Ce week-end, le gouvernement a publié un important décret : celui mettant en place la PNIJ, la fameuse plateforme nationale des interceptions judiciaires. Le texte, qui organise la collecte de millions de données a subi l’examen de la CNIL qui, du coup, exige « un haut niveau de protection » de ces informations sensibles.
Sous l’acronyme PNIJ, se cache une plateforme de surveillance centralisant l’ensemble des réquisitions. Derrière ce terme, se trouvent les écoutes des communications électroniques interceptées, mais également les logs et informations communiquées par les intermédiaires (FAI, opérateurs et hébergeurs). Le décret a rapidement été vu comme un texte « big brother », alors que la volonté de ses rédacteurs est justement d'encadrer ces mesures de surveillance.
D'ailleurs, pourquoi une telle plateforme ? Comme le note la CNIL dans sa délibération, jusqu’à présent, les dispositifs « d'interception des communications électroniques et de réquisitions de données de connexion repos[ai]ent sur un système hétérogène et décentralisé qui fait appel à plusieurs prestataires privés », avec des inconvénients jugés « majeurs ». Et pour cause, « les fonctions et les outils de réquisition et d'interception sont variables et coûteux, et les mesures de sécurité et de traçabilité mises en œuvre ne sont pas satisfaisantes. »
Avec ce décret, ausculté par Mireille Imbert Quaretta au Conseil d'Etat, on change de dimension : les interceptions des correspondances et les réquisitions des données de connexion peuvent désormais se faire de façon dématérialisée, depuis un point unique, dans les locaux de Thalès. En 2012, le rapport sur la justice du député Christian Eckert vantait déjà cette source d’économies puisque « les opérateurs, qui n’auront plus besoin d’établir de mémoires de frais, adresseront mensuellement et de façon dématérialisée leur facture pour paiement. Les frais seront payés au plan central, et non plus par les juridictions.»
Des avantages et des bémols, aussi
La CNIL voit plusieurs avantages dans cette PNIJ : « il s'agit d'augmenter les capacités d'interception, de réduire les délais de réponse, de renforcer le niveau de sécurité, notamment l'intégrité et la confidentialité des données à caractère personnel, et de réduire les frais de justice ». Il s’agirait même de « l'une des mesures prioritaires de modernisation de l'action publique ».
Autre bon point, il y aura un cloisonnement total entre les réquisitions et les interceptions, puisque l’une et l’autre sont encadrées par des textes différents. Enfin, la PNIJ ne se focalisera que sur les mesures relavant du Code de procédure pénale. Les mesures d’instructions civiles (collecte de preuve via l’article 145 du Code de procédure civile) ou les interceptions liées à des enquêtes administratives ne seront donc pas concernées.
Il y a cependant quelques bémols : la PNIJ concentrera en son sein toute la « gestion des procédures, des demandes, des réponses (retranscription, désinfection de codes malveillants, traduction, mise au clair), des procès-verbaux et des scellés » ainsi que les volets financiers et statistiques. Cependant, la CNIL regrette que ni les autorisations des magistrats, ni les traitements réalisés par les opérateurs, ni le reste de la procédure d'enquête ne soient intégrés dans ces méga fichiers. De fait, le magistrat ayant ordonné ces mesures sera simplement informé au fil de l’eau des réquisitions faites en son nom.
Un décret court aux effets lourds
Le décret est court, 5 articles. Dans le premier, sont décrites globalement les informations aspirées par cette plateforme. On y trouve le contenu des communications électroniques interceptées et les données et informations communiquées par les intermédiaires. À ce titre, et c’est ce qui pour la CNIL, exige « un haut niveau de sécurité », il est prévu qu’au cours de ces opérations, cet aspirateur à vie privée pourra évidemment attraper dans son sac les opinions politiques, philosophiques ou religieuses des personnes ainsi que leur appartenance syndicale, leur état de santé ou leur vie sexuelle, outre des informations sur leurs « origines raciales ou ethniques. »
Précisons déjà que ces pouvoirs ne concernent que les opérateurs basés en France, puisque dans le cas contraire, il faudra passer par une commission rogatoire internationale. Classiquement, « les correspondances avec un avocat relevant de l'exercice des droits de la défense ainsi que celles avec un journaliste permettant d'identifier sa source ne peuvent être retranscrites » signale encore la CNIL.
Les réquisitions seront établies par les magistrats, les officiers de police judiciaire, les agents des douanes et les services fiscaux habilités à effectuer des enquêtes judiciaires. La plateforme recevra ensuite les réponses des intermédiaires pour enfin les mettre à dispositions de ces personnes. Mais que pourront enregistrer les grandes oreilles de la PNIJ ?
Les détails des informations collectées lors des interceptions
Dans son article 2, le décret distingue trois catégories d’informations collectées selon que la communication électronique fasse l'objet d'une interception judiciaire, d'une mesure de géolocalisation en temps réel ou d’une réquisition judiciaire.
