Saisie par le secrétaire général de la défense et de la sécurité nationale, pour le compte du Premier ministre, d'une demande d'avis concernant un projet de décret en Conseil d'Etat relatif à l'accès administratif aux données de connexion et portant application de l'article L. 246-4 du code de la sécurité intérieure ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code des postes et des communications électroniques, notamment ses articles R. 10-12 et suivants ;
Vu le code de la défense, notamment son article D. 1122-8-1 ;
Vu le code de la sécurité intérieure, notamment ses articles L. 246-l et suivants ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu la loi n° 2004-575 du 21 juin 2004 modifiée pour la confiance dans l'économie numérique ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne ;
Après avoir entendu M. Jean-François Carrez, commissaire, en son rapport et M. Jean-Alexandre Silvy, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie par le secrétaire général de la défense et de la sécurité nationale (SGDSN), pour le compte du Premier ministre, d'un projet de décret pris pour l'application de l'article 20 de la loi de programmation militaire pour les années 2014 à 2019 (LPM), introduit aux articles L. 246-1 et suivants du code de la sécurité intérieure (CSI).
Le cadre juridique actuel prévoit, depuis 2006, que, dans le cadre de la prévention des actes de terrorisme, les agents spécialement habilités peuvent demander communication, sur le fondement des articles L. 222-2 et L. 222-3 du CSI, de certaines données techniques conservées par les opérateurs de communications électroniques, les fournisseurs d'accès à internet et les hébergeurs. Les demandes de communication doivent être motivées et soumises à la décision d'une personnalité qualifiée (PQ). Cette procédure de réquisition administrative de données de connexion est devenue un outil fréquemment mobilisé par les services compétents (environ 30 000 demandes sont formulées par an).
Les modalités d'application de ces dispositions sont définies, d'une part, aux articles R. 10-15 à R. 10-22 du CPCE en ce qui concerne les opérateurs de communications électroniques et, d'autre part, au chapitre II du décret n° 2011-219 du 25 février 2011 susvisé en ce qui concerne les fournisseurs d'accès à internet et les hébergeurs.
L'article 20 de la LPM a modifié de manière substantielle ce régime juridique d'accès, par les services antiterroristes, aux données dites « de connexion ». A compter du 1er janvier 2015, les dispositions législatives applicables sont regroupées dans le CSI (articles L. 246-1 et suivants). Les finalités pour lesquelles peuvent être demandées les données ont été étendues et la liste des services pouvant requérir ces données a été corrélativement élargie. Une nouvelle catégorie de réquisition administrative de données de connexion a été créée (article L. 246-3 du CSI). Enfin, les procédures de demandes d'accès aux données de connexions ont été modifiées.
Au préalable, la commission rappelle que, si elle a eu à se prononcer sur plusieurs articles de la loi de programmation militaire, elle n'a toutefois pas été saisie des dispositions de cet article 20. Elle relève en outre que, postérieurement à l'adoption de cette loi, est intervenu l'arrêt du 8 avril 2014 de la Cour de justice de l'Union européenne (CJUE) qui a invalidé la directive 2006/24/CE dite « Data Retention ».
Cet arrêt conduit à s'interroger sur le risque d'inconventionnalité des dispositions de la loi de programmation militaire. Au-delà de ce champ d'application spécifique, la commission relève que les données détenues par les opérateurs qui peuvent être demandées sont de plus en plus nombreuses, sont accessibles à un nombre de plus en plus important d'organismes, sur réquisitions judiciaires ou administratives ou en exécution d'un droit de communication, et ce pour des finalités très différentes. Elle appelle dès lors l'attention du Gouvernement sur les risques qui en résultent pour la vie privée et la protection des données à caractère personnel et sur la nécessité d'adapter le régime juridique national en matière de conservation et d'accès aux données personnelles des utilisateurs de services de communications électroniques.
En tout état de cause, l'article L. 246-4 du CSI prévoit qu'un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés et de la Commission nationale de contrôle des interceptions de sécurité (CNCIS), « précise notamment la procédure de suivi des demandes et les conditions et durée de conservation des informations ou documents transmis ».
Les dispositions du projet de décret soumis à la commission visent en conséquence à préciser les modalités de mise à disposition des données de connexion aux services relevant des ministres chargés de la sécurité intérieure, de la défense, de l'économie et du budget et chargés des missions prévues à l'article L. 241-2 du CSI. Elles prévoient notamment la création de deux traitements, l'un pour les demandes des agents et les décisions de la personnalité qualifiée mentionnée à l'article L. 246-2 du CSI et l'autre pour les informations et documents transmis en retour par les opérateurs, dont les conditions de mise en œuvre seront fixées par arrêté pris après avis de la commission.
