Avocats des nouvelles technologies
de l'information et de la communication
Vous êtes ici : Accueil » Actualités » RENFORCEMENT DU DISPOSITIF D’INTERCEPTIONS ELECTRONIQUES AVANT MÊME LES ATTENTATS DU 7 JANVIER 2015

Actualités

RENFORCEMENT DU DISPOSITIF D’INTERCEPTIONS ELECTRONIQUES AVANT MÊME LES ATTENTATS DU 7 JANVIER 2015


RSS

18012015

RENFORCEMENT DU DISPOSITIF D’INTERCEPTIONS ELECTRONIQUES AVANT MÊME LES ATTENTATS DU 7 JANVIER 2015

Par Sylvain Pontier


PUBLICATION DU DECRET DU 24 DECEMBRE 2014 RELATIF A L’ACCES ADMINISTRATIF AUX DONNEES DE CONNEXION OU L’INTERCEPTION SANS CONTROLE DE VOS DONNEES DE CONNEXION

L’accroissement de la menace terroriste, ou plus précisément des menaces terroristes et l’utilisation par ces auteurs des technologies d’information et de la communication a conduit depuis plusieurs années le pouvoir à renforcer, de manière considérable, l’arsenal répressif. On se souvient de la loi sur la rétention de sûreté, des LOPPSI 1 et 2. Depuis 2012 un code de la sécurité intérieure a été codifié (par l’ordonnance du 12 mars 2012), comprenant aujourd’hui la partie règlementaire résultant des décrets du 4 décembre 2013 en vigueur depuis le 1er janvier 2014.

 

Comme l’indique Roseline LETERRON, professeur de droit public à l’université de Paris Sorbonne dans son article sur le site www.contrepoints.org « nul n’ignore que les textes règlementaires les plus sensibles sont publiés au journal Officiel le week-end du 15 août ou le jour de Noël, au moment où les citoyens ont d’autres préoccupations, vacances ou réveillon ».

 

C’est effectivement le 24 décembre qui a été choisi par les services du Premier Ministre pour publier le décret n° 2014-1576 du 24 décembre 2014 relatif à l’accès administratif aux données de connexion. Ces nouvelles mesures seront peut-être rendues obsolètes au regard des nouvelles dispositions annoncée, il s’agit pourtant d’ores et déjà d’une évolution majeure.

 

Il s’agit du décret d’application de l’article 20 de la loi de programmation militaire (LPM) du 18 décembre 2013.

Ledit article a pour objet de définir le cadre juridique de la procédure d’accès des services de renseignements aux données de connexion détenues par les opérateurs de communication électronique dans leur ensemble. Il s’agit d’une véritable révolution. En effet, jusqu’à présent, les services de renseignements (DCRI en particulier) faisaient des demandes de communication de données aux opérateurs de communication électronique hors de tout cadre véritablement légal. La commission Nationale Informatique et Liberté (CNIL) évaluait à 30.000 le nombre de demandes annuelles de communications par les services de renseignements.

Il est à noter que ce décret a été soumis à la CNIL qui  a rendu un avis consultatif le 4 décembre 2014, publié en même temps que le décret.

L’avis, s’il est rendu dans des termes policés et modérés comme à l’accoutumée, expose toutefois bien les risques de ces nouvelles dispositions : « la commission relève que les données détenues par les opérateurs qui peuvent être demandées sont de plus en plus nombreuses, sont accessibles à un nombre de plus en plus important d’organismes, sur réquisition judiciaire ou administrative ou en exécution d’un droit de communication, et ce pour des finalités très différentes. Elle appelle dès lors l’attention du gouvernement sur les risques qui en résultent pour la vie privée et la protection des données à caractère personnel et sur la nécessité d’adapter le régime juridique national en matière de conservation et d’accès aux données personnelles des utilisateurs de services de communication électronique ».

