La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet de décret relatif à la mise en œuvre de systèmes de traitement de données captées ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code pénal ;
Vu le code de procédure pénale, notamment ses articles 706-102-1 à 706-102-9 ;
Vu le code de la sécurité intérieure, notamment son article L. 235-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 26-II et 26-IV ;
Vu la loi n° 2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure ;
Vu la loi n° 2014-1353 du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme, notamment son article 21 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la délibération n° 2009-200 du 16 avril 2009 portant avis sur sept articles du projet de loi d'orientation et de programmation pour la performance de la sécurité intérieure ;
Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet de décret en Conseil d'Etat relatif à la mise en œuvre de systèmes de traitement des données captées (STDC).
Les articles 706-102-1 à 706-102-9 du code de procédure pénale (CPP), créés par la loi n° 2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure (dite « LOPPSI II »), permettent la captation de données informatiques dans le cadre des informations judiciaires relatives à des infractions de délinquance et de criminalité organisées. Ils permettent d'appréhender des données informatiques telles qu'elles s'affichent à l'écran pour l'utilisateur (copies écran) ou telles qu'elles sont saisies sur le clavier (frappes clavier). La commission s'est prononcée sur ces dispositions par délibération du 16 avril 2009 susvisée.
La loi du 13 novembre 2014 susvisée a modifié l'article 706-102-1 du CPP afin de permettre également la captation de données « reçues et émises par des périphériques audiovisuels ». Cette modification a pour objet de permettre la captation, outre des frappes de caractères et des données s'affichant à l'écran, du son et de l'image reçus et émis lors de l'utilisation d'un service audiovisuel en ligne, jusque-là exclus des dispositions du CPP.
Ces dispositions du CPP permettent la collecte de très nombreuses données, à l'insu des personnes concernées. Au regard du caractère particulièrement intrusif de ces dispositifs, le législateur a prévu les garanties nécessaires à la préservation des droits et libertés fondamentaux.
Le présent projet de décret vise à permettre l'application de ces dispositions législatives en autorisant la mise en œuvre de ces dispositifs de captation de données informatiques, qui suppose la création de traitements de données à caractère personnel.
Les traitements projetés ont dès lors pour objet la recherche et la constatation d'infractions pénales et pourront porter sur des données sensibles au sens de l'article 8 de la loi du 6 janvier 1978 modifiée. Il en résulte qu'ils doivent être autorisés par décret en Conseil d'Etat, pris après avis motivé et publié de la commission, conformément aux dispositions de l'article 26-II de cette même loi.
Il est enfin prévu que ce projet de décret constitue un acte réglementaire unique, au sens du IV du même article, permettant ainsi la déclaration de plusieurs traitements, par la direction générale de la police nationale (DGPN), la direction générale de la gendarmerie nationale (DGGN), la direction générale de la sécurité intérieure (DGSI), la préfecture de police de Paris et la direction générale des douanes et des droits indirects (DGDDI).
En vertu de ces dispositions, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires peuvent être autorisés par un acte réglementaire unique. Chacun de ces traitements doit être mis en œuvre conformément à la description qui figure dans ce texte et doit faire l'objet d'un engagement de conformité préalablement adressé à la commission.
A cet égard, l'article 7 du projet de décret précise que cet engagement s'accompagne d'un dossier technique de présentation du logiciel. La commission rappelle que ce dossier technique permet à la commission de mieux apprécier la conformité du traitement envisagé à l'acte réglementaire. Dès lors, si les services mentionnés à l'article 1er du projet de décret utilisent le même logiciel, il ne semble pas nécessaire d'accompagner les différents engagements de conformité d'un dossier identique de présentation de ce logiciel.
En revanche, en cas de mise en œuvre d'un nouveau logiciel présentant des fonctionnalités nouvelles, sa déclaration devrait être accompagnée d'un dossier de présentation technique, conformément aux dispositions de l'article 30 de la loi du 6 janvier 1978 modifiée et sans qu'il soit nécessaire de le préciser dans le projet de décret. De même, la commission relève qu'à ce jour le dispositif ne permet pas encore la captation de données émises ou reçues par des périphériques audiovisuels. Elle prend acte que lorsqu'un nouveau dispositif aura été développé dans cette perspective, des informations complémentaires seront portées à sa connaissance.
