Ce week-end, le gouvernement a publié un important décret : celui mettant en place la PNIJ, la fameuse plateforme nationale des interceptions judiciaires. Le texte, qui organise la collecte de millions de données a subi l’examen de la CNIL qui, du coup, exige « un haut niveau de protection » de ces informations sensibles.
Sous l’acronyme PNIJ, se cache une plateforme de surveillance centralisant l’ensemble des réquisitions. Derrière ce terme, se trouvent les écoutes des communications électroniques interceptées, mais également les logs et informations communiquées par les intermédiaires (FAI, opérateurs et hébergeurs). Le décret a rapidement été vu comme un texte « big brother », alors que la volonté de ses rédacteurs est justement d'encadrer ces mesures de surveillance.
D'ailleurs, pourquoi une telle plateforme ? Comme le note la CNIL dans sa délibération, jusqu’à présent, les dispositifs « d'interception des communications électroniques et de réquisitions de données de connexion repos[ai]ent sur un système hétérogène et décentralisé qui fait appel à plusieurs prestataires privés », avec des inconvénients jugés « majeurs ». Et pour cause, « les fonctions et les outils de réquisition et d'interception sont variables et coûteux, et les mesures de sécurité et de traçabilité mises en œuvre ne sont pas satisfaisantes. »
Avec ce décret, ausculté par Mireille Imbert Quaretta au Conseil d'Etat, on change de dimension : les interceptions des correspondances et les réquisitions des données de connexion peuvent désormais se faire de façon dématérialisée, depuis un point unique, dans les locaux de Thalès. En 2012, le rapport sur la justice du député Christian Eckert vantait déjà cette source d’économies puisque « les opérateurs, qui n’auront plus besoin d’établir de mémoires de frais, adresseront mensuellement et de façon dématérialisée leur facture pour paiement. Les frais seront payés au plan central, et non plus par les juridictions.»
Des avantages et des bémols, aussi
La CNIL voit plusieurs avantages dans cette PNIJ : « il s'agit d'augmenter les capacités d'interception, de réduire les délais de réponse, de renforcer le niveau de sécurité, notamment l'intégrité et la confidentialité des données à caractère personnel, et de réduire les frais de justice ». Il s’agirait même de « l'une des mesures prioritaires de modernisation de l'action publique ».
Autre bon point, il y aura un cloisonnement total entre les réquisitions et les interceptions, puisque l’une et l’autre sont encadrées par des textes différents. Enfin, la PNIJ ne se focalisera que sur les mesures relavant du Code de procédure pénale. Les mesures d’instructions civiles (collecte de preuve via l’article 145 du Code de procédure civile) ou les interceptions liées à des enquêtes administratives ne seront donc pas concernées.
Il y a cependant quelques bémols : la PNIJ concentrera en son sein toute la « gestion des procédures, des demandes, des réponses (retranscription, désinfection de codes malveillants, traduction, mise au clair), des procès-verbaux et des scellés » ainsi que les volets financiers et statistiques. Cependant, la CNIL regrette que ni les autorisations des magistrats, ni les traitements réalisés par les opérateurs, ni le reste de la procédure d'enquête ne soient intégrés dans ces méga fichiers. De fait, le magistrat ayant ordonné ces mesures sera simplement informé au fil de l’eau des réquisitions faites en son nom.
Un décret court aux effets lourds
Le décret est court, 5 articles. Dans le premier, sont décrites globalement les informations aspirées par cette plateforme. On y trouve le contenu des communications électroniques interceptées et les données et informations communiquées par les intermédiaires. À ce titre, et c’est ce qui pour la CNIL, exige « un haut niveau de sécurité », il est prévu qu’au cours de ces opérations, cet aspirateur à vie privée pourra évidemment attraper dans son sac les opinions politiques, philosophiques ou religieuses des personnes ainsi que leur appartenance syndicale, leur état de santé ou leur vie sexuelle, outre des informations sur leurs « origines raciales ou ethniques. »
Précisons déjà que ces pouvoirs ne concernent que les opérateurs basés en France, puisque dans le cas contraire, il faudra passer par une commission rogatoire internationale. Classiquement, « les correspondances avec un avocat relevant de l'exercice des droits de la défense ainsi que celles avec un journaliste permettant d'identifier sa source ne peuvent être retranscrites » signale encore la CNIL.
Les réquisitions seront établies par les magistrats, les officiers de police judiciaire, les agents des douanes et les services fiscaux habilités à effectuer des enquêtes judiciaires. La plateforme recevra ensuite les réponses des intermédiaires pour enfin les mettre à dispositions de ces personnes. Mais que pourront enregistrer les grandes oreilles de la PNIJ ?
Les détails des informations collectées lors des interceptions
Dans son article 2, le décret distingue trois catégories d’informations collectées selon que la communication électronique fasse l'objet d'une interception judiciaire, d'une mesure de géolocalisation en temps réel ou d’une réquisition judiciaire.
