Le volet cyber des nouveaux textes sécuritaires

2016>2015>2014>2013 32
image dediée
Crédits : iStock
Loi ANALYSE

Le début d’année 2016 est marqué par une nouvelle vague de textes sécuritaires. Next INpact vous propose un panorama de ces dispositions, en retenant particulièrement celles touchant à l’univers des nouvelles technologies.

[Prenez votre respiration :] Après la loi de programmation militaire en 2013, la loi contre le terrorisme en 2014, la loi sur le renseignement, la loi sur la surveillance des communications électroniques internationales, la loi sur l’état d’urgence en 2015, voilà donc le projet de loi prolongeant l’état d’urgence, sans oublier celui « renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale », la proposition de loi tendant à renforcer l'efficacité de la lutte antiterroriste, fraichement adoptée au Sénat et le très prochain projet de loi portant modification de la loi de 1955 sur l’état d’urgence. Passons au tamis ces différents textes.

L’état d’urgence prolongé

Commençons par le projet de loi prolongeant l’état d’urgence, déposé hier au Sénat, adopté le même jour en Commission des lois. Il ne comporte qu’un article. Il vise donc à proroger l’état d’urgence de 3 mois à compter du 26 février, mais également à autoriser sur toute la période, des perquisitions (notamment informatique) et le blocage d’accès aux sites provoquant à la commission d’actes de terrorismes ou en faisant l’apologie.

Selon le ministère de l’Intérieur, « dans le contexte de menace élevée et dans l'attente d'un renforcement durable et proportionné des moyens à la disposition des institutions », cette prorogation visera « à permettre à l'autorité administrative de continuer à assurer la sécurité du territoire par un contrôle et des mesures appropriées à l'encontre des personnes à l'égard desquelles il existe des raisons sérieuses de penser qu'elles constituent une menace pour la sécurité et l'ordre publics ».

Pour lui, pas de doute : le danger terroriste est toujours imminent, même si, au regard des derniers chiffres publiés par ses soins, seules 5 procédures de terrorisme ont été initiées suite aux 3 289 perquisitions administratives décidées depuis les attentats du Bataclan. Soit une moyenne de 657,8 perquisitions pour 1 procédure (dont on ne connaît pas encore le sort final). L'Intérieur, qui n'a eu de cesse de pratiquer la politique du chiffre, indique désormais que « l'efficacité des mesures prises dans le cadre de l'état d'urgence ne saurait toutefois se résumer à un bilan chiffré ni aux seules suites judiciaires qui y sont réservées, en ce que le recours à ces mesures pose les bases d'une lutte plus efficace contre le terrorisme et la radicalité ».

L’avant-projet de loi modifiant à nouveau la loi de 1955 sur l’état d’urgence

Ce texte est en principe programmé pour l’après-modification de la Constitution souhaitée par François Hollande. Comme la loi du 13 novembre 2015, votée après les attentats du Bataclan, il vient modifier la loi de 1955 sur l’état d’urgence. Si la première a autorisé les perquisitions informatiques, ce futur dispositif veut autoriser les saisies de ces mêmes données et matériels, toujours dans un cadre administratif sans intervention du juge.

Tel qu'analysé, ces perquisitions et saisies pourront viser toute personne « à l'égard de laquelle il existe des raisons sérieuses de penser que son comportement constitue une menace pour la sécurité et l'ordre publics ». La saisie sera en elle-même autorisée si l’autorité administrative a « des raisons sérieuses de penser qu’[elle] est nécessaire à la prévention des menaces pour la sécurité ou l’ordre publics » et si elle démontre que « l’exploitation d’un système informatique ou d’un équipement terminal présent sur les lieux où se déroule la perquisition » n’a pu être réalisé dans les temps de la perquisition. Ce qui sera toujours le cas face à un stockage de plusieurs gigas de données…

Les agents auront 15 jours pour fouiller tablettes, PC, disques durs externes, clefs USB, smartphones. Le texte ne dit rien du sort des éléments saisis ou copiés à cette occasion, pas plus des retranscriptions ou les délais de conservation, qui sont donc illimités (voir à ce titre cette réponse de Philippe Bas à notre question sur Twitter).

