Questionné par Éric Ciotti sur la possibilité d’instaurer un nouveau régime de saisie des données informatiques à l'insu de leurs propriétaires, le gouvernement a donné plusieurs éclairages sur l’arsenal en cours destiné à lutter contre les infractions les plus graves.
Dans sa réponse, l’exécutif a d'abord rappelé que le régime normal des perquisitions à distance peut être problématique : « nécessitant par principe une publicité de la mesure à l'égard du perquisitionné, son consentement ou à tout le moins sa présence, [cette mesure] ne permet pas de saisir des données à distance sans en informer le suspect ». En somme, on a vu mieux, question discrétion.
Cette possibilité est inscrite à l'article 57-1 du Code de procédure pénale : avec lui, les officiers de police judiciaire peuvent accéder aux données accessibles via le système informatique découvert sur les lieux perquisitionnés. En 2014, la loi contre le terrorisme a allégé ce formalisme afin de permettre un tel accès via un ordinateur implanté dans les locaux de la police. Cependant, souligne le ministre de la Justice dans sa réponse, « la loi précitée n'a pas modifié les garanties dont bénéficie la personne au titre des articles 57 et 76 du code de procédure pénale. Ces dispositions interdisent à l'enquêteur de consulter et saisir des données en dehors de la présence de l'intéressé, d'un tiers désigné ou de deux témoins ». Bref, on peut encore mieux faire.
Des techniques qui ne se heurtent pas au problème du chiffrement
Heureusement pour les enquêtes concernant la criminalité organisée et le terrorisme, d’autres dispositions modifient le curseur entre cet impératif de sécurité et celui du respect du droit à la vie privée, deux normes de même rang constitutionnel. L'article 706-102-1 du Code de procédure pénale autorise la captation de données via un « cheval de Troie ». Les autorités peuvent installer en douce « un dispositif technique ayant pour objet, sans le consentement des intéressés, d'accéder en tous lieux, à des données informatiques, de les enregistrer, les conserver et les transmettre, telles qu'elles s'affichent sur un écran pour l'utilisateur d'un système de traitement automatisé de données ou telles qu'il les a introduites par la saisie de caractères ».
La loi de 2014 a modifié là encore ce régime en étendant cette intrusion à la captation de données reçues ou émises depuis un périphérique audiovisuel. Une mesure qui permet d’espionner les échanges via des logiciels comme Skype.
Cet arsenal sur sa table, Jean-Jacques Urvoas a tenu à préciser au député Ciotti « que cette technique ne se heurte pas au problème du chiffrement », puisque les informations sont puisées directement à la source, en scrutant les frappes au clavier, l’affichage à l’écran ou les sons diffusés depuis un système informatique.
Le projet de loi sur la réforme pénale
Mais l’état de notre législation est encore perfectible si on en croit le projet de loi sur la réforme pénale. Celui-ci a prévu plusieurs dispositions pour faciliter ces intrusions.
La mise en place des chevaux de Troie pourra par exemple être décidée pendant une durée de deux ans. Sur la question plus précise du chiffrement, le procureur de la République (ou l'officier de police judiciaire) peut aujourd’hui solliciter toute personne susceptible de détenir des informations intéressant l'enquête pour qu’elles lui soient remises. En cas de refus, cette personne risque une amende de 3 750 euros. Le projet de loi porte cette sanction à 15 000 euros lorsque l’infraction concerne une personne morale qui aura refusé de répondre aux réquisitions « tel un constructeur d'appareils ou un prestataire de services ».
Une autre disposition inscrite à l’article 343-15-2 du Code pénal a été revue. Cet article punit de trois ans d'emprisonnement et de 45 000 euros d'amende « le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités ». Quand ce refus est opposé alors que la remise ou la mise en oeuvre de la convention « aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets », la peine est de cinq ans d'emprisonnement et 75 000 euros d'amende. La somme a été portée par les sénateurs à 150 000 euros si le refus vient d’une personne morale.
Le texte est désormais en commission mixte paritaire, afin que soient corrigées les différences entre la version sénatoriale et celle des députés. Nous referons prochainement un point complet sur les dispositions finalement retenues.
