Après avoir entendu Mme Christine MAUGÜÉ, commissaire en son rapport, et M. Benjamin TOUZANNE, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
Le projet de décret soumis pour avis à la Commission a pour objet de modifier le décret n° 2014-1142 du 9 octobre 2014 relatif à la création de la « Plate-forme nationale des interceptions judiciaires » (PNIJ) et le code de procédure pénale. La Commission observe que l'article 230-45 du code de procédure pénale prévoit qu'un décret en Conseil d'Etat, pris après avis public et motivé de la Commission nationale de l'informatique et des libertés, détermine les missions et les modalités de fonctionnement de la plate-forme nationale des interceptions judiciaires.
La Commission relève que la PNIJ est venue remplacer le système de transmission d'interceptions judiciaires (STIJ) qui avait été autorisé par le décret n° 2007-1145 du 30 juillet 2007 et qui a cessé de fonctionner depuis le 31 mai 2018.
La PNIJ a pour objet, dans le cadre des enquêtes et informations judiciaires prévues par le CPP, de centraliser les données résultant :
- des résultats des interceptions de communications électroniques et des mesures de géolocalisation ;
- des résultats de réquisitions aux fins de transmission de données de connexion conservées par les opérateurs de communications électroniques, les fournisseurs d'accès à internet et les hébergeurs.
La Commission relève, d'une part, que les modifications envisagées visent à prendre en compte des évolutions législatives et réglementaires qui nécessitent une modification des dispositions réglementaires du code de procédure pénale (CPP) relatives à la PNIJ et qui découlent des lois n° 2016-731 du 3 juin 2016 et n° 2019-222 du 23 mars 2019 susmentionnées ainsi que du décret n° 2017-614 du 24 avril 2017 portant création de l'agence nationale des techniques d'enquêtes numériques judiciaires (ANTENJ) qui s'est substituée à la délégation aux interceptions judiciaires. A ainsi été introduit l'article 230-45 du CPP qui rend désormais obligatoire l'utilisation de la PNIJ, sauf impossibilité technique, pour la mise en œuvre de l'article 709-1-3 du CPP (recours à une mesure d'interception et/ou de géolocalisation en temps réel) et pour la transmission des réquisitions aux fins de géolocalisation dans le cadre de l'article 67 bis-2 du code des douanes. La Commission observe, d'autre part, que le projet de décret prévoit la possibilité que la PNIJ puisse être utilisée de manière facultative pour la centralisation et la conservation de données relatives aux mesures de sonorisation, et qu'il élargit la liste des destinataires pouvant accéder au traitement.
Sur les conditions générales de mise en œuvre du dispositif
En premier lieu, la Commission rappelle qu'elle avait estimé, au regard de l'ampleur des données traitées et de la nature des actes d'enquêtes concernés, que des mesures juridiques et techniques adaptées devaient être prévues afin d'assurer un haut niveau de protection des données.
A cet égard, elle rappelle que la plate-forme nationale des interceptions judiciaires est placée sous le contrôle d'une personnalité qualifiée, ce qui constitue une garantie participant à la mise en conformité du traitement avec la réglementation relative à la protection des données à caractère personnel. Elle relève que cette personnalité peut ordonner toutes les mesures nécessaires à l'exercice de son contrôle mais qu'elle n'aura pas accès aux données enregistrées dans le traitement, de même que les membres du comité qui l'assiste. La personnalité qualifiée est aussi chargée d'établir un rapport annuel qu'elle adresse au garde des sceaux, ministre de la justice. La Commission rappelle qu'elle avait pris acte de l'engagement du ministère de lui communiquer ce rapport annuel et qu'elle avait bien été destinataire de ce rapport en 2017. Elle demande à continuer à en être destinataire. Enfin, elle observe qu'il est prévu dans le projet de décret que les pouvoirs qui sont confiés à la personnalité qualifiée s'exercent sans préjudice du contrôle exercé par la Commission.
