La procédure de captation des données informatiques aiguisée au Journal officiel

La procédure de captation des données informatiques aiguisée au Journal officiel

Un décret au tableau

Avatar de l'auteur
Marc Rees

Publié dans

Droit

06/01/2020 7 minutes
12

La procédure de captation des données informatiques aiguisée au Journal officiel

En 2011, la Loppsi avait introduit la possibilité pour les officiers et agents de police judiciaire d’installer un cheval de Troie sans le consentement des personnes intéressées et dans n’importe quel lieu privé. Le texte a connu maintes évolutions, parachevées par un décret publié au Journal officiel ce 3 janvier.

Juridiquement, cette solution est désignée par l’expression de « dispositif technique ». Elle est destinée à collecter les données affichées sur un écran ou saisies sur un clavier. Sur le terrain de la procédure, ces opérations sont effectuées sur un terrain seulement judiciaire. Il faut ainsi une autorisation du juge d’instruction après avis du procureur de la République (version initiale). «  Il s’agit de disposer d’outils à armes égales pour pouvoir lutter contre ces bandes organisées qui relèvent du haut niveau, cela ne concerne pas la délinquance du quotidien » nous avait expliqué en 2009 le chef de l’OCLCTIC

Le mécanisme était dès le début calibré pour lutter contre la criminalité organisée (terrorisme, pédophilie, meurtre, torture, trafic d'armes et de stupéfiants, enlèvement, séquestration, proxénétisme, extorsion, fausse monnaie, blanchiment et aide à l'entrée et séjour d'un étranger). 

Une captation élargie au fil des textes

Il a par la suite été élargi à l’occasion de plusieurs chantiers législatifs. La loi du 13 novembre 2014 sur la lutte contre le terrorisme a étendu le champ de course de ces chevaux de Troie à la captation des données « reçues et émises par des périphériques audiovisuels. » Cette adjonction a pu faire entrer dans son périmètre les conversations sur Skype, jusqu’alors hors de portée.  

En 2015, la loi portant adaptation de la procédure pénale au droit de l'Union européenne a ouvert ces mécanismes de surveillance judiciaire à d’autres délits commis en bande organisée (escroquerie, dissimulation d’activités, non-justification de ressources correspondant au train de vie, etc.). 

Les grandes réformes de 2016 et 2019

Les plus grandes réformes ont été portées en 2016, lorsque le procureur de la République a été autorisé cette fois à désigner une personne physique ou morale « en vue d'effectuer les opérations techniques permettant la réalisation du dispositif technique », voire à « prescrire le recours aux moyens de l'État soumis au secret de la défense nationale ». 

Cette loi a également élargi le recours à la captation en temps réel et à distance des données informatiques aux enquêtes de flagrance ou préliminaires en matière de criminalité et de délinquance organisées sur autorisation du juge des libertés et de la détention, sur requête du procureur de la République. 

Ces chevaux de Troie ont par ailleurs été étendus aux données « stockées », et donc plus seulement à celles affichées, introduites, reçues ou émises. On est ainsi sorti de cette seule logique de flux pour y ajouter une logique de stock. 

La loi du 23 mars 2019, enfin, a harmonisé les techniques d’enquêtes spéciales en prévoyant une disposition beaucoup plus générique encore : 

« Il peut être recouru à la mise en place d'un dispositif technique ayant pour objet, sans le consentement des intéressés, d'accéder, en tous lieux, à des données informatiques, de les enregistrer, de les conserver et de les transmettre, telles qu'elles sont stockées dans un système informatique, telles qu'elles s'affichent sur un écran pour l'utilisateur d'un système de traitement automatisé de données, telles qu'il les y introduit par saisie de caractères ou telles qu'elles sont reçues et émises par des périphériques ». 

Peuvent être visés des mails non encore ouverts

C’est dans ce contexte qu’un décret d’application a été publié au Journal officiel le 3 janvier 2020. Décret sur lequel la CNIL a émis un avis. 

Elle y observe, sans grande difficulté, que « le champ de ces dispositifs ainsi que les données pouvant faire l'objet de telles captations, ont fait l'objet d'élargissements constants et significatifs ces dernières années ». 

Tout aussi facilement, elle note que ces méthodes d’enquête « revêtent un caractère particulièrement intrusif en ce qu'elles conduisent à la collecte d'un volume important de données, sont susceptibles de porter une atteinte importante au respect de la vie privée des personnes mises en cause d'une part, et des tiers d'autre part ». 

Et celle-ci d’exiger des garanties « fortes ». Par exemple, la loi exige que seules les données utiles à la manifestation de la vérité soient retranscrites dans un procès-verbal, celles relatives à la vie privée et étrangères aux infractions ne devant pas être conservées. 

