – Données informatiques

25. La définition des données informatiques repose sur la définition des données établie par l’ISO. Cette définition comporte les mots « qui se prête à un traitement ». Cela signifie que les données sont mises sous une forme qui permet leur traitement direct par le système informatique. Pour indiquer clairement qu’aux fins de la Convention, il faut entendre par « données » des données sous forme électronique, ou sous une autre forme qui permet de les traiter directement, on a introduit la notion de « données informatiques ». Des données informatiques traitées de façon automatisée peuvent être la cible de l’une des infractions pénales définies dans la Convention ou faire l’objet de l’une des mesures d’investigation définies par la Convention.

Article 1 (c) – Fournisseur de service

26. L’expression « fournisseur de service » englobe de nombreuses catégories de personnes jouant un rôle particulier dans la communication ou le traitement de données sur des systèmes informatiques (voir aussi les commentaires sur la section 2). Au point (i) de la définition, il est précisé que l’expression désigne notamment les entités publiques et privées qui offrent aux utilisateurs la possibilité de communiquer entre eux. Il est donc indifférent que les utilisateurs forment un groupe fermé ou que le fournisseur offre ou non ses services au public, gratuitement ou contre le paiement de droits. Le groupe fermé peut être constitué par les salariés d’une entreprise privée auxquels les services sont fournis par un réseau d’entreprise.

27. Au point (ii) de la définition, il est signalé que l’expression « fournisseur de services » s’applique aussi aux entités qui stockent des données, ou les traitent d’une autre façon, pour le compte des personnes mentionnées au point (i). En outre, l’expression englobe les entités qui stockent ou traitent des données pour les utilisateurs des services proposés par les personnes visées au point (i). Ainsi, en application de cette définition, les « fournisseurs de services » peuvent être des personnes qui proposent un service d’hébergement ou de mise en antémémoire (« cache »), ou une connexion à un réseau. Toutefois, la définition n’est pas destinée à s’appliquer à un simple fournisseur de contenu (à une personne qui passe un contrat avec un fournisseur d’hébergement pour qu’il héberge son site Web, par exemple), si celui-ci ne propose pas en outre des services de communication ou d’autres services de traitement des données.

Article 1 (d) – Données relatives au trafic

28. Aux fins de la Convention, les données relatives au trafic, telles qu’elles sont définies à l’article 1, alinéa d., constituent une catégorie de données informatiques soumises à un régime juridique particulier. Ces données sont produites par des ordinateurs appartenant à la chaîne de communication pour acheminer une communication de son origine à sa destination. Elles sont donc des auxiliaires de la communication elle-même.

29. Lors d’une enquête sur une infraction pénale concernant un système informatique, les données relatives au trafic sont nécessaires pour trouver la source de la communication ; c’est un point de départ permettant de réunir d’autres preuves ou un élément constitutif de la preuve de l’infraction. Les données relatives au trafic pouvant être éphémères, il importe de faire en sorte qu’elles soient préservées dans des délais très brefs. Par conséquent, il peut être nécessaire de les divulguer rapidement pour connaître l’itinéraire de la communication et réunir d’autres preuves avant qu’elles ne soient effacées ou pour identifier un suspect. La procédure ordinaire de collecte et de divulgation de données informatiques risque donc d’être insuffisante. Par ailleurs, on considère en principe que la collecte de données relatives au trafic est une intrusion moins importante, car elle ne révèle pas le contenu de la communication, jugé plus sensible.

30. La définition dresse la liste exhaustive des catégories de données relatives au trafic qui sont soumises à un régime particulier dans la Convention : origine de la communication, destination, itinéraire, heure (GMT), date, taille, durée et type du service sous-jacent. Ces catégories ne seront pas toujours toutes techniquement accessibles, susceptibles d’être produites par un fournisseur de service, ni nécessaires à l’enquête pénale. Par « origine », on entend un numéro de téléphone, une adresse IP ou un moyen similaire d’identifier un dispositif de communication auquel un prestataire de services fournit des. La «destination» désigne une indication comparable concernant un dispositif de communication vers lequel des communications sont transmises. L’expression « type du service sous-jacent » renvoie au type du service utilisé au sein du réseau : transfert de fichiers, courrier électronique ou messagerie instantanée.

31. La définition laisse aux législateurs nationaux la capacité d’introduire des différenciations dans la protection juridique des données relatives au trafic, en fonction de leur sensibilité. Dans ce contexte, l’article 15 impose aux Parties de prévoir les conditions et sauvegardes adéquates, eu égard à la protection des droits de l’homme et des libertés fondamentales. Cela implique, entre autres, que les critères de fond et la procédure concernant l’exercice des pouvoirs d’investigation puissent varier en fonction de la sensibilité des données.