En second lieu, si la Commission relève que des données relatives à des personnes mineures pourront être enregistrées dans le traitement, elle prend acte que l'ANTENJ n'a pas accès aux données et ce, afin de garantir leur confidentialité, et ne pourra donc pas identifier les données relatives à cette catégorie de personnes afin de mettre en place des mesures particulières.
Sur le périmètre du dispositif projeté
La Commission observe qu'il ressort de l'article 230-45 du CPP que le recours à la PNIJ est désormais rendu obligatoire pour les réquisitions et demandes adressées en application des articles 60-2, 74-2, 77-1-2 ,80-4, 99-4, 100 à 100-7, 230-32 à 230-44, 706-95 et 709-1-3 du présent code ou de l'article 67 bis-2 du code des douanes, sauf impossibilité technique.
La Commission prend acte que le présent projet de décret vise par ailleurs à élargir l'utilisation de la PNIJ, de manière facultative, pour la centralisation et la conservation de données issues de mesures de sonorisation prévues aux articles 706-96 à 706-99 du CPP, ces mesures étant réservées à certains types d'infraction graves listés aux articles 706-73 et 706-73-1 du CPP.
A cet égard, s'agissant du choix de recourir à la PNIJ dans ce cadre, la Commission prend acte qu'« il est laissé, à la convenance de l'enquêteur, la possibilité de recourir aux deux prestataires extérieurs à la PNIJ subsistant […] particulièrement pour la Polynésie française où la PNIJ n'est pas encore effective ou en cas de dysfonctionnement temporaire majeur de la plateforme » et qu'« en outre, il existe des mesures de sonorisation qui ne passent pas par une carte SIM, par exemple lorsqu'un système d'écoute est posé dans une pièce puis relevé. Dès lors, une sollicitation des opérations, par l'intermédiaire de la PNIJ, n'est pas nécessaire et ces mesures peuvent dès lors être traitées hors de la PNIJ ».
Sans remettre en cause la légitimité d'un tel élargissement, la Commission estime que le périmètre du dispositif sera substantiellement étendu en permettant l'utilisation de la PNIJ pour les mesures de sonorisation. Elle prend toutefois acte que cette modification a pour objectif de sécuriser la conservation et le traitement des données relatives aux mesures de sonorisation ainsi que la traçabilité des accès, qui sont aujourd'hui effectués de manière disparate.
Sur le régime juridique applicable et les finalités du traitement
Le projet d'article R. 40-43 du CPP prévoit que, « afin de faciliter la constatation des infractions à la loi pénale et des délits douaniers, le rassemblement des preuves de ces infractions et la recherche de leurs auteurs ou d'apporter la preuve de la violation de certaines interdictions résultant d'une condamnation », la PNIJ permet de mettre les données et informations contenues dans le traitement à la disposition :
- des magistrats, des officiers et agents de police judiciaire de la gendarmerie et la police nationales chargés de les seconder ainsi que des agents des douanes et des services fiscaux habilités à effectuer des enquêtes judiciaires ;
- des agents habilités par le ministre chargé des douanes à effectuer des enquêtes douanières.
En premier lieu, le traitement « PNIJ » est notamment mis en œuvre à des fins de faciliter la constatation d'infractions en rassemblant des preuves de ces infractions et en permettant la recherche de leurs auteurs ou d'apporter la preuve de la violation de certaines interdictions résultant d'une condamnation. Il permet de transmettre aux opérateurs de communications électroniques les réquisitions d'interception et de géolocalisation ainsi que les demandes de données de connexion émises par les magistrats, les officiers et agents de police judiciaire de la gendarmerie et de la police nationales ainsi que les agents des douanes judiciaires et des services fiscaux habilités à effectuer des enquêtes judiciaires, qui peuvent être qualifiés d'autorité compétente au sens de l'article 87 de la LIL. La Commission considère qu'il relève par conséquent du champ d'application de la directive (UE) 2016/680 du 27 avril 2016 susvisée (ci-après « la directive ») et doit être examiné au regard des dispositions des articles 87 et suivants de la loi du 6 janvier 1978 modifiée.