Dans le premier cas, il s’agira de l’identité complète (état civil) de la personne émettrice ou destinataire de la communication ou la dénomination de personne morale, toutes les informations permettant d'identifier son domicile, son lieu ou son établissement, les logs de connexion, les outils de communications utilisés, les données de géolocalisation, les numéros de téléphone, l’adresse mail, les données relatives au trafic des communications de la liaison interceptée. S’y ajouteront le contenu des communications et les « informations liées », et enfin les données de facturation et de paiement. Ces contenus sont très vastes. Comme le détaille la CNIL, ils recouvrent « la voix, la vidéoconférence, la data mobile (Short Message Service [SMS], et Multimédia Messaging Service [MMS]) ainsi que la data fixe pour l'internet filaire ».
Pour les communications électroniques faisant l'objet d'une mesure de géolocalisation en temps réel, il y a aura les « données de signalisation du réseau générées par l'usage du terminal de communication, transmises en temps réel » et leur mise à jour « sur sollicitation du réseau, à la demande, transmise en temps réel. »
Des informations sensibles conservées plus longtemps
Ces informations sont conservées sous scellés jusqu'à expiration du délai de prescription de l'action publique, ce qui selon les cas peut correspondre à quelques années. C’est désormais plus long que le régime antérieur (30 jours), mais nettement plus tracé. Selon les explications apportées par le ministère de la Justice à la CNIL, « la conservation des enregistrements des communications interceptées jusqu'à la clôture de l'enquête, c'est-à-dire même postérieurement à la transcription, est justifiée par le fait que les enregistrements peuvent se révéler ultérieurement utiles. En effet, postérieurement à la transcription d'une communication enregistrée, le déroulement progressif de l'enquête peut amener l'enquêteur à devoir accéder à l'enregistrement, à la lumière de nouveaux éléments dont il dispose, par exemple pour identifier un nouveau correspondant ou opérer de nouveaux rapprochements ».
Les détails des informations collectées lors des réquisitions
Enfin, pour les réquisitions, on retrouvera à peu près toutes les informations relatives aux interceptions, sauf le contenu de la communication. Là, la durée de conservation s’étend aussi longtemps que dure l’enquête. Ces mesures ne pourront s’étendre aux mots de passe et informations associées qui « ne sont pas des données de connexion » alerte la CNIL.
Seront également enregistrés au fil de ces opérations, « les informations relatives aux faits, lieux, dates et qualification pénale des infractions objets de l'enquête » ainsi que « les informations relatives à la reconnaissance vocale du locuteur ». Sur ce point, la CNIL indique que la PNIJ ne permettra d'identifier des personnes « qu'au sein d'une même affaire et qu'aucun rapprochement avec d'autres affaires ne peut être effectué. »
Déchiffrement, traçabilité
Lorsque les données mises à disposition des magistrats seront chiffrées, ceux-ci pourront faire appel au centre technique d’assistance (CTA), un organisme d’état soumis au secret défense et géré par la direction centrale du renseignement intérieur (DCRI, devenu depuis DGSI).
Ces opérations font l’objet de mesure de traçabilité et de contrôle. Ainsi l’identification de l’utilisateur de ces fichiers est soumise à enregistrement horodaté pendant 5 ans. De même, la PNIJ est placée sous contrôle d'une personnalité qualifiée, désignée pour cinq ans non renouvelable par le garde des Sceaux. Il peut alors ordonner toutes les mesures de contrôle qu’il souhaite. Celui-ci est assisté par un comité composé de cinq membres, l’un et l’autre disposant d'un accès permanent à la PNIJ. On trouve dans ce comité un sénateur et un député, un magistrat du siège honoraire de la Cour de cassation, deux personnalités qualifiées désignées par le ministère de la Justice sur proposition du ministère de l’Intérieur et celui chargé des communications électroniques.
Il y a un contrôle extérieur, également. Quiconque fait l’objet d’un traitement de données dans la PNIJ dispose en effet d’un droit d’accès indirect (mais non d’information ou d’opposition). Ce droit est indirect, car il lui faut passer par la CNIL pour l’exercer. C’est elle qui mène aux investigations utiles et fait procéder aux éventuelles modifications.
Un presque sans-faute délivré par la CNIL
La CNIL a apporté un presque sans-faute à ce texte, soulignant par exemple que « les mesures prévues dans le système permettent, par rapport aux dispositifs actuellement utilisés, une amélioration très significative de la maîtrise par les magistrats de l'efficacité et de la sécurité des interceptions judiciaires et des données qu'elles contiennent, tout en apportant des garanties plus importantes vis-à-vis des citoyens et des enquêteurs ».