Sénat
Le Sénat, crédits : Marc Rees (licence: CC by SA 3.0)

La proposition de loi des sénateurs Républicains et UDI

Au Sénat, encore, a été adoptée la proposition de loi signée Philippe Bas (LR), président de la commission des lois, François Zocchetto et Michel Mercier (UDI-UC). Tendant à renforcer l'efficacité de la lutte antiterroriste, elle n’a que peu de chances d’être adoptée par l’Assemblée nationale. Elle ne constitue pas moins un bouillon de culture, les élus de l’opposition ne voulant pas se laisser coiffer par les socialistes dans ce concours Lépine des textes sécuritaires. D’ailleurs, ces derniers n’ont pas hésité à plonger leur doigt dans ce pot de confiture pour sucrer davantage leurs propres textes, comme on le verra plus bas.

Mais que trouve-t-on dans cette « PPL » ? On pourra revenir plus en profondeur sur notre actualité, mais retenons :

Faciliter l’accès aux données informatiques lors des perquisitions

Depuis la loi contre le terrorisme de novembre 2014, lors d’une perquisition, les officiers de police judiciaire peuvent se voir autoriser à accéder aux données stockées ou accessibles depuis le système informatique qui y est implanté. Ils peuvent à cet effet requérir toute personne susceptible « d'avoir connaissance des mesures appliquées pour protéger les données auxquelles il est permis d'accéder dans le cadre de la perquisition » ou « de leur remettre les informations permettant d'accéder aux données ». La PPL porte à 45 000 euros le fait de s’abstenir de répondre dans les meilleurs délais à leurs demandes, contre 3 750 euros aujourd’hui.

Un article 4 permet quant à lui de faciliter grandement les interceptions judiciaires. Il fait sauter l’autorisation du premier ministre normalement exigée pour développer, utiliser, diffuser des outils techniques développés pour casser le secret des correspondances. Le juge pourra faire ainsi appel à des experts ou au centre technique d’assistance (CTA) afin de concevoir ces mouchards informatiques.

Autoriser la saisie des emails stockés

En principe, les interceptions de sécurité (les « écoutes » téléphoniques, mais également des échanges électroniques) ne peuvent porter que sur le flux des correspondances. La PPL veut autoriser désormais les officiers et agents de police judiciaire « à accéder, en tous lieux, aux correspondances numériques émises ou reçues » depuis une adresse ciblée. Outre les échanges dynamiques, l’interception ciblera donc le stock des correspondances.

Autoriser les IMSI catcher judiciaires

Dans le cadre d’une enquête de flagrance concernant la criminalité organisée, l’article 5 autorise le parquet à installer des fausses antennes relais (ou IMSI catchers) afin de recueillir les données techniques de connexion pour identifier un terminal, un numéro d’abonnement et géolocaliser les appareils.

Mieux : comme dans l’univers du renseignement, ces IMSI catchers pourront également être déployés pour faire de l’interception de correspondances. Simplement, le formalisme procédural sera alors plus lourd, puisque la violation de la vie privée est plus profonde, du moins pour les personnes concernées.

Micros et caméras espions

Toujours sur autorisation du juge judiciaire, à la demande du procureur, les OPJ et les agents pourront installer en douce des micros et caméras espions dans des lieux, véhicules privés ou publics. À cette fin, procureur, juge d’instruction ou OPJ pourra « requérir tout agent qualifié d'un service, d'une unité ou d'un organisme placé sous l'autorité ou la tutelle du ministre de l'Intérieur ». Ces personnes seront autorisées à s’introduire dans ces espaces, même de nuit.

Ce dispositif ne concerne cependant « que » les enquêtes de flagrance et les enquêtes préliminaires en matière de lutte contre la criminalité organisée. La PPL démultiplie néanmoins l’intervention du procureur dans ces opérations, par exemple pour dresser le procès-verbal de chaque étape.

Délit de consultation des sites terroristes

Le texte de l’opposition compte introduire dans notre droit le délit de consultation habituelle de sites terroristes, ou plus exactement « mettant à disposition des messages, images ou représentations soit provoquant directement à la commission d’actes de terrorisme, soit faisant l’apologie de ces actes ».

