Centralisation des données d’interceptions judiciaires... D. n° 2014-1162, 9 oct. 2014, création PNIJ

Le 11 octobre 2014, par Geneviève Koubi,

Puisqu’il ne s’agit plus de légaliser les ’écoutes’ et que celles-ci sont devenues depuis belle lurette des ’interceptions’, restait non pas en soi à créer mais plutôt à perfectionner un traitement automatisé de données à caractère personnel ... que le décret n° 2014-1162 du 9 octobre 2014, publié au Journal officiel du 11 octobre 2014, dénomme "Plate-forme nationale des interceptions judiciaires" (art. R. 40-42 du Code de procédure pénale).

.

L’idée est de centraliser les données rassemblées à partir des interceptions de communications électroniques et les réquisitions de données de connexion généralement conservées par les opérateurs de communications électroniques, les fournisseurs d’accès à internet et les hébergeurs étant aussi concernés... - certes, précisément et exclusivement dans le cadre des enquêtes et informations judiciaires. La Commission nationale de l’informatique et des libertés, dans son avis n° 2014-009 du 16 janvier 2014, avait relevé que « les avantages attendus sont nombreux : il s’agit d’augmenter les capacités d’interception, de réduire les délais de réponse, de renforcer le niveau de sécurité, notamment l’intégrité et la confidentialité des données à caractère personnel, et de réduire les frais de justice. Ainsi, la mise en œuvre de cette plate-forme constitue, pour le ministère de la justice, l’une des mesures prioritaires de modernisation de l’action publique ».

.

Il est nécessaire d’insister sur le fait que la Plate-forme nationale des interceptions judiciaire (PNIJ) ne concerne que les réquisitions et interceptions judiciaires, c’est-à-dire celles qui sont réalisées sur le fondement du Code de procédure pénale. Ne peuvent y être glissées les données issues des interceptions intégrées aux enquêtes administratives, envisagées surtout en matière de sécurité intérieure.

Cette plate-forme est au prime abord conçue dans le but « de faciliter la constatation des infractions à la loi pénale, le rassemblement des preuves de ces infractions et la recherche de leurs auteurs ». En effet, le « traitement enregistre et met à la disposition des magistrats, des officiers et agents de police judiciaire de la gendarmerie et la police nationales chargés de les seconder ainsi que des agents des douanes et des services fiscaux habilités à effectuer des enquêtes judiciaires : /a) Le contenu des communications électroniques interceptées sur le fondement des articles 74-2, 80-4, 100 à 100-7 et 706-95 ; /b) Les données et les informations communiquées en application des articles 60-1, 60-2, 77-1-1, 77-1-2, 99-3, 99-4, 230-32, des articles R. 10-13 et R. 10-14 du code des postes et des communications électroniques et du décret n° 2011-219 du 25 février 2011. » (art. R. 40-43 CPP). Néanmoins, outre le fait que les utilisations possibles des données collectées peuvent dépasser cet objectif, la concentration de ces données au niveau national soulève un certain nombre de questions, questions auxquelles la CNIL ne répond pas clairement, ou plus justement qu’elle contourne au nom d’une modernisation indispensable des systèmes (et notamment du système de transmission d’interceptions judiciaires (STIJ) qu’il s’agit de remplacer, de compléter et de perfectionner...).

Dans son avis n° 2014-009 du 16 janvier 2014, la CNIL se présentait comme « consciente des avantages que peut apporter ce nouveau dispositif, (tout en soulignant) les risques que cette centralisation d’une masse importante de données personnelles soulève. » Elle souligne qu’elle restera « particulièrement attentive aux conditions réelles de déploiement de la plate-forme et ne manquera pas de faire usage, le cas échéant, de ses pouvoirs de contrôle ».

Cependant, afin de justifier l’avis positif (même nuancé) qu’elle rendra en final, elle constatait que « les dispositifs actuels d’interception des communications électroniques et de réquisitions de données de connexion reposent sur un système hétérogène et décentralisé qui fait appel à plusieurs prestataires privés et présente des inconvénients majeurs. En effet, les fonctions et les outils de réquisition et d’interception sont variables et coûteux, et les mesures de sécurité et de traçabilité mises en œuvre ne sont pas satisfaisantes. » Dès lors, elle s’accommode du fait que « la plate-forme permettra en effet le regroupement au sein d’un même dispositif de deux types d’actes judiciaires, réalisés sur des fondements juridiques distincts. Elle relève néanmoins que cette centralisation ne modifie en rien les cadres juridiques applicables aux réquisitions et interceptions judiciaires et relève à cet égard que la plate-forme est conçue pour cloisonner les deux types de réquisitions ».

.

Ainsi, quelques points doivent être articulés tant leur mise en application pourrait apparaître aléatoire : 1/ Le traitement peut enregistrer des données à caractère personnel "dans la seule mesure où elles sont évoquées au cours des communications électroniques ou apparaissent dans les informations communiquées" (art. R. 40-44 CPP) ; 2/ Dans la mesure où elles sont nécessaires à la poursuite des finalités prédéfinies "peuvent être conservées dans le traitement automatisé les données à caractère personnel et informations" énumérées à l’article R. 40-46 CPP ; 3/ « Les magistrats accèdent à l’ensemble des données à caractère personnel et informations enregistrées dans le traitement, pour les besoins des procédures dont ils sont saisis », et il en est de même pour les officiers et agents de police judiciaire de la gendarmerie et la police nationales comme les agents des douanes et des services fiscaux habilités à effectuer des enquêtes judiciaires (art. R. 40-47 - I et II CPP) ; 4/ « Pour l’exercice de leurs attributions, les greffiers, (...), ont accès aux données à caractère personnel et aux informations placées sous scellés enregistrées dans le traitement » (art. R. 40-47 - III CPP ) ; 5/ « Pour l’exercice des missions qui leur sont confiées, les interprètes-traducteurs accèdent (...) pour une durée limitée aux communications électroniques désignées » (art. R. 40-47 - IV CPP)... Et parce que les incertitudes de la numérisation et de la technologisation du travail s’amplifient, 6/ « les personnes auxquelles peuvent être confiées par contrat les prestations détachables des finalités judiciaires du traitement ne peuvent avoir accès aux données à caractère personnel et informations enregistrées par le traitement, sauf en cas de difficultés techniques exceptionnelles. Dans cette hypothèse, un accès ponctuel, limité à la durée nécessaire à la résolution de ces difficultés, leur est délivré, sur autorisation expresse du délégué aux interceptions judiciaires et du magistrat saisi de la procédure » (art. R. 40-47 - VIII CPP).

Car même si tous « sont soumis au secret professionnel dans les conditions et sous les peines prévues à l’article 226-13 du code pénal », le nombre de personnes ayant accès à ces données peut sembler augmenter le risque de divulgation. La CNIL ne pouvait que le signaler : « au regard de l’ampleur des données traitées, due notamment à la centralisation du dispositif et à l’augmentation sensible du nombre de réquisitions et d’interceptions judiciaires réalisées, et de la nature des actes d’enquêtes concernés, lesquels sont particulièrement intrusifs pour la vie privée des personnes concernées, la commission estime que des mesures juridiques et techniques adaptées doivent être prévues afin d’assurer un haut niveau de protection des données »...

.

RSS 2.0 | Espace privé
Visiteurs par jour (cumul) : 1226 (447584)