En second lieu, s'agissant des finalités du traitement, la Commission relève que le projet de décret permet de rendre obligatoire l'utilisation de la PNIJ, conformément à l'article 230-45 du CPP, pour les réquisitions et demandes adressées en application de l'article 67 bis-2 du code des douanes, sauf impossibilité technique. La Commission prend acte que les délits douaniers visés par cette disposition sont ceux indiqués à l'article 67 bis-2 du code des douanes qui sont punis d'une peine d'emprisonnement d'une durée égale ou supérieure à trois ans.
En outre, la Commission prend acte que le projet de décret permet d'utiliser, de manière facultative, la PNIJ pour la centralisation et la conservation de données issues des mesures de sonorisation prévues par les articles 706-96 à 706-98 du CPP.
Enfin, la Commission relève qu'il ressort des précisions apportées par le ministère que si une finalité complémentaire de la PNIJ était initialement envisagée afin « de permettre d'opérer la certification des frais de justice liés aux réquisitions électroniques sur le fondement de l'article R. 225 du CPP », le ministère a finalement fait le choix de mettre en œuvre un traitement distinct à cette fin et que l'analyse d'impact relative à la protection des données (AIPD) sera mise à jour sur ce point.
La Commission estime que les finalités projetées sont déterminées, explicites et légitimes conformément à l'article 4-2° de la loi du 6 janvier 1978 modifiée.
Le traitement étant susceptible de porter sur des données mentionnées au I de l'article 6 de la loi du 6 janvier 1978 modifiée, il doit être autorisé par décret en Conseil d'Etat pris après avis motivé de la Commission conformément à l'article 32 et au II de l'article 89 de la loi du 6 janvier 1978 modifiée.
Sans remettre en cause la légitimité de la création d'un tel traitement, la Commission considère toutefois, au regard de l'ampleur du traitement et de ses conditions de mise œuvre, ainsi qu'à l'entrée en vigueur de la directive « Police-Justice » telle que transposée, que le projet de décret appelle différentes observations, en particulier sur les points suivants :
- des garanties visant à encadrer spécifiquement l'enregistrement de données dites « sensibles » doivent être mises en œuvre ;
- la durée de conservation des données de journalisation, qui n'a pas été modifiée par le projet de décret, n'apparaît pas conforme aux préconisations de la Commission ;
- les modalités d'exercice des droits des personnes concernées, notamment pour les personnes figurant dans la PNIJ au titre d'un contact avec la personne cible ou au titre d'une mise en cause à la suite de laquelle aucune poursuite ne sera engagée, ne peuvent faire l'objet d'un refus systématique et devraient être redéfinies.
Sur les données collectées
Le projet d'article R. 40-46 du CPP liste les catégories de données qui peuvent être enregistrées dans le traitement en fonction du moyen de collecte des données utilisé, à savoir :
- les communications électroniques faisant l'objet d'une interception judiciaire ;
- les communications électroniques faisant l'objet d'une mesure de géolocalisation en temps réel ;
- les données et informations communiquées en application des articles 60-2, 77-1-2, 99-4, 712-16, des articles R. 10-13 et R. 10-14 du code des postes et des communications électroniques et du décret n° 2011-219 du 25 février 2011 ;
- les données, informations et contenus de conversations obtenues à l'occasion d'une mesure de sonorisation ;
- les données de géolocalisation en temps réel obtenues à l'occasion d'une sonorisation.
Elle prend également acte de la modification du projet de décret par le ministère afin d'ajouter, au 6° de l'article R. 40-46 du CPP, une nouvelle catégorie de données collectées, celles nécessaires à l'utilisation et à la sécurité de la PNIJ pour permettre la collecte de l'identité de la personne physique détentrice des accès à la PNIJ, ainsi que ses grades, fonctions et le numéro de référentiel des identités et de l'organisation (RIO) ou le matricule fonctionnel, la désignation du service ou de la juridiction de rattachement de l'utilisateur et les coordonnées postales associées, le numéro de téléphone et de télécopie, ainsi que l'adresse de courrier électronique.