 

I – Champ d’application des nouvelles dispositions

 

Il est frappant de constater que ce décret du 24 décembre 2014, pourtant décret d’application d’une loi militaire concerne la procédure applicable à l’accès, au titre de la sécurité nationale, de la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France ou de la prévention du terrorisme, de la criminalité et de la délinquance organisée et de la reconstitution ou du maintien de groupes dissous, aux données de connexion détenues par les opérateurs de télécommunication électronique (cf. introduction du décret). En conséquence, les cas justifiant la saisie de données de connexion sont particulièrement larges.

 

Ce décret modifie le régime juridique d’accès aux données de connexion. Les finalités, comme mentionnées ci-dessus, pour lesquelles peuvent être demandées les données ont été très largement étendues et la liste des services pouvant requérir ces données a été élargie de manière extrêmement importante. Par ailleurs, une nouvelle catégorie de réquisitions administratives de données de connexion a été créée (article L.246-3 du Code de la Sécurité Intérieure) et les procédures de demandes d’accès aux données ont été modifiées.

 

II – De quelles données parle-t-on ?

L’article R.246-1 du Code de la Sécurité Intérieure dispose que « les informations et les documents pouvant faire, à l’exclusion de tout autre, l’objet d’une demande de recueil sont ceux énumérés aux articles R.10-13 et R.10-14 du Code des Postes et Télécommunications Electroniques et à l’article premier du décret n° 2011-219 du 25 février 2011 modifié relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne ». Ces « informations et documents », dont la CNIL note dans son avis qu’elles sont particulièrement peu définies concernent toutes les informations qui permettent d’identifier l’utilisateur ainsi que celles qui permettent de savoir quel terminal de communication est utilisé, la date, l’horaire et la durée de chaque communication, le nom du fournisseur d’accès, les destinataires de la communication … etc.

 

III – Qui peut obtenir la communication de ces éléments

La liste des personnes pouvant obtenir ces données de communication a été considérablement élargie.

Le fonctionnement est le suivant : le décret du 24 décembre précité crée le groupe interministériel de contrôle (GIC). Il s’agit d’un service du Premier Ministre (et non plus d’un service du Ministère de l’Intérieur comme autrefois). C’est ce GIC qui est chargé des interceptions de sécurité et de l’accès administratif aux données de connexion.

Le décret liste un certain nombre de services qui, au sein de chaque ministère peuvent utiliser l’accès administratif aux données de connexion.

La liste est longue ! On y trouve, bien évidemment, des services bien connus, comme la DCRI. Il y a également la direction Générale de la Police Nationale (DGPN) ou la DGSE ainsi que la Direction du Renseignement Militaire. Le décret réserve quelques surprises. Ainsi, au sein du Ministère de l’Intérieur, l’Office Central pour la Répression de l’Immigration Irrégulière et de l’Emploi d’Etrangers sans titre est bénéficiaire du décret.

L’Office Central de Lutte contre la Criminalité liée aux technologies de l’information et de la communication n’est pas cité mais on doit considérer qu’il dispose également de l’accès par l’intermédiaire de la Direction Générale de la Police Nationale (DGPN), dont dépend la Direction Centrale de la Police Judiciaire (DCPJ), dont dépend l’OCLCTIC.

 

IV – Comment se déroule l’accès aux données de connexion ?

Le dispositif ressemble à s’y méprendre au dispositif des écoutes téléphoniques.

Concrètement, dans chacune des directions mentionnées, le directeur doit désigner des agents individuellement habilités. Ces désignations sont faites sous le contrôle d’une « personnalité qualifiée ». Cette personnalité qualifiée peut elle-même avoir des adjoints qui peuvent aller jusqu’au nombre de 4.

Ensuite, les demandes de recueil d’informations ou de documents sont adressées aux opérateurs de communication électronique par l’agent nommément désigné.

Aux termes de l’article R.246-4 du CSI, la demande doit comporter :

a)      Le nom, le prénom et la qualité du demandeur ainsi que son service d’affectation et l’adresse de celui-ci ;

b)      La nature précise des informations ou des documents dont le recueil est demandé et, le cas échéant, la période concernée ;

c)      La date de la demande et sa motivation au regard des finalités mentionnées à l’article L.241-2.

 

On peut toutefois imaginer que la finalité sera très succinctement renseignée.