Le système prévu par le projet de décret a vocation à remplacer le dispositif actuellement en vigueur et prévu aux articles 5 à 10 du décret du 25 février 2011 susvisé et R. 10-15 à R. 10-22 du CPCE.
Sur les services pouvant procéder aux réquisitions administratives de données de connexion
L'article L. 246-2 du CSI prévoit que « les informations ou documents mentionnés à l'article L. 246-1 sont sollicités par les agents individuellement désignés et dûment habilités des services relevant des ministres chargés de la sécurité intérieure, de la défense, de l'économie et du budget chargés des missions prévues à l'article L. 241-2 ». Il en résulte que les réquisitions administratives de données de connexion peuvent intervenir dans un contexte identique à celui des interceptions de sécurité, à savoir : la recherche des renseignements intéressant la sécurité nationale, la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France, et la prévention du terrorisme, de la criminalité et de la délinquance organisées et de la reconstitution ou du maintien de groupements dissous en application de l'article L. 212-1 du même code.
La commission rappelle que la loi de programmation militaire a en effet élargi les services pouvant requérir ces données, concurremment à l'élargissement des finalités pour lesquelles les données de connexion peuvent être demandées.
L'article R. 246-1 du CSI tel que prévu par le projet de décret prévoit, concernant les services habilités à procéder à des réquisitions administratives de données de connexion en application de l'article L. 246-2, que les agents seront « individuellement désignés et dûment habilités par les chefs de service » et que la liste de ces services sera fixée par arrêté, comme le prévoient actuellement les articles R. 10-15 du CPCE et 5 du décret du 25 février 2011. La commission prend acte des précisions apportées par le SGDSN, selon lesquelles les services visés sont uniquement ceux mentionnés à l'article D. 1122-8-1 du code de la défense ainsi que les services de police et de gendarmerie nationales chargés des missions prévues à l'article L. 241-2 du CSI.
Sur les demandes de recueil d'informations ou de documents en application de l'article L. 246-1 du CSI
Les dispositions relatives aux demandes d'informations ou de documents (article R. 246-4 du CSI tel que prévu par le projet de décret) sont proches de celles actuellement en vigueur (articles 6 du décret du 25 février 2011 susvisé et R. 10-17 du CPCE).
Toutefois, la commission observe que la notion d'« informations ou de documents » n'apparaît pas, en tant que telle, dans lesdites dispositions du décret et du CPCE. La rédaction du projet de décret soumis à la commission reprend ainsi celle de l'article 20 de la LPM. L'article L. 246-1 du CSI dispose en effet que les demandes peuvent concerner des informations ou documents, « y compris » les données limitativement prévues par le cadre juridique en vigueur. Cette formulation pourrait être interprétée comme permettant un élargissement des données pouvant être requises par rapport à celles pouvant actuellement être demandées aux opérateurs, qui sont limitées à des « données d'identification ».
Dans ces conditions, la commission estime nécessaire que le décret d'application desdites dispositions définisse avec précision les données qui pourront être demandées aux opérateurs, notamment afin de s'assurer que les services concernés ont accès aux seules données de connexion et non aux données de contenu. Une telle extension, réalisée dans le cadre du régime administratif du recueil des données de connexion, risquerait en effet d'entraîner une atteinte disproportionnée au respect de la vie privée.
A cet égard, la commission prend acte des précisions apportées par le SGDSN, selon lequel les dispositions du projet de décret ne permettent en aucun cas de réaliser des interceptions de contenus ou des perquisitions en ligne et visent uniquement les données mentionnées aux articles R. 10-13 et R. 10-14 CPCE et 1er du décret du 25 février 2011 susvisé, à l'exclusion de toute autre information. Il a en outre été indiqué que l'arrêté tarifaire prévu à l'article R. 246-9 nouveau du CSI précisera les différentes prestations de transmission de données de connexion concernées, ce qui inclura nécessairement les catégories de données visées. Toutefois, la commission estime que les catégories de données qui pourront être demandées devraient figurer dans le présent projet de décret d'application, et non dans un simple arrêté tarifaire, et demande dès lors, afin d'éviter toute confusion sur la nature des données concernées, que le projet de décret soit modifié en ce sens.
Par ailleurs, la commission relève que les demandes de communication devront comporter des données relatives au demandeur (nom, prénom et qualité du demandeur ainsi que son service d'affectation et l'adresse de celui-ci), aux informations et documents dont le recueil est demandé (nature et période concernée) et à la demande (date et motivation au regard des finalités).
Enfin, elle relève que ces demandes pourront désormais être approuvées par les adjoints de la personnalité qualifiée, ce qui n'est pas prévu par le cadre juridique actuellement en vigueur.
Sur les traitements mis en œuvre à des fins de gestion des réquisitions administratives de données de connexion
A titre liminaire, la commission relève que le dispositif ne relève plus du ministre de l'intérieur mais du Premier ministre, qui devient désormais responsable des traitements mis en œuvre à des fins de gestion des réquisitions administratives de données de connexion.