Il est certes prévu une exception pour les journalistes, la recherche scientifique ou lorsqu’il s’agit de glaner des preuves en justice, mais pour les autres curieux, le seul fait de lire un peu trop souvent ces contenus odieux sera condamné de deux ans d’emprisonnement et 30 000 euros d’amende. Rien n’est dit sur les modalités pratiques de cette répression, spécialement comment seront jaugés les flux de visiteurs pour déceler ce critère de l’habitude.

L’entrave au blocage des sites

Le seul fait d’entraver les mesures de blocage, par exemple en reproduisant les données du site en cause, sera puni de cinq ans d’emprisonnement et de 75 000 euros d’amende. Cette sanction tombera également lorsqu’un individu reproduira dans un tweet ces mêmes données, s’il est toutefois démontré qu’elle avait pour volonté d’entraver le blocage.

assemblée cazeneuve
Crédits : Assemblée nationale

Le nouveau projet de loi renforçant la lutte contre le terrorisme

Ce projet de loi déposé également cette semaine au Sénat par le Gouvernement, veut renforcer la lutte contre le crime organisé, le terrorisme et leur financement, tout en « améliorant l’efficacité et les garanties de la procédure pénale ». Puisqu’on est ici face à un projet de loi, son avenir est nettement plus assuré qu’une simple proposition parlementaire venant de l’opposition sénatoriale. Le texte contient de nombreuses mesures touchant au secteur des nouvelles technologies.

Les IMSI Catcher judiciaires, là encore

L’article 2 du projet de loi reprend l’idée de la proposition de loi de Philippe Bas, à savoir autoriser le recours à l’ISMI catcher pour la criminalité et la délinquance organisées, afin de glaner les données de connexion passant sous ses radars.

Comme dans la PPL, cet usage sera possible pour une durée d’un mois, renouvelable autant de fois que nécessaire. Le projet de loi du gouvernement apporte cependant une nuance : il veut aussi permettre au seul procureur de la République d’autoriser seul ces grandes oreilles électroniques « en cas d’urgence ». Dans une telle hypothèse, son autorisation devra simplement être confirmée par le juge des libertés et de la détention dans le délai de 24 heures « à défaut de quoi il est mis fin à l’opération ».

Sonorisation et captation dans les lieux privés, là encore

Là encore, l’inspiration de l’exécutif est commune à celle des sénateurs de l’opposition. Selon l’étude d’impact, l’article 3 permet « avec l’autorisation du juge des libertés et de la détention, la sonorisation, la fixation d’images et la captation de données en enquête de flagrance ou préliminaire, pour une durée d’un mois renouvelable une fois, soit pour une durée beaucoup plus réduite que celle désormais fixée pour l’instruction, de quatre mois renouvelable jusqu’à deux ans ».

Bien entendu, selon le projet de loi, « aucune séquence relative à la vie privée étrangère aux infractions visées dans les décisions autorisant la mesure ne [pourra] être conservée dans le dossier de la procédure ». Ces faits privés seront donc connus des agents, mais devront être gommés du dossier...

Le même article autorise tout autant l’interception des mails déjà archivés, « stockés dans un système informatique » qu’il soit local ou distant.

Coups d’achat notamment sur Internet

À l’article 8, le projet de loi facilite la technique dite du coup d’achat à l’instar de ce qui existe déjà pour le trafic de stupéfiants. Un enquêteur va pouvoir acheter des armes, dans le cadre d’un possible trafic portant sur ces biens, pourquoi pas sur Internet. Ces opérations lui permettront de constater une infraction et tenter d’identifier les auteurs et les complices (voir également l’article 10, pour les Douanes).

Extension des compétences des tribunaux français pour les infractions sur Internet

L’article 11 prend pour racine le rapport du procureur général Marc Robert sur la cybercriminalité. Il étend la compétence pénale des juridictions française dès lors qu’une infraction est commise à l’encontre d’un Français ou d’une entreprise ayant son siège dans le pays (voir notre actualité).

Tout crime ou délit réalisé sur Internet sera réputé réalisé en France s’il vise une personne physique résidant en France ou une personne morale qui y a son siège. Cela ne vaudra que pour les infractions punies d’une peine de prison, et donc pour la contrefaçon.