Un décret publié dans un contexte de crise
Le basculement vers la PNIJ des systèmes d’écoute en France a fait l’objet d’un psychodrame avec les quatre sociétés privées actuellement en charge de traiter ces opérations, évidemment impactées par la PNIJ (Elektron, Foretec, Midi System et SGME). Elles « menacent de ne plus traiter de nouvelles demandes à partir du 15 novembre si le ministère de la Justice ne leur garantit pas un contrat de 30 mois » soulignait voilà peu l’Express. Hasard lié à des contraintes techniques ou non, le décret PNIJ prévoit que l'actuel texte sur les interceptions judiciaires (décret STIJ) sera abrogé 6 mois après la mise en œuvre de la plateforme et au plus tard le 31 décembre 2015.
Commentaires (20)
#1
Je me demande où on va stocker tout ça, et qui traitera les infos qui n’entrent pas dans ce (très large) cadre juridique.
Ah, on me dit que la Libye n’est plus dispo " />
#2
cet aspirateur à vie privée pourra attraper dans son sac les opinions
politiques, philosophiques ou religieuses des personnes ainsi que leur
appartenance syndicale, leur état de santé ou leur vie sexuelle, outre
des informations sur leurs « origines raciales ou ethniques. »
Et après, on trouve le moyen de me dire “tu n’as rien à craindre si tu n’as rien à cacher” " />. Mais là, c’est une manière détournée de ficher absolument tout le monde.
#3
J’ai un doute concernant un passage de l’article :
À ce titre, et c’est ce qui pour la CNIL, exige « un haut niveau de sécurité »,
il est prévu qu’au cours de ces opérations, cet aspirateur à vie privée
pourra évidemment attraper dans son sac les opinions politiques,
philosophiques ou religieuses des personnes ainsi que leur appartenance
syndicale, leur état de santé ou leur vie sexuelle, outre des
informations sur leurs « origines raciales ou ethniques. »
Pourtant si on se réfère au décret, il est dit :
« Art. R. 40-44. - Le traitement peut enregistrer des données à caractère personnel de la nature de celles mentionnées au I de l’article 8 de la loi n° 78-17 du 6 janvier 1978 dans la
seule mesure où elles sont évoquées au cours des communications
électroniques ou apparaissent dans les informations communiquées visées à
l’article précédent.
L’article en question stipulant bien dès la première ligne :
I.-Il est interdit de collecter ou de traiter des données à caractère
personnel qui font apparaître, directement ou indirectement, les
origines raciales ou ethniques, les opinions politiques, philosophiques
ou religieuses ou l’appartenance syndicale des personnes, ou qui sont
relatives à la santé ou à la vie sexuelle de celles-ci.
Alors j’ai peut être mal compris le terme “évoqué” qui pour eux veut peut être dire “si le mot est cité dans l’article 8, alors j’ai le droit de collecter l’info, mais pour moi il veut plutôt dire “il n’est possible de collecter que ce qui est autorisé dans la loi évoqué article 8.
Non ?
#4
#5
Faut dire que la situation actuelle (terroristes, toussa), ça se prête bien au vote de lois de ce genre “pour notre sécurité”
#6
#7
#8
Deux points que je ne trouve pas précisés dans l’article (enfin je vais revérifier quand même de peur de me faire taper sur les doigts) :
Je ne parlais pas de ce qui serait fait réellement (ça ce n’est ni toi ni moi qui pouvons le dire, même si on en a bonne idée), mais de ce qui était officiellement déclaré et donc retranscrit dans l’article.
De plus comme précisé dans mon point 2), il me semble qu’il y a déjà une distinction au niveau de l’info collectée car la durée de conservation n’est pas la même (à moins que l’on parle de type de transmission seulement, ex : tel voix, data fixe…)
#9
J’apprécie le fait de vouloir enfin mettre de l’ordre dans les méthodes d’interception, et de les sécuriser un peu. Je me souviens encore d’un temps (pas éloigné) où j’avais demandé à une amie gendarme de faire une recherche sur un particulier à qui je souhaitait acheter une voiture mais qui me semblait louche. J’avais obtenu ce que je voulais, et elle l’avait obtenu sans laisser de trace et sans éveiller le moindre soupçon.
Ceci pour dire que rien n’est très surveillé à l’heure actuelle.
Par conséquent, mettre un peu d’ordre dans tout le système de collecte et le centraliser, avec autant de procédures, ça me semble une excellente idée. En revanche je suis toujours choqué de voir que l’on continue à externaliser ces outils hyper critiques dans des sociétés privées (Thalès). Ce genre de services devrait être nationalisé.
#10
Les avis précédents montrent bien le danger que peu entrainer ce décret et qu’il est né du contexte actuel.
Il est bien en théorie. Le jour où il y aura un dérapage, les innocents concernés auront encore une fois bien du mal à faire valoir leurs droits. Car à ce sujet, le contexte s’y prête bien également.
Notre démocratie a bien du mal à fonctionner !
#11
#12
#13
#14
#15
#16
#17
#18
#19
#20