Le décret de l’article 20 de la LPM publié : on fait le point

Un décret qui sent le sapin 37
image dediée
Crédits : scyther5/iStock/Thinkstock
Loi

Surprise ! Le gouvernement a attendu le calme des fêtes de Noël pour publier le très attendu décret d’application de l’article 20 de la loi de programmation militaire. On en sait désormais plus sur comment va s’organiser la surveillance des « documents » et des « informations » que les opérateurs et les hébergeurs pourront être tenus de communiquer aux autorités d’ici au 1er janvier 2015.

Souvenez-vous, c’était il y a un peu plus d’un an (avant que le gouvernement ne vante les mérites de la concertation et de la consultation des citoyens pour élaborer par exemple son futur projet de loi numérique). Le 18 décembre 2013, François Hollande apposait sa signature sur la loi de programmation militaire, après plusieurs semaines de débats plutôt houleux, au moins en dehors des assemblées.

Les levées de boucliers concernaient principalement l’article 13 de ce texte, devenu au fil des discussions son article 20. Entrant en vigueur au 1er janvier 2015, il ouvre les vannes du droit de communication à une ribambelle d’administrations, de l’Intérieur à Bercy, en passant par la Défense. L’objectif ? Que celles-ci puissent avoir accès à tous les « documents » et aux « informations » stockés chez les hébergeurs ou transmis au travers des câbles des opérateurs télécoms, FAI, etc.

Pour cela, il suffit que les pouvoirs publics justifient de la recherche de renseignements intéressant notamment au titre de la sécurité nationale, la prévention du terrorisme, la criminalité et la délinquance organisées ou surtout de « la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France », une notion particulièrement vague. Les intermédiaires peuvent, quoi qu’il en soit, être tenus de transmettre « en temps réel » ces données recueillies sur « sollicitation du réseau » (voir notre analyse complète).

Problème : ces dispositions sont relativement imprécises, ce qui suscite de fortes craintes. Qu’entend-on notamment par « documents » et « informations » ? Cela peut comprendre des informations allant bien au-delà des traditionnelles métadonnées entourant les communications (qui envoie un email à qui, à quelle heure, etc.). Un décret d’application était dès lors attendu pour préciser le dispositif.

Comme on pouvait s’y attendre, c’est dans une période extrêmement creuse (et à quelques jours seulement de l’entrée en vigueur de ces dispositions) que le gouvernement a publié le décret organisant le chapitre de la LPM relatif à « l’accès administratif aux données de connexion ».

Le gouvernement publie enfin le décret d'application de l'article 20

Le texte, signé le 24 décembre, souligne que le « groupement interministériel de contrôle », créé en 1960 et officialisé en 2002, placé auprès du Premier ministre est le point pivot du dispositif, sur un plan technique, puisqu'il reçoit les données fournies par les opérateurs et hébergeurs.

Il fonctionne en lien direct avec la « personnalité qualifiée » chargée d’examiner puis de transmettre les demandes d’interception aux opérateurs ou aux hébergeurs, suite à la requête d’un service (section de recherches de la gendarmerie, service central du renseignement territorial...). Cette personnalité et ses adjoints seront désignés par la Commission nationale de contrôle des interceptions de sécurité sur proposition du Premier ministre – qui devra fournir une liste de plusieurs noms.

Le décret prévoit que chaque demande d’accès comporte obligatoirement :

  • « Le nom, le prénom et la qualité du demandeur ainsi que son service d'affectation et l'adresse de celui-ci ;
  • La nature précise des informations ou des documents dont le recueil est demandé et, le cas échéant, la période concernée ;
  • La date de la demande et sa motivation au regard des finalités mentionnées à l'article L. 241-2 [prévention du terrorisme, etc.] ».

L’autorisation formelle est prise « par décision écrite du Premier ministre ou des personnes spécialement désignées par lui », pour une durée maximale de 30 jours renouvelables. 

Délimitation stricte des « documents » et « informations » concernés

Au travers de ce texte d’application, on apprend surtout que les « documents » et « informations » pouvant faire l’objet d’une demande d’accès sont ceux qui sont d’ores et déjà mentionnés aux articles R10-13 et R10-14 du Code des postes et des communications électroniques, ainsi qu’à l'article 1er du décret du 25 février 2011 relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne.

