Dans un avis adopté le 11 octobre 2002, le « Groupe de l’article 29 » s’est rallié en matière de conservation systématique et obligatoire des données de trafic des télécommunications à la position prise par les Commissaires européens à la protection des données lors de la conférence internationale de Cardiff. Cette déclaration estime que la conservation doit être prévue pour une période limitée et constituer une mesure nécessaire, appropriée et proportionnelle.
Le Groupe de l’article 29, organe consultatif européen indépendant sur la protection des données et de la vie privée fondé par la directive 95/46/CE, vient d’appeler à un régime strict de conservation des données de connexion. Dans son avis en date du 11 octobre 2002[europa.eu.int], le groupe de travail a souhaité souscrire totalement aux déclarations adoptées par les Commissaires à la protection des données personnelles lors de la conférence internationale qui s’est tenue à Cardiff au début du mois de septembre.
Lors de cette rencontre, les représentants de plus de 50 autorités de protection des données ont émis de nombreuses réserves quant à la légitimité et la légalité des propositions ayant pour conséquence la conservation systématique et obligatoire des données de trafic relatives à l’usage de tout moyen de télécommunication pour une durée d’un an ou plus afin d’en permettre l’accès aux autorités judiciaires.
A la lumière de l’article 15 de la directive 2002/58/CErelative à la vie privée, les commissaires considèrent en effet, « après un long et très explicite débat » que la conservation des données de connexion « doit être prévue pour une période limitée et constituer une mesure nécessaire, appropriée et proportionnelle dans une société démocratique ». La loi devra ainsi établir de manière claire et explicite la nécessité et la période de conservation des données afin de prévenir tout accès illégal. La déclaration estime, en outre, que « la conservation systématique de tout type de données de trafic pour une période d’un an ou plus serait clairement disproportionnée et par conséquent inacceptable« .
En France, la loi sur la sécurité quotidienne promulguée le 15 novembre 2001 a posé un principe d’effacement des données relatives à une communication tempéré par deux exceptions : la conservation pour les besoins de facturation et la conservation à des fins de poursuite des infractions pénales ; cette dernière ne pouvant dépasser un an. A la suite d’une concertation entre acteurs, le Forum des droits sur l’internet a recommandé « d’adopter une durée de conservation des données de communication différenciée en fonction des données : si les données relatives à la facturation doivent être conservées pendant une année par les opérateurs, la durée de conservation des données à des fins d’enquête peut être plus courte » . Les décrets d’application, non encore adoptés à ce jour, devraient fixer ces périodes de conservation.