PNIJ : ce que dit le décret « Big Brother » publié au Journal Officiel

PNIJ : ce que dit le décret « Big Brother » publié au Journal Officiel

MIQ 29

20

PNIJ : ce que dit le décret « Big Brother » publié au Journal Officiel

Ce week-end, le gouvernement a publié un important décret : celui mettant en place la PNIJ, la fameuse plateforme nationale des interceptions judiciaires. Le texte, qui organise la collecte de millions de données a subi l’examen de la CNIL qui, du coup, exige « un haut niveau de protection » de ces informations sensibles.

Sous l’acronyme PNIJ, se cache une plateforme de surveillance centralisant l’ensemble des réquisitions. Derrière ce terme, se trouvent les écoutes des communications électroniques interceptées, mais également les logs et informations communiquées par les intermédiaires (FAI, opérateurs et hébergeurs). Le décret a rapidement été vu comme un texte « big brother », alors que la volonté de ses rédacteurs est justement d'encadrer ces mesures de surveillance.

 

D'ailleurs, pourquoi une telle plateforme ? Comme le note la CNIL dans sa délibération, jusqu’à présent, les dispositifs « d'interception des communications électroniques et de réquisitions de données de connexion repos[ai]ent sur un système hétérogène et décentralisé qui fait appel à plusieurs prestataires privés », avec des inconvénients jugés « majeurs ». Et pour cause, « les fonctions et les outils de réquisition et d'interception sont variables et coûteux, et les mesures de sécurité et de traçabilité mises en œuvre ne sont pas satisfaisantes. »

 

Avec ce décret, ausculté par Mireille Imbert Quaretta au Conseil d'Etat, on change de dimension : les interceptions des correspondances et les réquisitions des données de connexion peuvent désormais se faire de façon dématérialisée, depuis un point unique, dans les locaux de Thalès. En 2012, le rapport sur la justice du député Christian Eckert vantait déjà cette source d’économies puisque « les opérateurs, qui n’auront plus besoin d’établir de mémoires de frais, adresseront mensuellement et de façon dématérialisée leur facture pour paiement. Les frais seront payés au plan central, et non plus par les juridictions

Des avantages et des bémols, aussi

La CNIL voit plusieurs avantages dans cette PNIJ : « il s'agit d'augmenter les capacités d'interception, de réduire les délais de réponse, de renforcer le niveau de sécurité, notamment l'intégrité et la confidentialité des données à caractère personnel, et de réduire les frais de justice ». Il s’agirait même de « l'une des mesures prioritaires de modernisation de l'action publique ».

 

Autre bon point, il y aura un cloisonnement total entre les réquisitions et les interceptions, puisque l’une et l’autre sont encadrées par des textes différents. Enfin, la PNIJ ne se focalisera que sur les mesures relavant du Code de procédure pénale. Les mesures d’instructions civiles (collecte de preuve via l’article 145 du Code de procédure civile) ou les interceptions liées à des enquêtes administratives ne seront donc pas concernées.

 

Il y a cependant quelques bémols : la PNIJ concentrera en son sein toute la « gestion des procédures, des demandes, des réponses (retranscription, désinfection de codes malveillants, traduction, mise au clair), des procès-verbaux et des scellés » ainsi que les volets financiers et statistiques. Cependant, la CNIL regrette que ni les autorisations des magistrats, ni les traitements réalisés par les opérateurs, ni le reste de la procédure d'enquête ne soient intégrés dans ces méga fichiers. De fait, le magistrat ayant ordonné ces mesures sera simplement informé au fil de l’eau des réquisitions faites en son nom.

Un décret court aux effets lourds

Le décret est court, 5 articles. Dans le premier, sont décrites globalement les informations aspirées par cette plateforme. On y trouve le contenu des communications électroniques interceptées et les données et informations communiquées par les intermédiaires. À ce titre, et c’est ce qui pour la CNIL, exige « un haut niveau de sécurité », il est prévu qu’au cours de ces opérations, cet aspirateur à vie privée pourra évidemment attraper dans son sac les opinions politiques, philosophiques ou religieuses des personnes ainsi que leur appartenance syndicale, leur état de santé ou leur vie sexuelle, outre des informations sur leurs « origines raciales ou ethniques. »

 

Précisons déjà que ces pouvoirs ne concernent que les opérateurs basés en France, puisque dans le cas contraire, il faudra passer par une commission rogatoire internationale. Classiquement, « les correspondances avec un avocat relevant de l'exercice des droits de la défense ainsi que celles avec un journaliste permettant d'identifier sa source ne peuvent être retranscrites » signale encore la CNIL.