Contre le piratage informatique commis en bande organisée

Le projet de loi autorise au même article 11, le recours aux moyens de procédure exceptionnels à l’encontre du piratage informatique commis en bande organisée : surveillance portée à tout le territoire national, infiltration, enquête sous pseudonyme, (mais pas de garde à vue pendant 96 heures).

Fouille des bagages... et des fichiers sur les PC qui s'y trouvent ?

Par ailleurs, l’article 17 étend les pouvoirs des forces de l’ordre. Lors d’un contrôle d’identité ou d’une « visite » de voiture, ils pourront également procéder à l’inspection visuelle, mais aussi à la fouille de bagages.

Une question s’impose : est-ce que la fouille des bagages pourra être étendue aux fichiers stockés par exemple dans un ordinateur portable, trouvé dans le coffre d’un véhicule ou le sac d’un piéton ?

Questionné, Me Éric Morain, pénaliste, nous explique qu’ « en matière douanière le portable est considéré comme une marchandise et peut à ce titre être fouillé par les douanes. L'assimiler à un bagage pour vérifier qu'il n'est pas dangereux en soi par un contrôle visuel extérieur, oui. Autoriser sa fouille me paraîtrait toutefois exagéré dans le cadre d'un simple contrôle d'identité ».

Même analyse de Nicolas Hervieu, juriste en droit public et droit européen des droits de l’Homme : « En l'état actuel de cet article 17, interpréter la notion de "bagage" de façon extensive pour permettre l'accès aux données stockées dans un ordinateur serait plus que risqué d'un point de vue juridique. En effet, le droit français actuel prévoit globalement des régimes distincts pour la fouille ou saisie de biens matériels, d'une part, et la consultation de données numériques, d'autre part (voir par exemple l'article 11 I de la loi du 3 avril 1955 relative à l'état d'urgence). Or, sur le fondement de l'article 8 de la Convention européenne, la Cour européenne exige que toute ingérence dans la vie privée - telle une consultation de données - soit prévue par une législation claire, précise et prévisible. Par conséquent, une "fouille numérique" fondée sur un texte prévu prioritairement pour les fouilles de bagages "physiques" serait très fragile juridiquement ».

Des comportements et des fichiers

Autre grande nouveauté, avec l’article 18 du PJL, les forces de l’ordre qui vérifient une identité, pourront retenir durant 4 heures, une personne sur place ou dans les locaux de la police. Il suffira qu’il « existe des raisons sérieuses de penser que son comportement est lié à des activités à caractère terroriste » ou bien « qu’elle est en relation directe et non fortuite avec une personne ayant un tel comportement ». Une disposition applicable aux mineurs.

Pendant ces 4 heures de retenue, sans avocat, un OPJ aura le droit de consulter les fichiers « qui intéressent la sûreté de l’État, la défense ou la sécurité publique » ou « qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté ». Soit l’ensemble des fichiers sécuritaires. On devine sans mal les suites douloureuses, si son nom venait à transparaitre d’une manière ou d’une autre dans ces fiches secrètes…

Interception de communication (écoutes)

Suite à un arrêt de la CEDH, l’exécutif veut mettre à jour le droit des interceptions judiciaires. L’article 25 « renforce les garanties applicables au cours de l’instruction en matière d’interceptions de communication, en exigeant des décisions motivées » de la part du juge. Surtout cet article limite dans le temps ces écoutes : la durée maximale pour une ligne déterminée sera d’un an, voire deux ans pour la délinquance et la criminalité organisées. Pour les professions sensibles (avocat, parlementaire ou magistrat), des garanties procédurales supplémentaires sont apportées.

Des caméras piétons au veston

Expérimentées depuis l’automne 2012, ces caméras ont pour vocation de prévenir les incidents lors de l’intervention des forces de l’ordre : équipés de ces dispositifs électroniques, policiers et gendarmes pourront ainsi capter images et sons passant sous l’objectif (notre actualité). Ce n’est pas seulement un système anti débordement : elles serviront également à constater une infraction et aider à la collecte de preuve.

Selon le projet de loi, leur usage sera toutefois optionnel. L’enregistrement sera « déclenché lorsqu’un incident se produit ou, eu égard aux circonstances de l’intervention ou du comportement des personnes concernées, est susceptible de se produire ». C’est évidemment le porteur qui décidera d’appuyer ou non sur le bouton « Record ».