Dans la pratique, ces textes visent notamment :

  • Les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication ;
  • Les données « permettant d'identifier le ou les destinataires d’une communication » électronique ;
  • Les données permettant d'identifier l'origine de la communication ;
  • L'identifiant de la connexion ;
  • Les dates et heures de début et de fin de la connexion ;
  • Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus ;
  • Les informations fournies lors de la souscription d’un contrat d’abonnement à Internet ou lors de la création d’un compte auprès d’un hébergeur : l’identifiant de la connexion utilisée pour la création du compte, les noms et prénoms, adresse postale, pseudonymes utilisés, adresse email, numéros de téléphone, « mot de passe ainsi que les données permettant de le vérifier ou de le modifier » ;
  • D’éventuelles informations relatives à un paiement : type, montant et référence du paiement, ou bien encore date et heure de la transaction.

De fait, les autorités ne pourront donc pas aller plus loin que ce que la loi leur permettait jusqu'ici. La CNIL a ainsi salué ces dispositions qui « ne permettent en aucun cas de réaliser des interceptions de contenus ou des perquisitions en ligne et visent uniquement les données mentionnées aux articles R. 10-13 et R. 10-14 CPCE et 1er du décret du 25 février 2011 susvisé, à l'exclusion de toute autre information ».

L’exécutif voulait initialement ouvrir davantage les vannes

Mais la délibération rendue par la Commission sur ce qui n’était qu’un projet de décret nous apprend que l’exécutif a bien failli retenir une toute autre version. Il était en effet prévu d’ouvrir les vannes sur les « informations ou documents, « y compris » les données limitativement prévues par le cadre juridique en vigueur [celles évoquées précédemment, ndlr] » explique la CNIL.

Or, la rédaction finalement retenue va dans le sens inverse, puisqu’elle indique que « les informations et les documents pouvant faire, à l'exclusion de tout autre, l'objet d'une demande de recueil sont ceux énumérés aux articles R. 10-13 et R. 10-14 du code des postes et des communications électroniques et à l'article 1er du décret n° 2011-219 du 25 février 2011 ».

Comme le souligne la CNIL, la première version aurait été une dangereuse porte ouverte à de nombreuses dérives : « Cette formulation pourrait être interprétée comme permettant un élargissement des données pouvant être requises par rapport à celles pouvant actuellement être demandées aux opérateurs, qui sont limitées à des "données d'identification". » L’institution craignait en particulier « une atteinte disproportionnée au respect de la vie privée ».

Soulagement de la CNIL sur l’accès en temps réel aux réseaux des opérateurs

Autre point qui suscitait de vives préoccupations : la fourniture, par les opérateurs, d’un accès en « temps réel » à ces « informations » et « documents » « recueillis sur sollicitation du réseau ». Le décret prévoit ici que cette sollicitation « est effectuée par l'opérateur qui exploite le réseau », et non pas par les autorités elles-mêmes. La CNIL estime dès lors que cette formulation « interdit toute possibilité d'aspiration massive et directe des données par les services concernés et, plus généralement, tout accès direct des agents des services de renseignement aux réseaux des opérateurs, dans la mesure où l'intervention sur les réseaux concernés est réalisée par les opérateurs de communication eux-mêmes ».

Serveurs Internet Switchs

D’un point de vue plus pratique, le décret ajoute que « les informations ou les documents demandés sont transmis, enregistrés, conservés et effacés » pour une durée maximale de trois ans et « selon des modalités assurant leur sécurité, leur intégrité et leur suivi ». Les opérateurs et hébergeurs sont surtout tenus de transmettre « sans délai » au groupement interministériel de contrôle les données réclamées, lequel les met ensuite « à disposition de l'auteur de la demande pour exploitation ».

La CNIL adresse toutefois un sérieux carton jaune s’agissant du périmètre de ces réquisitions. « Si les précisions apportées par les débats parlementaires incitaient à penser que cette disposition se limitait exclusivement à l'utilisation de la géolocalisation, le Secrétariat général de la défense et de la sécurité nationale (SGDSN) a toutefois infirmé cette position en indiquant qu'il convenait que les dispositions réglementaires ne soient pas figées dans le temps au regard des évolutions technologiques. » On devine ici que les services de renseignement lorgnent très sérieusement sur les dernières innovations, notamment en matière d'objets connectés... « Au regard des risques potentiels en matière de protection de la vie privée et de protection des données personnelles, la commission ne peut que regretter que le projet de décret ne permette pas de définir précisément et limitativement le périmètre de ce nouveau type de réquisition » conclut la CNIL.