Sur la finalité des traitements :
Cette technique de captation de données informatiques doit permettre de « faciliter la constatation des infractions [de criminalité et de délinquance organisées], le rassemblement des preuves de ces infractions et l'identification de leurs auteurs ». Le CPP dote en effet les services compétents en matière de criminalité organisée de plusieurs techniques spéciales d'enquêtes (surveillance, infiltration, sonorisation et fixation d'images, captation de données informatiques, etc.) et prévoit également une procédure spécifique, adaptées aux nouvelles formes de criminalité.
L'article 1er du projet de décret prévoit que les traitements envisagés permettent « la collecte, l'enregistrement et la conservation des données informatiques captées en temps réel en application des articles 706-102-1 et suivants » du CPP.
Les dispositifs de captation (enregistrement des frappes clavier, copies d'écran, enregistrement des données émises ou reçues depuis un périphérique audiovisuel) ont été déterminés par le législateur, tout comme les modalités d'exploitation des données recueillies ainsi que les garanties procédurales et techniques qui doivent entourer la mise en œuvre de ces dispositifs.
Le code de procédure pénale prévoit en effet les modalités d'autorisation de mise en œuvre de ces dispositifs par l'autorité judiciaire, la durée de la mise en œuvre des dispositifs de captation ainsi que les conditions de leur éventuelle prolongation, les modalités d'installation des dispositifs techniques, les modalités d'exploitation des données ainsi captées ainsi que les modalités de destruction des enregistrements des données informatiques. Au-delà de ces garanties procédurales, il convient de relever que les articles 706-102-1 à 706-102-9 du CPP ne permettent pas de prendre connaissance de l'ensemble du contenu du système exploité, de prendre le contrôle d'un système d'information ou d'accéder à toutes les données présentes sur celui-ci.
Au regard de ces éléments, la commission considère que les finalités assignées aux traitements envisagés sont déterminées, explicites et légitimes, conformément aux dispositions de l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Sur la nature des données traitées :
Il est par définition difficile d'établir une liste exhaustive des données qui pourront être collectées, dans la mesure où sont concernées, dans un premier temps, toutes les données telles que l'utilisateur les saisira sur son clavier, les visualisera sur son écran ou, à terme, les prononcera ou les entendra via le périphérique audiovisuel, de manière indifférenciée. Ce n'est qu'au moment de l'exploitation des données que les enquêteurs analyseront l'ensemble des informations captées et procéderont à la transcription dans un procès-verbal des seules données utiles à la manifestation de la vérité, conformément à l'article 706-102-8 du CPP.
L'article 29 de la loi « Informatique et libertés » prévoit néanmoins l'obligation de mentionner, dans l'acte réglementaire portant création d'un traitement relevant de l'article 26 de la même loi, les catégories de données à caractère personnel enregistrées dans un tel traitement et le projet de décret a dès lors été modifié à la demande de la commission.
S'agissant des personnes concernées, la commission relève tout d'abord que ces dispositifs permettront de collecter des données relatives à d'autres personnes que l'utilisateur du système de traitement automatisé de données, telles que, par exemple, l'identité des personnes en relation avec l'utilisateur du système d'information surveillé. Si le projet de décret mentionne que pourront être captées « l'ensemble des données à caractère personnel rendues disponibles par l'utilisateur », il n'est pas expressément indiqué que pourront être collectées des données tant relatives à l'utilisateur du système d'information qu'aux personnes en relation avec lui. Dès lors, elle prend acte de l'engagement du ministère de modifier le projet de décret en ce sens.
En outre, ces dispositifs peuvent être installés sur un système qui n'appartient pas ou n'est pas utilisé par la personne mise en cause. En effet, l'ordonnance du magistrat peut viser « la localisation exacte ou la description détaillée des systèmes de traitement automatisé de données », de sorte que les dispositifs peuvent concerner l'ensemble des systèmes d'information se trouvant dans un lieu déterminé, privé ou public. A cet égard, la commission prend acte des précisions apportées par le ministère, à savoir qu'en cas de constatation que le matériel mis sous surveillance n'est pas celui de la personne mise en cause dans l'enquête judiciaire, le magistrat est avisé, la captation arrêtée sur son instruction et les données saisies et scellées pour lui être transmises, sans qu'une copie ne soit réalisée.