Ce décret a pris acte des réformes intervenues en 2016 et 2019 pour mettre à jour les textes d’application. L’extension qu’il consacre permet d’espionner judiciairement « l'ensemble des données d'un système informatique », rapporte la CNIL, selon les précisions apportées par le gouvernement. « Peuvent notamment être visées des informations enregistrées sur un disque dur, sur des courriers électroniques qui n'auraient pas été ouverts par l'utilisateur ou encore, sur l'intégralité d'un fichier qui n'aurait été que partiellement visualisé par la personne à laquelle il est destiné ». 

Pas d’interconnexion, pas de reconnaissance faciale 

La CNIL s’est satisfaite que les traitements ne fassent « l'objet d'aucune mise en relation ou interconnexion avec d'autres fichiers ».

De même, assure-t-elle, « le contrôle à distance du système informatique est exclu (par exemple, le déclenchement forcé de la webcam) et […] si des images ainsi que des sons pourront faire l'objet d'une collecte, aucun mécanisme de reconnaissance faciale ou vocale ni d'analyse comportementale des dynamiques des frappes au clavier ne seront mis en œuvre ».

Intervention des agents du fisc 

Jusqu’à présent, avaient accès aux données, principalement, les OPJ et les agents des douanes. L’article 4 du décret ajoute à ce train les agents des services fiscaux, ceux habilités à effectuer des enquêtes judiciaires. 

« Ces agents sont légitimes à accéder aux données enregistrées dans les traitements mis en œuvre », commente la CNIL, qui rappelle que cet accès doit se faire « dans le respect du principe du besoin d'en connaître et pour les besoins exclusifs de la procédure dans le cadre de laquelle l'opération de captation a été autorisée ».

Avec la loi de finances pour 2020, le fisc s’est déjà armé d’un outil de collecte de masse sur les sources ouvertes, dans le cadre de la lutte contre certaines infractions considérées comme graves. Le dispositif a été validé par le Conseil constitutionnel, non sans encadrement.

Aucun site de secours pour les sauvegardes 

Sur le terrain des mesures de sécurité, l’autorité de contrôle explique que « le système de traitement de données captées se matérialise par l'insertion de manière discrète d'une charge logique sur l'équipement de l'individu visé ». 

Ceci fait, et « une fois activé, le logiciel permet la remontée aux forces de l'ordre de l'ensemble des données présentes sur le support ciblé ». Elle a relevé plusieurs points destinés à garantir la sécurité de ces transferts : « les données sont enrichies par une signature et par un journal d'évènement ». Elles sont chiffrées. Leur consultation par les agents habilités exige une authentification par dongle et mot de passe de 10 caractères minimum, « soumis à une règle de blocage du compte après trois tentatives infructueuses et ayant une durée de validité égale au temps d'investigation ». 

On apprend au détour de la délibération « qu'actuellement, aucune protection contre les sources de risques non humaines (catastrophes naturelles par exemple), n'existe, le second site permettant la sauvegarde des données n'étant pas choisi à l'heure actuelle ». Le gouvernement lui a indiqué qu’il envisage d'utiliser un tel site de secours pour les sauvegardes d'ici 2020.

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Une captation élargie au fil des textes

Les grandes réformes de 2016 et 2019

Peuvent être visés des mails non encore ouverts

Pas d’interconnexion, pas de reconnaissance faciale 

Intervention des agents du fisc 

Aucun site de secours pour les sauvegardes 

Commentaires (12)


Le mot de passe c’est :

abcdefghij ?


Il n’y a pas de limite de conservation a ces données ?



ça se passe comment pour l’installation de la “charge utile” ? Ils leurs faut un accès physique, ou ils préfèrent passer par des partenaires type microsoft ?


Excellent article qui illustre hélas la dérive de notre époque.



Je note hélas que ceux qui devraient jouer le rôle de vigies, ici la CNIL, se contentent de formules incantatoires en espérant des garanties, qui ne seront en pratiques que formelles.



S’agissant d’un avis consultatif elle pourrait au moins s’opposer au changement de paradigme que représente l’élargissement perpétuel de la surveillance petit à petit à toutes les infractions et alors qu’elle constate elle-même cet élargissement. Mais non elle renonce dans une forme de fatalité, et va se trouver quelques motifs de satisfaction en relevant qu’on active pas (encore) les webcams à distance et qu’on couple pas (encore) le dispositif avec de la reconnaissance faciale, son avis finissant d’assoir la légitimité d’une telle généralisation sur le mode “ça pourrait être pire”…


Dans l’absolu, tel que présenté, ça ressemble beaucoup à l’adaptation des écoutes téléphoniques aux moyens de communication moderne.








crocodudule a écrit :



Excellent article qui illustre hélas la dérive de notre époque.