 

Les réquisitions seront établies par les magistrats, les officiers de police judiciaire, les agents des douanes et les services fiscaux habilités à effectuer des enquêtes judiciaires. La plateforme recevra ensuite les réponses des intermédiaires pour enfin les mettre à dispositions de ces personnes. Mais que pourront enregistrer les grandes oreilles de la PNIJ ?

 

 

décret PNIJ JORF

Les détails des informations collectées lors des interceptions

Dans son article 2, le décret distingue trois catégories d’informations collectées selon que la communication électronique fasse l'objet d'une interception judiciaire, d'une mesure de géolocalisation en temps réel ou d’une réquisition judiciaire.

 

Dans le premier cas, il s’agira de l’identité complète (état civil) de la personne émettrice ou destinataire de la communication ou la dénomination de personne morale, toutes les informations permettant d'identifier son domicile, son lieu ou son établissement, les logs de connexion, les outils de communications utilisés, les données de géolocalisation, les numéros de téléphone, l’adresse mail, les données relatives au trafic des communications de la liaison interceptée. S’y ajouteront le contenu des communications et les « informations liées », et enfin les données de facturation et de paiement. Ces contenus sont très vastes. Comme le détaille la CNIL, ils recouvrent « la voix, la vidéoconférence, la data mobile (Short Message Service [SMS], et Multimédia Messaging Service [MMS]) ainsi que la data fixe pour l'internet filaire ».

 

Pour les communications électroniques faisant l'objet d'une mesure de géolocalisation en temps réel, il y a aura les « données de signalisation du réseau générées par l'usage du terminal de communication, transmises en temps réel » et leur mise à jour « sur sollicitation du réseau, à la demande, transmise en temps réel. »

Des informations sensibles conservées plus longtemps

Ces informations sont conservées sous scellés jusqu'à expiration du délai de prescription de l'action publique, ce qui selon les cas peut correspondre à quelques années. C’est désormais plus long que le régime antérieur (30 jours), mais nettement plus tracé. Selon les explications apportées par le ministère de la Justice à la CNIL, « la conservation des enregistrements des communications interceptées jusqu'à la clôture de l'enquête, c'est-à-dire même postérieurement à la transcription, est justifiée par le fait que les enregistrements peuvent se révéler ultérieurement utiles. En effet, postérieurement à la transcription d'une communication enregistrée, le déroulement progressif de l'enquête peut amener l'enquêteur à devoir accéder à l'enregistrement, à la lumière de nouveaux éléments dont il dispose, par exemple pour identifier un nouveau correspondant ou opérer de nouveaux rapprochements ».

Les détails des informations collectées lors des réquisitions

Enfin, pour les réquisitions, on retrouvera à peu près toutes les informations relatives aux interceptions, sauf le contenu de la communication. Là, la durée de conservation s’étend aussi longtemps que dure l’enquête. Ces mesures ne pourront s’étendre aux mots de passe et informations associées qui « ne sont pas des données de connexion » alerte la CNIL.

 

Seront également enregistrés au fil de ces opérations, « les informations relatives aux faits, lieux, dates et qualification pénale des infractions objets de l'enquête » ainsi que « les informations relatives à la reconnaissance vocale du locuteur ». Sur ce point, la CNIL indique que la PNIJ ne permettra d'identifier des personnes « qu'au sein d'une même affaire et qu'aucun rapprochement avec d'autres affaires ne peut être effectué. »

 

Sécurité Cassé Cadenas
Crédits : Павел Игнатов/iStock/Thinkstock

Déchiffrement, traçabilité

Lorsque les données mises à disposition des magistrats seront chiffrées, ceux-ci pourront faire appel au centre technique d’assistance (CTA), un organisme d’état soumis au secret défense et géré par la direction centrale du renseignement intérieur (DCRI, devenu depuis DGSI).