Par ailleurs, l'article 706-102-5 du CPP prévoit expressément qu'aucun dispositif de captation ne peut être installé sur des systèmes automatisés de traitement des données se trouvant dans certains lieux protégés. Toutefois, il convient de relever que les professionnels visés peuvent être amenés à travailler sur des systèmes d'information portables, dans d'autres lieux que ceux visés à l'article 706-102-5 du CPP. Dans la mesure où cette disposition a pour objet de protéger des secrets professionnels, la commission s'interroge sur la possibilité d'installer de tels dispositifs de captation sur des systèmes d'information utilisés par les professionnels visés dans cet article mais non dans les lieux précités.
En ce qui concerne la nature des données collectées, si la plupart des catégories mentionnées n'appellent pas d'observation, la commission formule néanmoins les remarques suivantes.
En premier lieu, si la collecte concerne l'ensemble des données telles que l'utilisateur les saisira sur son clavier, les visualisera sur son écran ou les prononcera et entendra via le périphérique audiovisuel, la commission rappelle que seules sont transcrites dans un procès-verbal les données qui sont « utiles à la manifestation de la vérité », conformément aux dispositions de l'article 706-102-8 du CPP, ces transcriptions relevant de la responsabilité des magistrats et des officiers de police judiciaire. Par ailleurs, ce même article dispose expressément qu'« aucune séquence relative à la vie privée étrangère aux infractions visées dans les décisions autorisant la mesure ne peut être conservée dans le dossier de la procédure ». Cette précision est d'autant plus importante que des données sensibles, au sens de l'article 8 de la loi du 6 janvier 1978 modifiée, sont susceptibles d'être collectées dans le cadre de la captation des données informatiques et exploitées par les enquêteurs. »
L'article 2 du projet de décret prévoit que peuvent être collectées des données biométriques, comme par exemple la voix ou les frappes au clavier. La commission relève à cet égard qu'il n'est pas fait mention de la mise en œuvre de dispositifs de reconnaissance vocale ni d'analyse comportementale des dynamiques des frappes au clavier. Si de tels mécanismes devaient à l'avenir être mis en œuvre, la commission devra être saisie pour avis sur un projet de décret modificatif prévoyant expressément le recours à de tels dispositifs.
Le même article mentionne, au titre des données collectées, les données génétiques, qui sont des données particulièrement sensibles et doivent dès lors faire l'objet de précautions particulières. Or, la commission s'est s'interrogée sur la collecte de ce type de données, au regard des modes de captation mis en œuvre, et sur leur pertinence au regard des traitements en cause. Elle prend acte des précisions apportées par le ministère, à savoir que ce terme a vocation à englober les éventuelles informations à caractère médical que les personnes concernées pourraient rendre disponibles sur leurs terminaux électroniques. Elle relève qu'à des fins de clarification, le ministère entend remplacer ce terme par celui de « données médicales ».
Sous ces réserves, la commission considère que les données collectées sont pertinentes, adéquates et non excessives au regard des finalités poursuivies.
Sur la durée de conservation des données :
L'article 5 du projet de décret prévoit que les données sont conservées jusqu'à la clôture de l'enquête et sa transmission à l'autorité judiciaire. ll est ainsi prévu que les données soient conservées dans les STDC postérieurement à leur transcription dans le procès-verbal précité, c'est-à-dire après que l'enquêteur aura sélectionné les informations qu'il estime utiles à la manifestation de la vérité. De fait, la commission relève que, postérieurement à la transcription de ces données, le déroulement progressif de l'enquête peut nécessiter d'accéder à nouveau à l'enregistrement, à la lumière de nouveaux éléments dont l'enquêteur ou le magistrat instructeur dispose.
La commission appelle cependant l'attention du ministère de l'intérieur sur les modalités de conservation et d'accès aux enregistrements des données qui sont jugées, au moment de la transcription, sans rapport avec l'enquête en cours, ainsi que des données captées sur un système d'information n'appartenant pas à la personne mise en cause. Elle estime que, dans ces hypothèses, ces enregistrements devraient être conservés dans des conditions garantissant leur confidentialité et qu'un contrôle strict devrait être exercé sur leur accès, par l'autorité judiciaire ou à défaut par l'autorité hiérarchique.
