Après en avoir délibéré le 14 janvier 2016,
Formule l'avis suivant :
L'ARCEP a été saisie pour avis, les 30 novembre 2015 et 6 janvier 2016, d'un projet de décret relatif aux techniques de recueil de renseignement. Ce projet de décret vise principalement à définir les modalités de mise en œuvre de l'accès administratif aux données de connexion, en adaptant certaines dispositions existantes du code de la sécurité intérieure, du code pénal et du code de justice administrative pour tirer les conséquences de la loi n° 2015-912 du 24 juillet 2015 relative au renseignement.
A l'instar de l'avis du 5 mars 2015 susvisé rendu sur le projet relatif au renseignement, l'ARCEP se concentrera dans le présent avis, conformément aux missions qui lui sont dévolues (1), sur les aspects du projet de décret qui pourraient avoir un impact, d'une part, sur le bon fonctionnement des réseaux et des services de communications électroniques et, d'autre part, sur la sécurité juridique dont doivent bénéficier les opérateurs dans la mise en œuvre de leurs obligations légales.
L'article L. 851-1 du CSI dispose :
« Dans les conditions prévues au chapitre Ier du titre II du présent livre, peut être autorisé le recueil, auprès des opérateurs de communications électroniques et des personnes mentionnées à l'article L. 34-1 du code des postes et des communications électroniques ainsi que des personnes mentionnées aux 1 et 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, des informations ou documents traités ou conservés par leurs réseaux ou services de communications électroniques, y compris les données techniques relatives à l'identification des numéros d'abonnement ou de connexion à des services de communications électroniques, au recensement de l'ensemble des numéros d'abonnement ou de connexion d'une personne désignée, à la localisation des équipements terminaux utilisés ainsi qu'aux communications d'un abonné portant sur la liste des numéros appelés et appelants, la durée et la date des communications. »
Au-delà de la possibilité pour les services habilités de recueillir les données de connexion que les opérateurs, les hébergeurs et les fournisseurs de services de communications au public en ligne sont tenus de conserver et de transmettre en application de ces dispositions, les dispositions législatives issues de la loi relative au renseignement ont introduit de nouvelles techniques reposant notamment sur l'accès en temps réel aux données :
- pour les seuls besoins de la prévention du terrorisme, le recueil en temps réel, sur les réseaux des opérateurs, fournisseurs de services de communication au public en ligne et hébergeurs, des informations ou documents mentionnés à l'article L. 851-1 relatifs à une personne préalablement identifiée comme présentant une menace (article L. 851-2) ;
- pour les seuls besoins de la prévention du terrorisme, la mise en œuvre sur les réseaux de ces mêmes personnes de traitements automatisés destinés, en fonction de paramètres précisés dans l'autorisation, à détecter des connexions susceptibles de révéler une menace terroriste (article L. 851-3), en utilisant les informations ou documents mentionnés à l'article L. 851-1 ;
- les données techniques relatives à la localisation des équipements terminaux utilisés, qui peuvent être recueillies sur sollicitation du réseau et transmises en temps réel par les opérateurs à un service du Premier ministre (article L. 851-4) ;
- l'utilisation d'un dispositif technique permettant la localisation en temps réel d'une personne, d'un véhicule ou d'un objet (article L. 851-5) ;
- le recueil, au moyen d'un appareil ou d'un dispositif technique de captation à distance, des données techniques de connexion permettant l'identification d'un équipement terminal ou du numéro d'abonnement de son utilisateur ainsi que les données relatives à la localisation des équipements terminaux utilisés (article L. 851-6).
L'article 2 du projet de décret vise à définir, à l'article R. 851-5 du CSI, les catégories d'informations ou de documents susceptibles d'être recueillis par les services habilités :
« 1° Ceux énumérés aux articles R. 10-13 et R. 10-14 du code des postes et des communications électroniques et à l'article 1er du décret n° 2011-219 du 25 février 2011 modifié relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne ;
2° Les données permettant de localiser les équipements terminaux ;
3° Les données relatives à l'accès des équipements terminaux aux réseaux ou aux services en ligne ;
4° Les données relatives à l'acheminement des communications électroniques par les réseaux ;
5° Les données relatives à l'identification et à l'authentification d'un utilisateur, d'une connexion, d'un réseau ou d'un service en ligne ;
6° Les caractéristiques techniques des équipements terminaux et les données de configuration de leurs logiciels. »
Le projet de décret précise que « [les] informations énumérées aux 2° à 6° ne peuvent être recueillies qu'en application des articles L. 851-2 à L. 851-6, dans les conditions et limites prévues par ces articles ».