 

Ces opérations font l’objet de mesure de traçabilité et de contrôle. Ainsi l’identification de l’utilisateur de ces fichiers est soumise à enregistrement horodaté pendant 5 ans. De même, la PNIJ est placée sous contrôle d'une personnalité qualifiée, désignée pour cinq ans non renouvelable par le garde des Sceaux. Il peut alors ordonner toutes les mesures de contrôle qu’il souhaite. Celui-ci est assisté par un comité composé de cinq membres, l’un et l’autre disposant d'un accès permanent à la PNIJ. On trouve dans ce comité un sénateur et un député, un magistrat du siège honoraire de la Cour de cassation, deux personnalités qualifiées désignées par le ministère de la Justice sur proposition du ministère de l’Intérieur et celui chargé des communications électroniques.

 

Il y a un contrôle extérieur, également. Quiconque fait l’objet d’un traitement de données dans la PNIJ dispose en effet d’un droit d’accès indirect (mais non d’information ou d’opposition). Ce droit est indirect, car il lui faut passer par la CNIL pour l’exercer. C’est elle qui mène aux investigations utiles et fait procéder aux éventuelles modifications.

Un presque sans-faute délivré par la CNIL

La CNIL a apporté un presque sans-faute à ce texte, soulignant par exemple que « les mesures prévues dans le système permettent, par rapport aux dispositifs actuellement utilisés, une amélioration très significative de la maîtrise par les magistrats de l'efficacité et de la sécurité des interceptions judiciaires et des données qu'elles contiennent, tout en apportant des garanties plus importantes vis-à-vis des citoyens et des enquêteurs ».

Un décret publié dans un contexte de crise

Le basculement vers la PNIJ des systèmes d’écoute en France a fait l’objet d’un psychodrame avec les quatre sociétés privées actuellement en charge de traiter ces opérations, évidemment impactées par la PNIJ (Elektron, Foretec, Midi System et SGME). Elles « menacent de ne plus traiter de nouvelles demandes à partir du 15 novembre si le ministère de la Justice ne leur garantit pas un contrat de 30 mois » soulignait voilà peu l’Express. Hasard lié à des contraintes techniques ou non, le décret PNIJ prévoit que l'actuel texte sur les interceptions judiciaires (décret STIJ) sera abrogé 6 mois après la mise en œuvre de la plateforme et au plus tard le 31 décembre 2015.

Commentaires (20)


Je me demande où on va stocker tout ça, et qui traitera les infos qui n’entrent pas dans ce (très large) cadre juridique.



Ah, on me dit que la Libye n’est plus dispo <img data-src=" />




cet aspirateur à vie privée pourra attraper dans son sac les opinions

politiques, philosophiques ou religieuses des personnes ainsi que leur

appartenance syndicale, leur état de santé ou leur vie sexuelle, outre

des informations sur leurs «&nbsp;origines raciales ou ethniques. »



Et après, on trouve le moyen de me dire “tu n’as rien à craindre si tu n’as rien à cacher” <img data-src=" />. Mais là, c’est une manière détournée de ficher absolument tout le monde.


J’ai un doute concernant un passage de l’article :

&nbsp;



À ce titre, et c’est ce qui pour la CNIL, exige «&nbsp;un haut niveau de sécurité&nbsp;»,

il est prévu qu’au cours de ces opérations, cet aspirateur à vie privée

pourra évidemment attraper dans son sac les opinions politiques,

philosophiques ou religieuses des personnes ainsi que leur appartenance

syndicale, leur état de santé ou leur vie sexuelle, outre des

informations sur leurs «&nbsp;origines raciales ou ethniques. »



Pourtant si on se réfère au décret, il est dit :

&nbsp;



« Art. R. 40-44. - Le traitement peut enregistrer des données à caractère personnel de la nature de celles mentionnées au I de l’article 8 de la loi n° 78-17 du 6 janvier 1978 dans la

seule mesure où elles sont évoquées au cours des communications

électroniques ou apparaissent dans les informations communiquées visées à

l’article précédent.