La transmission de la procédure à l'autorité judiciaire entraîne la suppression par l'administrateur du dossier dévolu à l'enquête et un effacement automatique des données enregistrées dans les traitements envisagés.
Sous ces réserves, la commission considère que cette durée de conservation est conforme aux dispositions de l'article 6 (5°) de la loi du 6 janvier 1978 modifiée.
Sur les destinataires des données :
L'article 3 du projet de décret énumère les destinataires, en distinguant les personnels habilités à accéder directement aux données de ceux habilités à recevoir communication de données enregistrées dans les traitements envisagés.
S'agissant des premiers, il s'agit des magistrats instructeurs dans le cadre des procédures dont ils sont saisis, des officiers de police judiciaire de la police et de la gendarmerie nationales et des agents des douanes habilités à effectuer des missions de police judiciaire en application de l'article 28-1 du CPP.
Il est prévu que les organismes de coopération internationale en matière de police judiciaire, ainsi que les services de police étrangers, accèdent directement aux données enregistrées dans les STDC, dans les conditions prévues à l'article L. 235-1 du code de la sécurité intérieure. Toutefois, la commission estime que cet accès direct aux données enregistrées n'est pas justifié et qu'il conviendrait de prévoir ces personnels au titre des destinataires au sens du III de cet article 3. Elle prend acte de ce que le ministère modifiera le projet de décret en ce sens, cette transmission d'information n'intervenant par ailleurs qu'avec l'accord exprès du juge d'instruction mandant.
Enfin, le III de l'article 3 du projet de décret prévoit que, pour les missions qui leur sont confiées, les interprètes-traducteurs peuvent recevoir communication de données enregistrées dans les traitements projetés. La commission rappelle que ces personnels doivent être désignés conformément aux règles prévues par le CPP et que seuls les documents identifiés comme nécessitant une traduction doivent leur être communiqués.
Sous ces réserves, la commission considère que les finalités des traitements mis en œuvre justifient que les destinataires énumérés par le projet de décret puissent avoir accès aux données collectées dans le cadre de leurs missions et habilitations respectives.
Sur les droits des personnes :
Le droit d'information ne s'applique pas aux traitements projetés, conformément aux dispositions de l'article 32-VI de la loi du 6 janvier 1978 modifiée. Il en est de même du droit d'opposition prévu à l'article 38 de la même loi, ce qui n'appelle pas d'observation particulière au vu des finalités assignées aux traitements envisagés.
Les droits d'accès et de rectification s'exerceront de manière indirecte auprès de la commission, en application des articles 41 et 42 de la loi du 6 janvier 1978 modifiée. Ces modalités d'exercice des droits des personnes n'appellent pas d'observation particulière de la part de la commission.
Sur la sécurité des données et la traçabilité des actions :
A titre liminaire, la commission regrette de ne pas avoir été destinataire de l'ensemble du dossier technique élaboré dans le cadre de la mise en œuvre des traitements STDC, certains éléments n'ayant été communiqués qu'à l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Ces éléments complémentaires lui auraient permis de mieux apprécier le fonctionnement concret des dispositifs de captation envisagés et, par conséquent, de mieux apprécier les dispositions prises pour assurer la sécurité des traitements et des données, conformément aux exigences de l'article 34 de la loi du 6 janvier 1978 modifiée.
Au regard des éléments à sa disposition, la commission note cependant que la solution retenue pourra s'adapter à l'environnement applicatif des utilisateurs visés par une enquête (système d'exploitation, applications tierces, etc.). Des tests de fonctionnement seront exécutés afin de s'assurer de la correcte adaptation de l'outil à l'environnement de chaque utilisateur.
Une procédure de suppression automatique de l'outil sur les terminaux informatiques visés est prévue. L'architecture de collecte sera en outre pourvue de mesures visant à assurer la sécurité et le cloisonnement des données collectées.
L'article 4 du projet de décret prévoit enfin qu'une journalisation précise des actions sera effectuée, les traces étant conservées trois ans et des mesures visant à en assurer l'intégrité seront mises en œuvre.
La commission prend acte des différentes mesures portées à sa connaissance et rappelle que l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.