La fameux “c’était mieux avant” <img data-src=" />



Je suis sur qu’au début du XXe siècle quand on a généralisé l’utilisation des empreintes digitales, cette phrase a été utilisée

Je suis sur qu’à la fin du XXe siècle quand on a généralisé l’utilisation de l’ADN dans les enquêtes judiciaires, cette phrase a été utilisée.



Les techniques d’investigations évoluent avec le temps et essaient de rattraper l’avance technologique. Sachant que l’utilisation de ces techniques devrait nécessiter la mise en place “physique” d’un dispositif: te voir parler de généralisation montre ton côté factuel et mesuré.









carbier a écrit :



(…) te voir parler de généralisation montre ton côté factuel et mesuré.





Franchement ! Est ce que cette dernière phrase était nécessaire pour faire passer ton message ? <img data-src=" />









Tandhruil a écrit :



Franchement ! Est ce que cette dernière phrase était nécessaire pour faire passer ton message ? <img data-src=" />





Cela dépend de quel message tu parles.

Quand de temps en temps, la présentation factuelle d’une news est détournée, cela peut être du à un problème d’interprétation. Quand c’est systématique c’est autre chose.



Je ne vois pas en quoi une remarque agressive ironique peu amener à un dialogue constructif, désolé.



edit: vocabulaire


En l’occurrence, il n’est fait mention nulle part de la méthode d’implantation privilégiée.



D’où que cette mesure concerne et concernera les mis en cause les moins regardants. La très grande criminalité passera donc entre les mailles du filet en se jouant de la saturation des forces de l’ordre pour des délits mineurs.








Tandhruil a écrit :



Dans l’absolu, tel que présenté, ça ressemble beaucoup à l’adaptation des écoutes téléphoniques aux moyens de communication moderne.






La comparaison a ses limites: une écoute téléphonique ne concerne "que" l'interception des conversations.      





Là il s’agit d’accéder à l’ensemble des fichiers présents sur une machine, qu’ils soient le fruit d’échanges ou tout simplement produits depuis la machine sans même qu’il soit question de communication des fichiers.



L’intrusion pour moi s’apparente plus dans son importance à une dispositif de sonorisation d’un appartement ou véhicule.



Néanmoins sur le principe tu as raison avec cette nuance: initialement la sonorisation d’un appart-véhicule et la captation de données informatiques ne pouvaient se faire que sous le contrôle d’un Juge d’instruction, là où l’interception téléphonique pouvait être réalisée sur la simple autorisation du JLD.



A la faveur de la Loi de 2016, ils ont aligné les modes les plus intrusifs sur la procédure la plus souple et garantissant le moins les libertés: interception téléphonique, sonorisation, captation de donnée dont dispositif installé sur la machine relèvent depuis d’une simple autorisation du JLD.



Par conséquent, à mon sens ils n’adaptent pas l’écoute téléphonique aux moyens de communication moderne, mais ils abaissent les garanties encadrant le recours aux modes d’intrusion les plus lourds au niveau des écoutes téléphoniques.



C’est une nuance de taille car dans les procédures on trouve rarement des sonorisations d’un véhicule ou d’un appart, là où en revanche il est plus qu’habituel de trouver des brouettes de retranscription d’écoutes téléphoniques.



Du coup, si cela doit annoncer un recours aux modes d’intrusions les plus lourds à l’échelle quasi industrielle des écoutes téléphoniques, ça va vite devenir très problématique.









crocodudule a écrit :



Là il s’agit d’accéder à l’ensemble des fichiers présents sur une machine, qu’ils soient le fruit d’échanges ou tout simplement produits depuis la machine sans même qu’il soit question de communication des fichiers.



L’intrusion pour moi s’apparente plus dans son importance à une dispositif de sonorisation d’un appartement ou véhicule.







Facile à détecter dans les deux cas si émission d’ondes.

Un spyware est encore plus facile à trouver… bon courage à eux. <img data-src=" />



Le choix du JLD démontre la totale connaissance du sujet et la volonté de transformer la justice par l’économie d’échelle supposée mais démentie dans les faits : il y a plus d’informaticiens en capacité de détecter des intrusions policières que d’agents. Encore plus de personnes en capacité d’utiliser des outils de détection.

Pire : c’est donc une énième mesure de simplification/dissuasion abusive visant à paralyser l’application de la loi en changeant celles qui garantissent justement son adhésion collective.



-&gt; Se tirer une balle dans le pied, mode d’emploi.









Idiogène a écrit :



c’est donc une énième mesure de simplification/dissuasion abusive visant à paralyser l’application de la loi en changeant celles qui garantissent justement son adhésion collective.







Je ne peux que faire mienne cette formule <img data-src=" />