L’article en question stipulant bien dès la première ligne&nbsp; :

&nbsp;



I.-Il est interdit de collecter ou de traiter des données à caractère

personnel qui font apparaître, directement ou indirectement, les

origines raciales ou ethniques, les opinions politiques, philosophiques

ou religieuses ou l’appartenance syndicale des personnes, ou qui sont

relatives à la santé ou à la vie sexuelle de celles-ci.



&nbsp;

Alors j’ai peut être mal compris le terme “évoqué” qui pour eux veut peut être dire “si le mot est cité dans l’article 8, alors j’ai le droit de collecter l’info, mais pour moi il veut plutôt dire “il n’est possible de collecter que ce qui est autorisé dans la loi évoqué article 8.



Non ?








feuille_de_lune a écrit :



&nbsp; “tu n’as rien à craindre si tu n’as rien à cacher”





Joseph Staline.

Attendons un peu qu’un véritable dictateur arrive au pouvoir il pourra se faire plaisir. Punaise comment les associations religieuses et syndicales ont pu laisser passer ça. En fait j’ai l’impression que le feu vert est venu du peu de réaction aux révélations de Snowden… On les mérites le collier et la laisse…



Faut dire que la situation actuelle (terroristes, toussa), ça se prête bien au vote de lois de ce genre “pour notre sécurité”








flamwolf a écrit :



Joseph Staline.



Attendons un peu qu'un véritable dictateur arrive au pouvoir il pourra se faire plaisir. Punaise comment les associations religieuses et syndicales ont pu laisser passer ça. En fait j'ai l'impression que le feu vert est venu du peu de réaction aux révélations de Snowden... On les mérites le collier et la laisse...








Je commence à croire que Snowden n'a rien d'un héro, mais qu'il est juste le visage d'une stratégie de propagation du "tout sécuritaire".     



&nbsp;





Cwoissant a écrit :



&nbsp;



Alors j'ai peut être mal compris le terme "évoqué" qui pour eux veut peut être dire "si le mot est cité dans l’article 8, alors j'ai le droit de collecter l'info, mais pour moi il veut plutôt dire "il n'est possible de collecter que ce qui est autorisé dans la loi évoqué article 8.      






Non ?







Tu penses sérieusement qu’ils vont intégrer un filtre “Si message CONTIENT (opinions politique ou philo ou sexe ou religion ou sante ou syndicat) Alors efface message” ?



Faut se réveiller, l’informatique est un bel outil tant qu’il sert un être humain, pas quand il est utilisé dans un objectif sécuritaire, de justice ou de supervision. Malgré que c’est une technologie récente, elle ne manque pas de part d’ombre dans l’histoire. Il ne faut pas oublier le lien trop efficace IBM - 3e Reich. Bienheureux celui qui peux prétendre que ce n’est que du passé.









linkin623 a écrit :



Je me demande où on va stocker tout ça, et qui traitera les infos qui n’entrent pas dans ce (très large) cadre juridique.



Ah, on me dit que la Libye n’est plus dispo <img data-src=" />





Mon Dieu, tu ne sous entendrais quand même pas que les sociétés françaises ayant vendue de la technologie pour contrôler le web en Lybie du temps de Kadafi en auraient profiter pour surdimensionner les datas centers lybiens pour que nos interceptions illégales soient traitées chez eux&nbsp;<img data-src=" />



Deux points que je ne trouve pas précisés dans l’article (enfin je vais revérifier quand même de peur de me faire taper sur les doigts) :





  1. Tous les abonnés aux FAI français sont-ils visés par la collecte ? Si oui, j’espère qu’ils ont une bonne base de données, si non, sous quels conditions/motifs et par qui doit être fait la demande. Combien de temps celle ci peut/doit elle durer ?



  2. Il est dit que la rétentions d’info dépends du type d’info. Je n’ai pas trouvé plus d’info dans le décret, peut on avoir des exemples ? (Par exemple, durée max = xx années pour visite d’un site faisant l’apologie du terrorisme (comme c’est la mode); durée min = x mois pour visite sur nextinpact).