Il est aussi précisé dans cette disposition que peuvent être enregistrées les informations relatives à la reconnaissance vocale du locuteur.
En premier lieu, la Commission prend acte que le présent projet de décret ne prévoit pas de dispositif automatisé permettant de procéder à un rapprochement entre plusieurs affaires.
Elle relève, en outre, que les données à caractère personnel collectées pourront être relatives à différentes catégories de personnes, à savoir les utilisateurs de la PNIJ (enquêteurs, magistrats, etc.) et « les personnes visées par les mesures et indirectement concernées », cette dernière catégorie regroupant les personnes directement visées par la mesure (la réquisition de données de connexion ou encore l'interception) et les personnes visées qu'indirectement telles que les personnes en contact avec la personne visée à titre principal par les services enquêteurs. Elle prend acte que, si différentes catégories de personnes sont concernées par le traitement, le responsable de traitement ne sera pas en mesure de distinguer les données de ces différentes catégories de personnes puisque l'ANTENJ, pour des raisons de confidentialité, ne pourra pas accéder aux données.
En deuxième lieu, la Commission observe que le traitement peut enregistrer des données « sensibles » au sens du I de l'article 6 de la loi du 6 janvier 1978 modifiée dans la stricte mesure où cet enregistrement est nécessaire à la finalité qui lui est assignée. Ces données pourront être enregistrées dans la seule mesure où elles apparaissent dans les informations, données et contenus de communication prévus aux articles R. 40-43-1 et R. 40-43-2 du CPP. A cet égard, elle rappelle que conformément à l'article 88 de la loi du 6 janvier 1978, le traitement de telles données n'est possible qu'en cas de « nécessité absolue, sous réserve des garanties appropriées pour les droits et libertés de la personne concernée ».
D'une part, la Commission observe que des données « sensibles » relatives à différentes catégories de personnes concernées (personnes visées directement par la mesure, personnes en contact avec la personne visée et tiers notamment évoqués au cours d'une communication par exemple) pourront être collectées et conservées lorsqu'elles sont évoquées au cours des communications électroniques interceptées, lors d'une sonorisation, ou lorsqu'elles apparaissent dans les informations communiquées dans le cadre d'une mesure de géolocalisation en temps réel.
La Commission prend acte que les données « sensibles » ne pourront être enregistrées que dans le cadre de la mise en œuvre d'une mesure prise sur le fondement du CPP ou du code des douanes. Elle relève que ces données seront conservées dans la PNIJ quand bien même elles se révèleraient ne pas être utiles à la manifestation de la vérité. Elle observe, par ailleurs, que la suppression de l'ensemble des données collectées ne s'opérera qu'à l'expiration du délai de prescription de l'action publique et qu'il n'y aura pas de tri préalable sur leur pertinence. Le ministère explique en effet qu'« il ne peut pas être déterminé en amont si la donnée sera utile à l'enquête avant sa collecte et qu'il n'est pas possible en « temps réel », de « masquer » une telle information si ce n'était pas le cas ni même davantage, a posteriori, de modifier l'enregistrement ou les données, gage de leur intégrité et, par extension, de leur loyauté en tant que preuve ».
La Commission prend également acte des précisions du ministère selon lesquelles des garanties sont prévues, notamment le fait que les interceptions et la géolocalisation en temps réel sont effectuées sous l'autorité et le contrôle du magistrat pour des infractions présentant un certain niveau de gravité et pour une durée limitée, que ne sont retranscrits que les éléments utiles à la manifestation de la vérité conformément à l'article 100-5 du CPP, que les opérations d'interception et d'enregistrement font l'objet de procès-verbaux et que des mesures d'interception sont exclues pour certaines professions (les journalistes et les avocats notamment). Le ministère a également précisé que tout atteinte portée à l'intégrité des données conservées de manière chiffrée jusqu'à l'extinction de l'action publique risquerait de nuire tant à l'exercice des droits de la défense qu'au droit à un procès équitable.