Une fois que ces demandes ont été approuvées par les personnalités qualifiées, elle est adressée à l’opérateur de communication électronique.

Il est à noter, et la CNIL s’en félicite d’ailleurs dans son avis, que les demandes sont transmises par les différents services aux opérateurs de communication électronique et ce ne sont pas les services de l’Etat qui vont aller puiser directement dans les données des opérateurs. Cette restriction est heureuse. L’inverse aurait été dangereux. La CNIL indique d’ailleurs elle-même que « il en résulte que cette formulation interdit toute possibilité d’aspiration massive et directe des données par les services concernés et, plus généralement, tout accès direct des agents des services de renseignements au réseau des opérateurs, dans la mesure où l’intervention sur les réseaux concernés est réalisée par les opérateurs de communication eux-mêmes ».

 

V – Sécurité des données et contrôle

S’agissant de la sécurité des données qui vont être recueillies par le Groupement Interministériel de Contrôle puis par les services concernés, rien ne permet de savoir si elle sera satisfaisante.

L’article R.246-6 du CSI dispose que « la transmission des informations ou des documents par les opérateurs et les personnes mentionnées à l’article L.246-1 au groupement Interministériel de Contrôle est effectuée selon des modalités assurant leur sécurité, leur intégrité et leur suivi ».

La conservation est d’une durée maximale de 3 ans et elle doit se faire « dans un traitement automatisé ». Ce système doit d’ailleurs prévoir que ces informations seront automatiquement effacées du traitement à l’issue du délai.

Toutefois, actuellement, nul n’a connaissance des conditions techniques véritables dans lesquelles seront conservées ces données. La CNIL souligne d’ailleurs « que le dossier qui lui a été soumis ne contient aucune information technique sur les modalités de mise en œuvre des réquisitions administratives de données de connexion ou d’informations relatives à l’accès de la CNCIS aux traitements automatisés prévus dans le cadre des articles L.246-1 à L.246-3 du CSI ».

S’agissant enfin du contrôle, l’article R.246-8 du CSI prévoit que la CNCIS dispose d’un accès permanent au traitement automatisé précité, qui enregistre les données de connexion sollicitées.

Et le même article prévoit que « l’autorité ayant approuvé une demande de recueil d’informations ou de documents fournit à la commission tous éclaircissements que celle-ci sollicite sur cette demande ». Toutefois, après avoir demandé ces fameux éclaircissements, la CNCIS ne dispose d’aucun pouvoir de sanction. Elle n’a même pas compétence (hormis le cadre général de l’article 40 du Code de Procédure Pénale) pour transmettre le dossier au Parquet. Lorsque l’on sait que le Président de la CNCIS a démissionné en juin 2014 pour protester contre l’absence de moyens affectés à cette fonction de contrôle, on comprend que ce contrôle n’est valable que sur le papier et ne saurait en aucune manière constituer une véritable garantie pour les droits et libertés individuelles.

Conclusion

L’objectif qui fonde ce type de disposition, la sécurité nationale, la lutte contre le terrorisme, est bien évidemment louable. Aujourd’hui on ne peut raisonnablement en douter. Cependant, on peut s’interroger sur la transposition en droit de l’adage « la fin justifie les moyens » un détournement de ce type de dispositif étant toujours possible à des fins différentes de leur but initial en particulier lorsque le nombre de personnes pouvant y avoir accès est aussi important que ce qu’il est prévu dans le texte et que le champ d’utilisation du dispositif est aussi large.

A propos de l'auteur : Sylvain Pontier

DESS de droit des Affaires Internationales
Diplôme de Juriste Conseil d'Entreprise
DEA de droit public

13 cours Pierre Puget - 13006 MARSEILLE
Tél. : 04.91.37.61.44

« Retour


Nos bureaux

Marseille : 04 91 37 61 44
Lyon : 04 72 83 72 58
Nîmes : 04 66 67 10 63
Aix-en-Provence : 04 42 59 56 68

formulaire de contact >
FrenchTech

Un site édité par

Abeille & Associés Avocats

Retrouvez-nous sur Facebook