Dans le premier cas, il s’agira de l’identité complète (état civil) de la personne émettrice ou destinataire de la communication ou la dénomination de personne morale, toutes les informations permettant d'identifier son domicile, son lieu ou son établissement, les logs de connexion, les outils de communications utilisés, les données de géolocalisation, les numéros de téléphone, l’adresse mail, les données relatives au trafic des communications de la liaison interceptée. S’y ajouteront le contenu des communications et les « informations liées », et enfin les données de facturation et de paiement. Ces contenus sont très vastes. Comme le détaille la CNIL, ils recouvrent « la voix, la vidéoconférence, la data mobile (Short Message Service [SMS], et Multimédia Messaging Service [MMS]) ainsi que la data fixe pour l'internet filaire ».
Pour les communications électroniques faisant l'objet d'une mesure de géolocalisation en temps réel, il y a aura les « données de signalisation du réseau générées par l'usage du terminal de communication, transmises en temps réel » et leur mise à jour « sur sollicitation du réseau, à la demande, transmise en temps réel. »
Des informations sensibles conservées plus longtemps
Ces informations sont conservées sous scellés jusqu'à expiration du délai de prescription de l'action publique, ce qui selon les cas peut correspondre à quelques années. C’est désormais plus long que le régime antérieur (30 jours), mais nettement plus tracé. Selon les explications apportées par le ministère de la Justice à la CNIL, « la conservation des enregistrements des communications interceptées jusqu'à la clôture de l'enquête, c'est-à-dire même postérieurement à la transcription, est justifiée par le fait que les enregistrements peuvent se révéler ultérieurement utiles. En effet, postérieurement à la transcription d'une communication enregistrée, le déroulement progressif de l'enquête peut amener l'enquêteur à devoir accéder à l'enregistrement, à la lumière de nouveaux éléments dont il dispose, par exemple pour identifier un nouveau correspondant ou opérer de nouveaux rapprochements ».
Les détails des informations collectées lors des réquisitions
Enfin, pour les réquisitions, on retrouvera à peu près toutes les informations relatives aux interceptions, sauf le contenu de la communication. Là, la durée de conservation s’étend aussi longtemps que dure l’enquête. Ces mesures ne pourront s’étendre aux mots de passe et informations associées qui « ne sont pas des données de connexion » alerte la CNIL.
Seront également enregistrés au fil de ces opérations, « les informations relatives aux faits, lieux, dates et qualification pénale des infractions objets de l'enquête » ainsi que « les informations relatives à la reconnaissance vocale du locuteur ». Sur ce point, la CNIL indique que la PNIJ ne permettra d'identifier des personnes « qu'au sein d'une même affaire et qu'aucun rapprochement avec d'autres affaires ne peut être effectué. »
Déchiffrement, traçabilité
Lorsque les données mises à disposition des magistrats seront chiffrées, ceux-ci pourront faire appel au centre technique d’assistance (CTA), un organisme d’état soumis au secret défense et géré par la direction centrale du renseignement intérieur (DCRI, devenu depuis DGSI).
Ces opérations font l’objet de mesure de traçabilité et de contrôle. Ainsi l’identification de l’utilisateur de ces fichiers est soumise à enregistrement horodaté pendant 5 ans. De même, la PNIJ est placée sous contrôle d'une personnalité qualifiée, désignée pour cinq ans non renouvelable par le garde des Sceaux. Il peut alors ordonner toutes les mesures de contrôle qu’il souhaite. Celui-ci est assisté par un comité composé de cinq membres, l’un et l’autre disposant d'un accès permanent à la PNIJ. On trouve dans ce comité un sénateur et un député, un magistrat du siège honoraire de la Cour de cassation, deux personnalités qualifiées désignées par le ministère de la Justice sur proposition du ministère de l’Intérieur et celui chargé des communications électroniques.
Il y a un contrôle extérieur, également. Quiconque fait l’objet d’un traitement de données dans la PNIJ dispose en effet d’un droit d’accès indirect (mais non d’information ou d’opposition). Ce droit est indirect, car il lui faut passer par la CNIL pour l’exercer. C’est elle qui mène aux investigations utiles et fait procéder aux éventuelles modifications.
Un presque sans-faute délivré par la CNIL
La CNIL a apporté un presque sans-faute à ce texte, soulignant par exemple que « les mesures prévues dans le système permettent, par rapport aux dispositifs actuellement utilisés, une amélioration très significative de la maîtrise par les magistrats de l'efficacité et de la sécurité des interceptions judiciaires et des données qu'elles contiennent, tout en apportant des garanties plus importantes vis-à-vis des citoyens et des enquêteurs ».
Un décret publié dans un contexte de crise
Le basculement vers la PNIJ des systèmes d’écoute en France a fait l’objet d’un psychodrame avec les quatre sociétés privées actuellement en charge de traiter ces opérations, évidemment impactées par la PNIJ (Elektron, Foretec, Midi System et SGME). Elles « menacent de ne plus traiter de nouvelles demandes à partir du 15 novembre si le ministère de la Justice ne leur garantit pas un contrat de 30 mois » soulignait voilà peu l’Express. Hasard lié à des contraintes techniques ou non, le décret PNIJ prévoit que l'actuel texte sur les interceptions judiciaires (décret STIJ) sera abrogé 6 mois après la mise en œuvre de la plateforme et au plus tard le 31 décembre 2015.