Un contrôle des autorisations qui n'interviendra qu'a posteriori

Pour rappel, le contrôle de ces requêtes n’intervient qu’a posteriori. Chaque autorisation du Premier ministre doit en effet être communiquée dans un délai de 48 heures au président de la Commission nationale de contrôle des interceptions de sécurité (CNCIS). Le processus s’avère plutôt long, comme l’avait regretté le député Lionel Tardy lors des débats parlementaires : si le président de la CNCIS estime que la légalité d’une autorisation n'est pas certaine, il doit réunir la commission, qui dispose alors de 7 jours (à compter de la réception) pour se prononcer. Son seul pouvoir est d’adresser ensuite au Premier ministre une « recommandation » tendant à ce qu'il soit mis fin à l’interception jugée illicite.

Autrement dit, une personne pourrait potentiellement être espionnée à tort pendant 9 jours.

L’État devra rembourser les opérateurs

Le décret précise enfin que les « coûts identifiables et spécifiques » supportés par les intermédiaires mis à contribution feront « l'objet d'un remboursement par l'État ». Les modalités de cette sorte de participation aux frais seront cependant fixées ultérieurement, par arrêté ministériel.

Également consultée pour avis sur ce décret, l’ARCEP a toutefois prévenu le gouvernement que la note pourrait être élevée pour le Trésor Public. Le gendarme des télécoms souligne effectivement que cet arrêté « devra tenir compte des surcoûts liés, d'une part, à la mise en place d'un système d'information approprié pour répondre aux besoins des services de police et de gendarmerie et, d'autre part, à la mobilisation des moyens matériels et/ou humains nécessaires à la communication des informations sollicitées ».

Rappelons que les opérateurs ne sont toujours pas remboursés dans le cadre du dispositif de riposte graduée, le gouvernement n'ayant toujours pas publié ce décret manquant de loi Hadopi.

Et maintenant ?

Si le dispositif posé par ce décret est censé prendre son envol dès la semaine prochaine, il faudra au moins attendre que la personnalité qualifiée et ses adjoints soient nommés, ce qui pourrait encore prendre plusieurs semaines ou mois.

Sur un plan juridique, l’édifice pourrait toutefois être appelé à s’effondrer selon la CNIL. L’institution rappelle en effet que la Cour de justice de l'Union européenne a invalidé en avril dernier la directive 2006/24/CE sur la conservation des données (voir notre article). « Cet arrêt conduit à s'interroger sur le risque d'inconventionnalité des dispositions de la loi de programmation militaire. Au-delà de ce champ d'application spécifique, la commission relève que les données détenues par les opérateurs qui peuvent être demandées sont de plus en plus nombreuses, sont accessibles à un nombre de plus en plus important d'organismes, sur réquisitions judiciaires ou administratives ou en exécution d'un droit de communication, et ce pour des finalités très différentes » prévient ainsi l’institution, qui n'a manqué de souligner que l'exécutif n'avait pas souhaité la saisir sur cet article 20, qu'elle avait finalement ausculté après sa promulgation

Toujours coutumière des mots très policés, l’autorité administrative « appelle dès lors l'attention du gouvernement sur les risques qui en résultent pour la vie privée et la protection des données à caractère personnel et sur la nécessité d'adapter le régime juridique national en matière de conservation et d'accès aux données personnelles des utilisateurs de services de communications électroniques ».

Rappelons également que suite à la promulgation de la loi de programmation militaire, certains avaient évoqué la possibilité de soulever des questions prioritaires de constitutionnalité (QPC) sur ce texte, qui n’a pour rappel pas été soumis au contrôle du Conseil constitutionnel. La procédure est cependant un peu complexe, puisque ce n’est qu’à l’occasion d’un procès qu’une personne peut soulever une QPC, or ces interceptions ont lieu bien loin des tribunaux ordinaires.

Publiée le 26/12/2014 à 09:31
Xavier Berne

Journaliste, spécialisé dans les thématiques juridiques et politiques.

Soutenez nos journalistes

Le travail et l'indépendance de la rédaction dépendent avant tout du soutien de nos lecteurs.

Abonnez-vous
À partir de 0,99 €


chargement
Chargement des commentaires...