Si la Commission est consciente des difficultés mentionnées ci-dessus et prend acte des garanties tant techniques que procédurales, elle rappelle toutefois qu'il reviendra au ministère de s'assurer que les données collectées sont non excessives au sens des dispositions du 3° de l'article 4 de loi du 6 janvier 1978 modifiée.
D'autre part, la Commission relève que des informations pourront être retranscrites dans des zones de champs libres, celles-ci étant susceptibles de contenir des données « sensibles ». Elle estime, par conséquent, qu'il conviendrait de pré-renseigner ces champs libres avec une information relative à la manière dont il convient de les renseigner et rappelle qu'un contrôle strict devra être assuré à ce titre, notamment afin de s'assurer que seuls les éléments utiles à la manifestation de la vérité dans le cadre de la mesure ordonnée uniquement soient effectivement renseignés. Elle rappelle en outre que, conformément à l'article 94 de la loi du 6 janvier 1978 modifiée, les données à caractère personnel fondées sur des faits doivent être distinguées, dans la mesure du possible, de celles fondées sur des appréciations personnelles.
En troisième lieu, la Commission relève que le système de reconnaissance vocale, qui n'est pas encore déployé à ce jour, ne sera pas systématiquement mis en œuvre et que les informations relatives à la reconnaissance vocale du locuteur ne seront enregistrées que lorsque cette fonctionnalité sera utilisée. Elle prend acte que ce dispositif ne pourra permettre de reconnaître une personne qu'en comparaison avec les interceptions vocales ultérieures reçues uniquement au sein d'une même affaire et qu'aucune autre base de données ne sera utilisée.
En quatrième lieu, la Commission prend acte que les dispositifs de géolocalisation en temps réel peuvent être implantés sur tout type de structure, véhicule ou objet et concerner ainsi toute personne physique en étant la cible. Elle relève en outre que les réquisitions concernant des mesures de géolocalisation ne sont pas limitées aux personnes soupçonnées d'avoir commis une infraction, mais peuvent être diligentées à l'encontre de tout individu en lien avec l'enquête et dès lors que les nécessités l'exigent.
Compte tenu de ce qui précède, la Commission appelle la vigilance du ministère sur la nécessité de prévoir des garanties pour l'enregistrement des données sensibles.
Les autres catégories de données à caractère personnel collectées n'appellent pas d'observation supplémentaire de la part de la Commission.
Sur la durée de conservation des données de journalisation
La Commission relève que le projet de décret ne modifie pas la durée de conservation des données de journalisation, qui est de cinq ans.
La Commission rappelle toutefois qu'une durée de conservation des journaux de cinq ans n'est pas conforme aux six mois préconisés par la Commission pour ce type de traitement, et qu'aucune disposition réglementaire ne justifie l'application d'une durée différente de celle habituellement préconisée par la Commission.
Par ailleurs, la Commission relève qu'il ressort des précisions apportées par le ministère qu'aucun outil de surveillance des journaux n'est déployé. Elle rappelle que la mise en œuvre d'un mécanisme proactif de contrôle automatique des traces contribue à la détection des comportements anormaux par la génération automatique d'alertes et est donc, par conséquence, nécessaire. L'absence d'un outil proactif de contrôle ne peut être de facto compensée par un allongement des durées de conservation des journaux.
Dès lors, la Commission considère au regard des éléments dont elle dispose que la durée de conservation de cinq ans est excessive et rappelle qu'elle recommande une durée de six mois. S'il était déterminé que des risques résiduels importants demeuraient malgré la mise en place d'un outil de contrôle proactif des journaux, le ministère pourrait alors envisager d'augmenter cette durée afin de couvrir le risque identifié.
Sur les droits des personnes concernées
Le projet d'article R. 40-55 du CPP précise les modalités d'exercice des droits des personnes concernées et prévoit que « les droits d'information, d'accès, de rectification, d'effacement et de limitation des données mentionnées à l'article R. 40-46 s'exercent de manière directe auprès du chef de service, directeur de l'ANTENJ, sans préjudice des dispositions du code de procédure pénale en la matière et des dispositions de l'article 111 de la loi « Informatique et Libertés » ».
