La commission a été saisie par le ministère de l'intérieur d'une demande d'avis concernant un projet d'arrêté modifiant l'arrêté du 16 juin 2009 portant création d'un système dénommé « PHAROS » (plate-forme d'harmonisation, d'analyse, de recoupement et d'orientation des signalements).
Ce projet d'arrêté vise à modifier les dispositions réglementaires relatives au traitement PHAROS, mis en œuvre par l'office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC). Ce système, mis à la disposition des internautes et fournisseurs d'accès, est un portail permettant de signaler des contenus illicites sur internet. Il est composé d'un site internet, permettant aux internautes d'effectuer ces signalements à l'OCLCTIC, et d'un traitement automatisé de données à caractère personnel mis en œuvre par l'OCLCTIC et destiné à traiter ces signalements.
Ce traitement a pour finalités de recueillir, de manière centralisée, l'ensemble des signalements, d'effectuer des rapprochements entre eux et de les orienter vers les services enquêteurs compétents en vue de leur exploitation. En application de l'article 26-1 (2°) de la loi du 6 janvier 1978 modifiée, sa mise en œuvre a donc été autorisée par arrêté du ministère de l'intérieur.
Les modifications envisagées visent à permettre à de nouveaux personnels d'accéder au traitement et à ajouter de nouveaux destinataires. Les modifications de cet arrêté doivent dès lors, en application des dispositions des articles 26-1 (2°) et 30 de la même loi, faire l'objet d'un arrêté pris après avis motivé et publié de la commission.
A titre liminaire, la commission relève le caractère très large des signalements qui peuvent être transmis, via le système PHAROS, à l'OCLCTIC. Créée à l'origine pour lutter contre la pédopornographie sur internet, la plate-forme PHAROS a en effet par la suite été élargie à d'autres crimes et délits, de sorte que les informations enregistrées dans le traitement peuvent être communiquées à des destinataires nombreux et divers. La commission observe dès lors avec prudence les évolutions successives du dispositif.
Sur l'ajout de nouveaux personnels accédant directement au traitement PHAROS :
L'article 5 de l'arrêté du 16 juin 2009 susvisé prévoit que seuls les agents de l'OCLCTIC, individuellement désignés et spécialement habilités par le chef de l'office ou, le cas échéant, par un agent ayant reçu délégation à cet effet, accèdent directement aux données enregistrées dans le traitement PHAROS.
Ainsi, l'OCLCTIC est très régulièrement interrogé par les agents des services territoriaux de la police et de la gendarmerie dans le cadre de leurs enquêtes, puisqu'ils n'ont eux-mêmes pas accès aux données enregistrées dans PHAROS. Actuellement, l'OCLCTIC répond individuellement à chacune de ces sollicitations, ce qui a pour effet d'alourdir la charge de travail des analystes de la plate-forme PHAROS, mais également de contribuer à dissuader certains services de procéder aux recherches utiles à leurs affaires.
L'article 1er du projet d'arrêté vise à remédier à cette lourdeur, en permettant aux agents des services territoriaux de la direction générale de la police nationale (DGPN), de la direction générale de la gendarmerie nationale (DGGN) et de la préfecture de police de Paris, à raison de leurs attributions et dans la limite du besoin d'en connaître, d'accéder directement au traitement.
La commission relève que cette modification permettra d'améliorer l'efficacité du dispositif, d'une part, en déchargeant les agents de l'OCLCTIC du traitement des sollicitations des services territoriaux et, d'autre part, en accordant un accès plus systématique par les services territoriaux aux données qui peuvent leur être utiles dans le cadre de leurs enquêtes. Elle prend acte que l'accès des agents de ces services territoriaux se fera par le portail CHEOPS, sur lequel la commission s'est déjà prononcée.
Les modifications envisagées visent également à permettre à certains agents relevant du ministère de l'économie et des finances d'accéder directement au traitement PHAROS. Il s'agit, à raison de leurs attributions et dans la limite du besoin d'en connaître, des agents de la direction générale des douanes et des droits indirects (DGDDI), de la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) et de la direction des finances publiques (DGFIP).
S'agissant de la DGCCRF et de la DGDDI, la commission constate qu'il s'agit en réalité de la régularisation d'une situation existante, puisque ces deux directions sont, en pratique, déjà destinataires de signalements issus de PHAROS de la part de l'OCLCTIC, alors même que l'arrêté du 16 juin 2009 ne le permet pas. Il s'agit principalement de signalements relatifs à la contrefaçon de cigarettes ou aux infractions au code de la consommation.
S'agissant de la DGFIP, il s'agit de lui communiquer les signalements portant sur des sites qui se livrent à des activités commerciales laissant penser que les revenus engendrés par ces activités ne sont pas déclarés.
Les agents habilités de ces directions du ministère de l'économie et des finances auront accès à PHAROS par le biais de la passerelle interministérielle ADER, en s'y connectant avec le système d'authentification propre à leur ministère.
Elle relève qu'il est expressément prévu dans le projet d'arrêté que ces nouveaux personnels n'auront accès directement aux données enregistrées dans le traitement PHAROS qu'à « raison de leurs attributions et dans la limite du besoin d'en connaître » et que ces agents seront en outre « individuellement désignés et spécialement habilités par leur supérieur hiérarchique ».
Si la commission prend acte des objectifs de rationalisation opérationnelle et de meilleure efficacité du dispositif, elle relève que ces nouveaux accédants sont nombreux et invite les ministères concernés à faire preuve de vigilance dans l'attribution des habilitations à accéder au traitement PHAROS.