    &nbsp;






    Delqvs a écrit :

    &nbsp;

    Tu penses sérieusement qu’ils vont intégrer un filtre “Si message CONTIENT (opinions politique ou philo ou sexe ou religion ou sante ou syndicat) Alors efface message” ?
    Faut se réveiller, l’informatique est un bel outil tant qu’il sert un être humain, pas quand il est utilisé dans un objectif sécuritaire, de justice ou de supervision. Malgré que c’est une technologie récente, elle ne manque pas de part d’ombre dans l’histoire. Il ne faut pas oublier le lien trop efficace IBM - 3e Reich. Bienheureux celui qui peux prétendre que ce n’est que du passé.







    &nbsp;Je ne parlais pas de ce qui serait fait réellement (ça ce n’est ni toi ni moi qui pouvons le dire, même si on en a bonne idée), mais de ce qui était officiellement déclaré et donc retranscrit dans l’article.

    De plus comme précisé dans mon point 2), il me semble qu’il y a déjà une distinction au niveau de l’info collectée car la durée de conservation n’est pas la même (à moins que l’on parle de type de transmission seulement, ex : tel voix, data fixe…)


J’apprécie le fait de vouloir enfin mettre de l’ordre dans les méthodes d’interception, et de les sécuriser un&nbsp; peu. Je me souviens encore d’un temps (pas éloigné) où j’avais demandé à une amie gendarme de faire une recherche sur un particulier à qui je souhaitait acheter une voiture mais qui me semblait louche. J’avais obtenu ce que je voulais, et elle l’avait obtenu sans laisser de trace et sans éveiller le moindre soupçon.

Ceci pour dire que rien n’est très surveillé à l’heure actuelle.



Par conséquent, mettre un peu d’ordre dans tout le système de collecte et le centraliser, avec autant de procédures, ça me semble une excellente idée. En revanche je suis toujours choqué de voir que l’on continue à externaliser ces outils hyper critiques dans des sociétés privées (Thalès). Ce genre de services devrait être nationalisé.



&nbsp;







Delqvs a écrit :



&nbsp; Malgré que c’est une technologie récente, […]





Juste pour jouer le tatillon, on dit “Malgré le fait que”, “malgré que” étant incorrect <img data-src=" />



Les avis précédents montrent bien le danger que peu entrainer ce décret et qu’il est né du contexte actuel.

&nbsp;Il est bien en théorie. Le jour où il y aura un dérapage, les innocents concernés auront encore une fois bien du mal à faire valoir leurs droits. Car à ce sujet, le contexte s’y prête bien également.

&nbsp;Notre démocratie a bien du mal à fonctionner !








Nozalys a écrit :



. En revanche je suis toujours choqué de voir que l’on continue à externaliser ces outils hyper critiques dans des sociétés privées (Thalès). Ce genre de services devrait être nationalisé.



&nbsp;



Juste pour jouer le tatillon, on dit “Malgré le fait que”, “malgré que” étant incorrect <img data-src=" />





Détail : Thales, la société c’est sans l’accent…

T’inquiète pas, cette société est autant privée que Edf, tant par le capital que par les employés.









Nozalys a écrit :



Juste pour jouer le tatillon, on dit “Malgré le fait que”, “malgré que” étant incorrect <img data-src=" />





Selon le dictionnaire Académie 9eme édition :

“Même si de nombreux écrivains ont employé Malgré que dans le sens de Bien que, quoique, il est recommandé d’éviter cet emploi.”

&nbsp;

Dommage, j’appréciais cette tournure. <img data-src=" />









Delqvs a écrit :



Selon le dictionnaire Académie 9eme édition :

“Même si de nombreux écrivains ont employé Malgré que dans le sens de Bien que, quoique, il est recommandé d’éviter cet emploi.”