40. En premier lieu, la Commission relève ainsi que les droits d'accès, de rectification, d'effacement et de limitation des données, pourront faire l'objet de restrictions en application des 2° et 3° du II et du III de l'article 107 de ladite loi.
41. Elle prend acte des précisions apportées par le ministère selon lesquelles, pour les personnes figurant dans la PNIJ au titre d'un contact avec la personne cible ou au titre d'une mise en cause à la suite de laquelle aucune poursuite ne sera engagée ainsi que pour les cas dans lesquels il ne pourra être fait application de l'article 111 de la loi du 6 janvier 1978 modifiée ou des règles du code de procédure pénale, le droit d'accès sera systématiquement refusé en raison de « difficultés pratiques et techniques » liées au cloisonnement des affaires et au chiffrement des données qui rendent impossible le requêtage par nom.
42. Sans remettre en cause les difficultés pratiques et techniques évoquées par le ministère, la Commission rappelle que les modalités d'exercice des droits doivent être appréciées au cas par cas et ne peuvent pas faire l'objet d'un refus systématique. Elle invite par conséquent le ministère à redéfinir ces modalités afin de ne pas priver les personnes concernées, par principe, de leur droit.
43. En second lieu, le projet de décret prévoit que le droit d'opposition ne s'applique pas au présent traitement, ce qui n'appelle pas d'observation.
Sur les autres conditions de mise en œuvre du traitement projeté
Sur les durées de conservation des données
44. L'article R. 40-49 du CPP tel que modifié prévoit que la durée de conservation des données et informations enregistrées dans le traitement correspond à la durée de prescription de l'action publique une fois les données placées sous scellés.
45. Les données mentionnées au 3° de l'article R. 40-46 du CPP ainsi que les informations relatives à la reconnaissance vocale du locuteur sont également placées sous scellés au sein du traitement jusqu'à l'expiration du délai de prescription de l'action publique lorsqu'elles apparaissent utiles à la manifestation de la vérité.
46. Les autres données et informations sont conservées jusqu'à la clôture des investigations en matière de communications électroniques.
47. La Commission considère que la durée de conservation des données apparaît proportionnée au regard des finalités assignées au traitement.
Sur les accédants et les destinataires
48. En premier lieu, la nouvelle rédaction de l'article R. 40-47 du CPP modifie la liste des accédants à la PNIJ ainsi que les accès de certains destinataires déjà existants.
49. De manière générale, la Commission prend acte que, les affaires étant cloisonnées dans la PNIJ, les accédants au traitement ne peuvent pas avoir accès à l'ensemble des données qui y sont enregistrées puisqu'ils ne peuvent accéder qu'aux affaires pour lesquelles ils sont inscrits comme titulaire ou co-titulaire. En outre, les données composant les réponses aux réquisitions sont mises à disposition uniquement des utilisateurs titulaires du droit d'accès à l'affaire.
A cet égard, elle appelle l'attention du ministère, au regard de la grande sensibilité des données pouvant être enregistrées dans le traitement, sur la nécessité de gérer avec la plus grande vigilance les habilitations des personnels concernés, afin de limiter au strict nécessaire les personnes qui pourront avoir directement accès aux données.
Plus particulièrement, la Commission relève que le projet de décret prévoit que les agents de police judiciaire, qui ne disposent que d'un droit de consultation, pourront désormais utiliser la PNIJ afin de transmettre des réquisitions aux opérateurs de communications électroniques, conformément à ce qui est prévu par l'article 47 de la loi n° 2019-222 précitée.
Les agents des douanes habilités à effectuer des enquêtes douanières pour les besoins des missions visées à l'article 67 bis-2 du code des douanes ont également été ajoutés à la liste des accédants au traitement en application de l'article 230-45 du CPP.