En outre, la commission rappelle que la mise en œuvre des réquisitions administratives de données de connexions reposera sur deux traitements distincts, comme le prévoit le projet de décret. Elle rappelle que ces traitements devront être autorisés, préalablement à leur mise en œuvre, par arrêté pris après avis motivé et publié de la commission, en application des dispositions de l'article 26 de la loi du 6 janvier 1978 modifiée.
Sur le traitement de données relatif aux demandes des agents et décisions de la personnalité qualifiée
L'article R. 246-5 du CSI tel que prévu par le projet de décret dispose que les demandes des agents et les décisions de la personnalité qualité ou de ses adjoints sont enregistrées et conservées pendant une durée maximale de trois ans dans un traitement de données à caractère personnel mis en œuvre par le Premier ministre.
La commission relève tout d'abord que la durée de conservation prévue est plus longue que celle prévue par le cadre juridique en vigueur, qui prévoit, aux articles 7 du décret du 25 février et R. 10-18 du CPCE, une durée de conservation d'un an.
Interrogé sur cet allongement substantiel de la durée de conservation, le SGDSN a mis en avant trois arguments : cela permettra à la Commission nationale de contrôle des interceptions de sécurité (CNCIS) d'exercer son contrôle de manière plus approfondie ; en cas de contentieux, l'accès à ces documents pendant une plus longue période pourra être bénéfique au justiciable ; la durée de conservation actuelle rend difficile la réalisation par la personnalité qualifiée de statistiques annuelles sur l'emploi du dispositif.
La commission prend acte de ces justifications et relève qu'il s'agit d'une durée de conservation maximale.
Sur le traitement de données relatif aux informations et documents transmis par les personnes mentionnées à l'article L. 34-1 du CPCE et aux 1 et 2 du I de l'article 6 de la LCEN
L'alinéa 3 de l'article R. 246-6 (nouveau) du CSI prévoit que les informations et documents transmis par les opérateurs sont enregistrés et conservés dans un traitement de données à caractère personnel, mis en œuvre par le Premier ministre, pendant une durée maximale de trois ans. Le projet de décret prévoit en outre que ces informations ou documents sont automatiquement effacés du traitement, sous l'autorité du Premier ministre, à l'expiration de la durée de conservation et que le directeur du Groupement interministériel de contrôle (GIC), chargé de la mise en œuvre opérationnelle du dispositif, adresse chaque année à la CNCIS un procès-verbal certifiant que l'effacement a été effectué. La commission relève qu'il s'agit d'une garantie importante, qui aurait pu également être mise en œuvre pour le traitement concernant les demandes des services de renseignement.
La commission relève que cette durée de conservation correspond à celle prévue par les articles R. 10-19 du CPCE et 8 du décret du 25 février 2011.
Elle rappelle néanmoins que le Gouvernement, à l'occasion des formalités préalables effectuées pour les traitements actuellement mis en oeuvre, a retenu une durée de conservation d'un an. La Commission avait en effet relevé que cette durée était suffisante au regard des obligations légales et réglementaires imposées aux opérateurs, tout en permettant à la CNCIS de réaliser ses missions de contrôle a posteriori. Dans la mesure où le projet de décret prévoit une durée de conservation maximale, ce point sera plus précisément examiné par la commission à l'occasion de la demande d'avis relative au projet d'arrêté précité.
Sur les modalités de transmission des données entre le GIC et les opérateurs
L'alinéa 2 de l'article R. 246-6 (nouveau) du CSI prévoit que les demandes approuvées par la personnalité qualifiée (PQ) ou par ses adjoints sont adressées par le GIC, sans les données relatives à l'agent à l'origine de la demande et sans les éléments de la motivation de la demande, aux opérateurs de communications électroniques ainsi qu'aux fournisseurs d'accès à internet et aux hébergeurs. Il énonce également que la transmission des informations ou des documents par les opérateurs au GIC s'effectue selon des modalités assurant leur sécurité, leur intégrité et leur suivi. Il est précisé que ces modalités « peuvent être définies par une convention conclue entre l'Etat et l'opérateur ou la personne concernés ou par un arrêté du Premier ministre ».
Or, le cadre juridique actuel rend a minima obligatoire l'existence d'une convention conclue avec l'opérateur. Interrogé sur cette diminution du niveau de garantie, le SGDSN a précisé qu'une convention ne s'imposait que lorsque l'Etat a pour interlocuteur un opérateur dont le nombre d'abonnés est important.