Sur l'ajout de nouveaux destinataires :
L'article 5 de l'arrêté du 16 juin 2009 prévoit que les agents et militaires, individuellement désignés et spécialement habilités par leur autorité hiérarchique, des services compétents de la police ou de la gendarmerie nationales, peuvent être destinataires des données enregistrées dans PHAROS. Il prévoit également que ces données peuvent être communiquées à des services homologues ou des services de police d'un Etat étranger lorsque cet Etat assure à la vie privée, aux libertés publiques et aux droits fondamentaux des personnes à l'égard des traitements de données à caractère personnel un niveau de protection suffisant au sens de l' article 68 de la loi du 6 janvier 1978 modifiée.
Le projet d'arrêté prévoit d'ajouter à la liste des destinataires du traitement « les prestataires mentionnés aux 1 et 2 du I de l'article 6 de la loi du 21 juin 2004 pour la confiance dans l'économie numérique », à savoir les fournisseurs d'accès à internet et les hébergeurs.
L'article 4 de la loi du 14 mars 2011 susvisée introduit à l'article 6-1-7 de la loi du 21 juin 2004 susvisée (LCEN), a institué un dispositif de blocage de l'accès aux sites internet pédopornographiques, les fournisseurs d'accès à internet ayant obligation d'empêcher, sans délai, l'accès à de tels contenus. La mise en œuvre de ce mécanisme de blocage est déclenchée par la notification des adresses électroniques des contenus illicites que le ministère de l'intérieur adresse aux fournisseurs d'accès à internet. A ce titre, l'OCLCTIC établit une « liste noire », notamment à partir des signalements reçus dans le cadre du système PHAROS, des adresses électroniques à bloquer afin de la leur communiquer.
Dans ces conditions, l'ajout des fournisseurs d'accès à internet à la liste des destinataires du traitement n'appelle pas d'observation particulière. Néanmoins, la loi du 14 mars 2011 susvisée prévoit que cette obligation de blocage des sites pédopornographiques entre en vigueur six mois à compter de la publication d'un décret et, au plus tard, à l'expiration d'un délai d'un an à compter de la publication de ladite loi. Or, ce décret, qui doit notamment préciser les modalités du blocage administratif et de la compensation financière allouée aux fournisseurs d'accès, n'a à ce jour pas été publié. Si la commission prend acte qu'il est en cours d'élaboration, elle s'interroge, en l'absence de ce décret, sur l'effectivité réelle de la modification envisagée et sur le calendrier de sa mise en œuvre.
Elle rappelle en outre que l'article 6-I-7 de la LCEN ne permet à l'autorité administrative, en l'espèce l'OCLCTIC, de transmettre la « liste noire » des sites à bloquer qu'aux seuls fournisseurs d'accès à internet. Ainsi, les hébergeurs ne peuvent en aucun cas être destinataires de cette liste.
Les hébergeurs pourront cependant être destinataires de certaines données enregistrées dans le traitement PHAROS, sur le fondement de l'article 6-1-3 de la LCEN, qui prévoit que lorsqu'ils sont informés de contenus illicites ils doivent retirer ce contenu dans les conditions prévues à l' article 6-1 de la LCEN. La communication de ces seuls contenus leur permettra ainsi de se mettre en conformité avec les obligations prévues par la LCEN.
La commission a proposé au ministère de distinguer, dans l'acte réglementaire, la communication de cette « liste noire » aux FAI des éventuelles sollicitations ponctuelles réalisées auprès des hébergeurs. Le ministère a toutefois indiqué que le projet d'arrêté prévoit que les destinataires ne peuvent recevoir communication des données enregistrées dans le traitement qu'à « raison de leurs attributions et dans la limite du besoin d'en connaître ». Par conséquent, la commission prend acte de la position du ministère selon laquelle cette rédaction ne rend pas nécessaire de compléter le texte réglementaire en précisant pour chaque destinataire, notamment les FAI et les hébergeurs, la nature des données qui peuvent lui être communiquées.
Il ressort en outre du dossier transmis à la commission que les informations relatives aux adresses électroniques permettant aux délinquants de correspondre sur internet pourront être communiquées aux opérateurs en vue de leur signaler qu'il est fait un usage illégal de leurs services de messageries électroniques gratuites, au titre de la prévention des escroqueries sur internet. Or, le projet d'arrêté ne prévoit pas les opérateurs de communications électroniques, au sens de l'article L. 32 (15°) du code des postes et des communications électroniques, comme destinataires de données enregistrées dans PHAROS. Aussi, elle prend acte de l'engagement du ministère de modifier le projet d'arrêté afin de mentionner les opérateurs de communications électroniques au sens de l'article L. 32 (15°) au titre des destinataires.
Enfin, il est prévu que les agents de l'Union de recouvrement des cotisations de sécurité sociale et d'allocations familiales (URSSAF) soient destinataires de données enregistrées dans le traitement, dans le cadre de la lutte contre les fraudes sur internet. Dans la mesure où le dispositif PHAROS permet de signaler, conformément à l'article 1er de l'arrêté du 16 juin 2009, tous « sites ou contenus contraires aux lois et règlements diffusés sur internet », I'OCLCTIC peut effectivement être amené à recevoir des signalements concernant, par exemple, des sites internet et des petites annonces qui révèlent des dissimulations d'activité ou d'emploi salarié. Par conséquent, cette modification n'appelle pas d'observation particulière de la part de la commission.