Elle prend acte que d'autres modifications ont été introduites dans le projet de décret à l'initiative du ministère afin de prendre en compte des « besoins métier » :
- les « assistants spécialisés » ont été ajoutés à la liste des accédants au traitement afin de leur permettre, par l'intermédiaire de la plate-forme, de mettre en œuvre leur pouvoir de réquisition aux opérateurs de communications électroniques. En effet, il ressort de la loi n° 2019-222 précitée qu'ils peuvent recevoir délégation de signature pour les réquisitions prévues par les articles 60-1, 60-2, 77-1-1, 77-2-1, 99-3 et 99-4 du CPP. Elle prend acte que les juristes assistants, au sens du décret n° 2017-1618 du 28 novembre 2017, ainsi que les assistants de justice ne font pas partie de cette catégorie et ne pourront pas être accédants ou destinataires des données à caractère personnel enregistrées dans la PNIJ ;
- l'accès des greffiers, qui était déjà prévu par le CPP, a été étendu à l'ensemble des données contenues dans le traitement qui se rapportent aux procédures dont ils ont à connaître dans la mesure où leur mission, notamment au stade de l'instruction, ne se limite pas aux scellés ;
- un accès est prévu pour les enquêteurs d'un Etat requérant, dans le cadre de l'exécution d'une décision d'enquête européenne ou d'une demande formulée au titre de l'article 18 de la convention du 29 mai 2000 précitée, afin de faciliter l'exploitation des résultats de ces interceptions.
La Commission prend acte que pour certaines catégories de personnes, notamment les enquêteurs d'un Etat requérant ou encore un accès à titre exceptionnel, une autorisation du magistrat saisi de la procédure ou du directeur de l'ANTENJ sera nécessaire. Elle prend également acte que, pour les interprètes-traducteurs ainsi que pour les enquêteurs d'un Etat requérant, cet accès se fera par la mise à disposition d'ordinateurs portables sécurisés permettant un accès à des interceptions contenues dans la PNIJ préalablement sélectionnées par le titulaire ou le co-titulaire de l'affaire concernée.
En second lieu, la Commission relève que, dans le cadre des demandes d'interception de communications formulées au titre de l'article 18 de la convention du 29 mai 2000 précitée, des transferts de données hors de l'Union européenne pourraient être réalisés avec l'Islande ainsi que la Norvège. Elle observe en outre que le Royaume-Uni ne fait désormais plus partie de l'Union européenne mais bénéficie du cadre de la décision d'enquête européenne à titre provisoire.
A cet égard, elle rappelle que les transferts de données vers des Etats n'appartenant pas à l'Union européenne ne pourront être opérés que sous réserve du respect des conditions énoncées à l'article 112 de la loi du 6 janvier 1978 modifiée. Le cas échéant, il conviendra notamment que des garanties appropriées en matière de protection des données à caractère personnel soient fournies par un instrument juridiquement contraignant. En l'absence de décision d'adéquation adoptée par la Commission européenne ou de garanties appropriées, et par dérogation à l'article 112 précité, de tels transferts ne pourront alors être réalisés que sous réserve de respecter les conditions énoncées à l'article 113 de la loi du 6 janvier 1978 modifiée.
Sous réserve de ce qui précède, la Commission considère que la consultation des données par les personnes mentionnées dans les nouveaux articles apparaît justifiée et proportionnée.
Sur le droit à l'information des personnes visées par les mesures et indirectement concernées ainsi que des utilisateurs de la PNIJ
S'agissant de l'information des personnes concernées, la Commission considère que la rédaction du projet de décret relative au droit à l'information est ambigüe et mériterait d'être précisée dans la mesure où, conformément à l'article 104-I de la loi du 6 janvier 1978 modifiée, il incombe au responsable de traitement de mettre à la disposition de la personne concernée les informations listées et non à la personne de demander communication de ces informations. Elle prend acte de l'engagement du ministère de modifier la rédaction du projet de décret en conséquence.
La Commission prend acte que le droit à l'information sera différencié en fonction des catégories de personnes concernées, selon que ces personnes soient utilisateurs de la plate-forme ou bien des personnes visées directement ou indirectement par les mesures listées au projet d'article R. 40-46 du CPP.