En outre, l'ensemble des techniques de recueil de renseignement mentionnées dans le projet de décret est soumis au contrôle préalable de la Commission nationale de contrôle des techniques de renseignement.
S'agissant des données de connexion que les opérateurs, les hébergeurs et les fournisseurs de services de communications au public en ligne ont l'obligation de conserver et de transmettre aux services habilités conformément à l'article L. 851-1 du CSI, le projet de décret n'apporte pas d'évolution par rapport aux dispositions en vigueur (2).
En revanche, s'agissant des nouvelles techniques de renseignement prévues aux articles L. 851-2 à L. 851-6 du CSI, il ressort du projet de décret que les services habilités pourront recueillir, dans les conditions et pour les finalités prévues par ces dispositions, tant les données conservées par les opérateurs, hébergeurs et fournisseurs de services de communications au public en ligne au titre des dispositions en vigueur que d'autres catégories d'informations et documents.
En premier lieu, il convient de rappeler que les opérateurs, qui sont tenus de veiller au respect du secret des correspondances (article L. 32-3 du CPCE), ne peuvent, conformément aux dispositions du VI de l'article L. 34-1 du CPCE, conserver et traiter que des données « [portant] exclusivement sur l'identification des personnes utilisatrices des services fournis par les opérateurs, sur les caractéristiques techniques des communications assurées par ces derniers et sur la localisation des équipements terminaux. Elles ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit, dans le cadre de ces communications ».
A cet égard est prévue au nouvel article R. 851-5 du CSI une mention excluant explicitement le « contenu des correspondances échangées ou des informations consultées » des données susceptibles d'être exigées des acteurs concernés, y compris les opérateurs de communications électroniques, au titre de l'article L. 851-1 du CSI.
Néanmoins, l'ARCEP relève qu'au regard de la rédaction du projet de décret il pourrait être délicat, pour les opérateurs de communications électroniques, de déterminer de manière suffisamment certaine, parmi les catégories d'informations ou de documents définies au nouvel article R. 851-5 du CSI (3° de l'article 2 du projet de décret), celles qui sont couvertes par le secret des correspondances ou portent sur des informations consultées au sens de l'article L. 34-1 du CPCE. Afin de lever les incertitudes, l'ARCEP estime qu'il serait souhaitable que le projet de décret distingue, parmi les catégories d'informations ou de documents mentionnées au nouvel article R. 851-5, celles qui peuvent être recueillies auprès de chacune des trois catégories d'acteurs concernés. De même, l'ARCEP invite le Gouvernement à définir précisément la nature des informations ou documents en cause.
En deuxième lieu, l'ARCEP souligne que les évolutions du dispositif actuellement en place, pour l'extraction de nouvelles données de connexion et la transmission en temps réel des données demandées au groupement interministériel de contrôle, peuvent impliquer, notamment pour les opérateurs de communications électroniques, d'une part, le développement d'outils appropriés pour répondre aux besoins des services habilités et, d'autre part la mobilisation des moyens matériels et/ou humains nécessaires à la communication des informations sollicitées.
A cet égard, l'ARCEP relève que le projet de décret prévoit une entrée en vigueur immédiate de l'ensemble de ses dispositions. L'ARCEP invite par conséquent le Gouvernement à définir des modalités d'entrée en vigueur de ces dispositions qui, tout en demeurant compatibles avec les impératifs liés à l'activité des services habilités, tiennent compte des délais éventuellement nécessaires à cette mise en œuvre par les acteurs concernés.
Par ailleurs, si le projet de décret (article 4) prévoit une indemnisation de la part de l'Etat pour les coûts supportés par les opérateurs selon des modalités qui seront définies par arrêté, l'ARCEP relève que les opérateurs rencontrent parfois, avec certaines autorités administratives, des difficultés dans le paiement des sommes correspondantes. A cet égard, l'ARCEP invite le Gouvernement à veiller à l'indemnisation rapide et homogène des surcoûts exposés par les opérateurs.
En troisième lieu, l'ARCEP tient à rappeler que les opérateurs sont tenus d'assurer, sous le contrôle de l'ARCEP, le bon fonctionnement des réseaux et services de communications électroniques. Bien que les dispositions du projet de décret ne semblent a priori pas de nature à affecter la disponibilité ou la qualité de services des réseaux, les opérateurs devront informer l'ARCEP de toute perturbation significative liée à leur mise en œuvre.
L'ARCEP n'a pas d'observation particulière à formuler sur les autres dispositions du projet de décret.
Le présent avis sera transmis au secrétaire général de la défense et de la sécurité nationale et sera publié au Journal officiel de la République française.