La commission considère toutefois que l'obligation de définir les modalités de transmission des données, assurant leur sécurité, leur intégrité et leur suivi, est une garantie importante. Dès lors, elle estime que l'encadrement de ces transmissions d'informations, par l'intermédiaire de conventions ou d'un arrêté, devrait rester obligatoire. En outre, quelle que soit la nature des textes encadrant ces transmissions, la commission estime qu'ils devront comporter des dispositions particulières relatives à la protection des données à caractère personnel, suivant des modèles types qui devraient au préalable lui être soumis pour avis.
Le dispositif permettant la transmission des demandes devra permettre aux opérateurs de s'assurer que la requête qui leur est transmise a bien été approuvée par la personnalité qualifiée ou le Premier ministre et, d'autre part, de garantir l'authenticité des approbations ainsi que leur intégrité.
Enfin, la commission rappelle que seuls les employés individuellement désignés des services en charge de ces demandes des opérateurs pourront être destinataires des demandes de communication des données et transmettre les réponses au GIC.
Sur les réquisitions prévues à l'article L. 246-3 du CSI
L'article R. 246-7 du CSI, tel que prévu par le projet de décret, se rapporte aux demandes d'informations et de documents prévues à l'article L. 246-3 du CSI, lequel se réfère à la notion de « sollicitation du réseau » et de transmission en temps réel.
La commission rappelle que ce nouveau type de réquisition bénéficie de garanties particulières par rapport aux réquisitions classiques de données de connexion, puisque, notamment à sa demande, il lui a été appliqué un régime proche de celui applicable aux interceptions de sécurité (contrôle a priori du Premier ministre et a posteriori de la CNCIS).
Ces demandes de recueil d'informations ou de documents en application de l'article L. 246-3 du CSI devront comporter leur motivation au regard des finalités mentionnées à l'article L. 241-2 du CSI et la nature des informations ou documents dont le recueil est demandé, ainsi que la durée de ce recueil. Les données à caractère personnel relatives à l'agent et à l'origine de la demande ne figurent pas au titre des éléments définissant cette demande. Si de telles données étaient nécessaires à ce type de réquisition, la commission invite le SGDSN à modifier le projet de décret en ce sens. Enfin, et à l'identique des réquisitions mentionnées à l'article L. 246-1 du CSI, la motivation de la demande n'est pas communiquée aux opérateurs.
Concernant le périmètre de ce nouveau type de réquisition, si les précisions apportées par les débats parlementaires incitaient à penser que cette disposition se limitait exclusivement à l'utilisation de la géolocalisation, le SGDSN a toutefois infirmé cette position en indiquant qu'il convenait que les dispositions réglementaires ne soient pas figées dans le temps au regard des évolutions technologiques. Au regard des risques potentiels en matière de protection de la vie privée et de protection des données personnelles, la commission ne peut que regretter que le projet de décret ne permette pas de définir précisément et limitativement le périmètre de ce nouveau type de réquisition.
La commission relève que les demandes formulées par les agents compétents ainsi que les réponses apportées par les opérateurs seront enregistrées et conservées dans les traitements prévus aux articles R. 246-5 et R. 246-6 du CSI tels que prévus par le projet de décret.
S'agissant des modalités concrètes de recueil de des données, la commission relève qu'une garantie est prévue par les dispositions réglementaires soumises pour avis, à savoir que « la sollicitation du réseau […] est effectuée par l'opérateur qui exploite le réseau ». Il en résulte que cette formulation interdit toute possibilité d'aspiration massive et directe des données par les services concernés et, plus généralement, tout accès direct des agents des services de renseignement aux réseaux des opérateurs, dans la mesure où l'intervention sur les réseaux concernés est réalisée par les opérateurs de communication eux-mêmes.
Sur les mesures de sécurité
L'article L. 246-4 du CSI prévoit que les « modalités d'application […] sont fixées par décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés et de la Commission nationale de contrôle des interceptions de sécurité, qui précise notamment la procédure de suivi des demandes et les conditions et durée de conservation des informations ou documents transmis ».
La commission relève qu'il est nécessaire de disposer d'informations quant aux mesures de sécurité projetées afin de pouvoir examiner les « conditions [et durée] de conservation des informations ou documents transmis ». A cet égard, elle souligne que le dossier qui lui a été soumis ne contient aucune information technique sur les modalités de mises en œuvre des réquisitions administrative de données de connexion ou d'informations relatives à l'accès de la CNCIS aux traitements automatisés prévus dans le cadre des articles L. 246-1 à L. 246-3 du CSI.
La commission regrette dès lors de ne pouvoir se prononcer au regard des dispositions de l'article 34 de la loi du 6 janvier 1978 modifiée et rappelle que ces informations, s'agissant notamment des mesures de sécurité et de traçabilité, devront impérativement figurer dans le dossier de saisine qui lui sera présenté à l'occasion de la déclaration des deux traitements mentionnés aux articles R. 246-5 et R. 246-6 du CSI tels que prévus par le projet de décret.