&nbsp;

Dommage, j’appréciais cette tournure. <img data-src=" />





C’ est pourquoi, pour éviter tout malentendu, il est préférable d’ utiliser le mot “nonobstant” (qui fait beaucoup plus classieux dans une phrase) ^^









Delqvs a écrit :



Selon le dictionnaire Académie 9eme édition :

“Même si de nombreux écrivains ont employé Malgré que dans le sens de Bien que, quoique, il est recommandé d’éviter cet emploi.”

&nbsp;

Dommage, j’appréciais cette tournure. <img data-src=" />





malgré qu’elle fût impropre <img data-src=" />









tic tac a écrit :



C’ est pourquoi, pour éviter tout malentendu, il est préférable d’ utiliser le mot “nonobstant” ^^





je l’ai toujours trouvé snob ce terme (vraisemblablement par pure association d’idées)









Cwoissant a écrit :





  1. Tous les abonnés aux FAI français sont-ils visés par la collecte ?





    Dans le cadre d’unehttps://fr.wikipedia.org/wiki/R%C3%A9quisition_judiciaire

    Donc à la demande.







    Cwoissant a écrit :



  2. Il est dit que la rétentions d’info dépends du type d’info.





    Là je ne suis pas sûr, je dirais que les différences de rétention des données tiennent à la nature (qualification) du méfait : crime, délit…









Delqvs a écrit :



Dommage, j’appréciais cette tournure. <img data-src=" />





Tu dis “bien que”, ça passe tout seul.









Quiproquo a écrit :



Tu dis “bien que”, ça passe tout seul.





“Malgré que” me renvoit une connotation de “ce qui n’est pas fait ou faisable pour qu’une utopie ou dystopie se concrétise”.&nbsp; Avec “Bien que”, cela sonne trop positif… Et je ne suis pas de nature optimiste.&nbsp; <img data-src=" />









lateo a écrit :



Dans le cadre d’unehttps://fr.wikipedia.org/wiki/R%C3%A9quisition_judiciaire

Donc à la demande.





Là je ne suis pas sûr, je dirais que les différences de rétention des données tiennent à la nature (qualification) du méfait : crime, délit…





Merci pour ta réponse :-)&nbsp;

Si ce n’est pas de la surveillance de masse mais juste au cas par cas je ne vois pas la grande nouveauté si ce n’est la centralisation et une meilleure gestion des infos collectées.&nbsp;









Delqvs a écrit :



“Malgré que” me renvoit une connotation de “ce qui n’est pas fait ou faisable pour qu’une utopie ou dystopie se concrétise”.&nbsp; Avec “Bien que”, cela sonne trop positif… Et je ne suis pas de nature optimiste.&nbsp; <img data-src=" />







« Malgré que » est une faute de langage assez grossière archi connue, désolé <img data-src=" />, on nous l’apprend dès l’école primaire je pense.

Le mot « bien » n’a pas le même sens ici, on le trouve aussi en anglais dans « as well », ou « well » a un sens d’équivalence et non pas de positivité.

Mais je comprends que tu disais cela avec humour. Bref, éviter « malgré que » qui passe très… mal. <img data-src=" />

&nbsp;









Cwoissant a écrit :



J’ai un doute concernant un passage de l’article :&nbsp;&nbsp;



Et d’une la loi n’a pas besoin de mentionner la loi de 78 pour que celle-ci s’applique, sauf mention contraire. Le renvoi à cette loi est ici fait pour ajouter une restriction supplémentaire (la PNIJ ne peut stocker les données persos que si elles ont été acquises via les communications enregistrées).



Et de deux regarde la suite de la loi de 78 :&nbsp; 8.IV.-De même, ne sont pas soumis à l’interdiction prévue au I les traitements, automatisés ou non, justifiés par l’intérêt public et autorisés dans les conditions prévues au I de l’article 25 ou au II de l’article 26.

L’article 26 inclut bien évidemment la sécurité et l’état peut donc conserver ces données même lorsqu’elles ont un caractère racial, politique, etc. D’ailleurs cela fait des décennies que l’état fiche les opinions politiques et les croyances de certains.



Enfin je rappelle que les perquisitions et la surveillance de masse “préventive” comme celle du renseignement sont deux choses différentes. La seconde fait l’objet de bien peu de restrictions.



Fermer