S'agissant des utilisateurs de la PNIJ, elle observe qu'il est ainsi prévu trois modalités pour le droit à l'information : des précisions apportées dans le guide des utilisateurs, une évolution de la page d'accueil relative à la PNIJ afin que l'information soit disponible facilement et une information sur la page intranet du ministère de la justice.
Pour les personnes visées par les mesures et indirectement concernées, elle relève que le droit à l'information peut faire l'objet de restrictions en application de l'article 107-II-1° de la loi du 6 janvier 1978 modifiée afin d'éviter de gêner des enquêtes, des recherches ou des procédures judiciaires, de nuire à la prévention ou à la détection d'infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l'exécution de sanctions pénales et de protéger la sécurité publique. Elle prend acte que les informations seront publiées sur le site internet du ministère de la justice.
Sur les mesures de sécurité
L'accès au traitement PNIJ s'effectue au travers une interface WEB et de différentes façons en fonction de l'utilisateur :
- pour les utilisateurs habilités appartenant à un des ministères ayant accès au traitement, l'utilisation de la carte agent est obligatoire afin de s'authentifier sur l'application et d'y avoir accès ;
- pour les administrateurs de la PNIJ, l'accès au traitement se fait à l'aide de postes dédiés basés sur le système d'exploitation sécurisé CLIP, fourni par l'ANSSI, qualifiés diffusion restreinte et mettant en œuvre des mécanismes cryptographiques afin de sécuriser les données ;
- pour les interprètes-traducteurs, en charge de la traduction d'éléments collectés, l'accès se réalise à l'aide de postes CLIP sensiblement identiques à ceux utilisés par le sous-traitant choisi par le ministère de la justice.
Sur les conditions d'accès au traitement, la Commission relève que, globalement, le niveau de sécurité apporté est adéquat et que les faiblesses potentielles sont identifiées et en cours de traitement.
La Commission tient tout de même à souligner qu'il est important que tous les accès soient redondés, quelle que soit la population d'utilisateurs concernés.
La Commission rappelle, dans le cas où les agents ou administrateurs aient à s'authentifier à l'aide d'un couple identifiant et mot de passe, qu'elle a élaboré dans sa délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe ainsi que dans sa délibération n° 2017-190 du 22 juin 2017 portant modification de la recommandation relative aux mots de passe, plusieurs recommandations relatives à l'utilisation de cette technique d'authentification. Elle invite dès lors le ministère à en prendre connaissance et à procéder aux éventuelles modifications nécessaires afin de mettre sa politique de mots de passe en conformité avec les recommandations de la Commission.
Ainsi, la Commission préconise que les systèmes intègrent une fonction de demande de renouvellement automatique de mots de passe quelle que soit la population concernée.
De même, la Commission recommande de supprimer, autant qu'il est techniquement possible, le recours à l'utilisation de comptes génériques.
En outre, la Commission encourage à une déconnexion automatique des comptes, tant utilisateurs que super-utilisateurs, après une période d'inactivité dont la durée ne doit pas être excessive en fonction du contexte.
Enfin, s'agissant des accès logiques, la Commission recommande, afin de limiter la surface d'attaque, de supprimer toute partie applicative existante n'ayant pas d'utilité au sein de l'application finale, notamment s'agissant des parties relatives à des portails d'accès.
La Commission prend acte des mesures de chiffrement mises en œuvre au niveau des flux, ainsi que la gestion de ces derniers, et n'a pas de remarques particulières à formuler à ce sujet.
La Commission recommande, sur la gestion des traces et journaux techniques, de mettre en œuvre une durée de conservation ne dépassant pas six mois, sauf à être en mesure de prouver que certains risques ne peuvent être couverts que par une extension de cette durée, et de mettre en œuvre, en vue d'être en mesure d'assurer l'intégrité et la disponibilité de ces derniers, un système de centralisation des traces. La Commission rappelle qu'une surveillance proactive des journaux techniques est nécessaire et que l'absence d'outils ne peut justifier une prolongation de la durée de conservation de ces journaux.