Ces caméras seront visibles : elles devront être « portées de façon apparente » et « un signal visuel spécifique » indiquera si l’enregistrement est en cours. « Le déclenchement de l’enregistrement fait l’objet d’une information des personnes enregistrées, sauf si les circonstances l’interdisent » temporise le texte.

Ces enregistrements, inaccessibles aux personnels auxquels les caméras sont fournies, seront ensuite conservés pendant 6 mois, sauf bien sûr s’ils sont utilisés dans le cadre d’une procédure judiciaire, administrative ou disciplinaire.

Urvoas

La PNIJ va devenir obligatoire

Signalons l’article 33 du projet de loi qui, tel que résumé par l’étude d’impact annexée au projet de loi, veut rendre « obligatoire le recours à la plate-forme nationale des interceptions judiciaires [PNIJ], dans un souci d’efficacité, de meilleur contrôle des frais de justice et d’une plus grande confidentialité et sécurisation des opérations ».

À cette fin, le Code de procédure pénale et le Code des douanes seront mis à jour pour contraindre magistrats, services d’enquête et agents spécialement habilités à recourir à cette plateforme.

Rappelons que son but est de centraliser les demandes adressées aux opérateurs de communication électroniques (OCE) pour glaner les métadonnées et le contenu des communications électronique d’une personne déterminée (téléphone fixe, mobile, internet, etc.).

Placée sous la responsabilité du garde des Sceaux, et sous le contrôle d’une personnalité qualifiée (Mireille Imbert Quaretta, l’ex de la Hadopi), la PNIJ est censée fluidifier les échanges avec les OCE. Son déploiement, commencé le 9 février 2015, devrait être achevé le 11 avril 2016.

L’exécutif promet au passage également d’ « adapter les textes relatifs aux scellés et au déchiffrement des données afin de tenir compte des fonctionnalités de la plateforme et d’alléger la charge des services de la justice ». Il faudra attendre pour connaître les détails précis puisque ces modifications se feront par voie d’ordonnance, afin de contourner la procédure parlementaire classique…

Des fichiers policiers nettoyés

La Cour européenne des droits de l’Homme avait tapé sur les doigts de la France dans l’arrêt Brunet c/ France du 18 septembre 2014, dégommant les carences du fichage policier, en l’espèce du STIC, le système de traitement des infractions constatées (voir pour plus de détail cet article de Nicolas Hervieu). Elle pilonnait en particulier la conservation de faits classés sans suite, occasionnant du coup une atteinte à la vie privée du principal concerné.

Après cette baffe sur l’autel des droits de l’Homme, le droit français sera donc mis à jour, toujours par voie d’ordonnance. Le gouvernement envisage « de détailler les critères pris en compte par l’autorité judiciaire pour décider de l’effacement ou du maintien des données dans le fichier ». Ce choix pourrait dépendre « des finalités du fichier appréciées au regard de la nature et des circonstances de commission de l’infraction et de la personnalité de l’intéressé ».

Ce n’est pas tout, puisqu’« il est par ailleurs envisagé de prévoir la possibilité pour le procureur de la République de procéder à l’effacement des données du fichier quel que soit le motif de classement sans suite et non plus comme actuellement uniquement lorsque celui-ci est motivé par l’absence de charges. »

Dans son analyse d’impact, l’exécutif estime que « la création de nouvelles possibilités d’effacement du fichier [sera] de nature à entraîner une augmentation du nombre de requêtes en effacement des données transmises aux procureurs de la République ». Bref, il s’attend à une belle vague de demandes d’effacement, soit le plus joli témoignage de la  performance actuelle de ces fichiers.

Publiée le 04/02/2016 à 16:50
Marc Rees

Journaliste, rédacteur en chef Droit, LCEN, copie privée, terrorisme, données personnelles, surveillance, vie privée, et toutes ces choses...

Soutenez nos journalistes

Le travail et l'indépendance de la rédaction dépendent avant tout du soutien de nos lecteurs.

Abonnez-vous
À partir de 0,99 €


chargement
Chargement des commentaires...