En 2011, la Loppsi avait introduit la possibilité pour les officiers et agents de police judiciaire d’installer un cheval de Troie sans le consentement des personnes intéressées et dans n’importe quel lieu privé. Le texte a connu maintes évolutions, parachevées par un décret publié au Journal officiel ce 3 janvier.
Juridiquement, cette solution est désignée par l’expression de « dispositif technique ». Elle est destinée à collecter les données affichées sur un écran ou saisies sur un clavier. Sur le terrain de la procédure, ces opérations sont effectuées sur un terrain seulement judiciaire. Il faut ainsi une autorisation du juge d’instruction après avis du procureur de la République (version initiale). « Il s’agit de disposer d’outils à armes égales pour pouvoir lutter contre ces bandes organisées qui relèvent du haut niveau, cela ne concerne pas la délinquance du quotidien » nous avait expliqué en 2009 le chef de l’OCLCTIC.
Le mécanisme était dès le début calibré pour lutter contre la criminalité organisée (terrorisme, pédophilie, meurtre, torture, trafic d'armes et de stupéfiants, enlèvement, séquestration, proxénétisme, extorsion, fausse monnaie, blanchiment et aide à l'entrée et séjour d'un étranger).
Une captation élargie au fil des textes
Il a par la suite été élargi à l’occasion de plusieurs chantiers législatifs. La loi du 13 novembre 2014 sur la lutte contre le terrorisme a étendu le champ de course de ces chevaux de Troie à la captation des données « reçues et émises par des périphériques audiovisuels. » Cette adjonction a pu faire entrer dans son périmètre les conversations sur Skype, jusqu’alors hors de portée.
En 2015, la loi portant adaptation de la procédure pénale au droit de l'Union européenne a ouvert ces mécanismes de surveillance judiciaire à d’autres délits commis en bande organisée (escroquerie, dissimulation d’activités, non-justification de ressources correspondant au train de vie, etc.).
Les grandes réformes de 2016 et 2019
Les plus grandes réformes ont été portées en 2016, lorsque le procureur de la République a été autorisé cette fois à désigner une personne physique ou morale « en vue d'effectuer les opérations techniques permettant la réalisation du dispositif technique », voire à « prescrire le recours aux moyens de l'État soumis au secret de la défense nationale ».
Cette loi a également élargi le recours à la captation en temps réel et à distance des données informatiques aux enquêtes de flagrance ou préliminaires en matière de criminalité et de délinquance organisées sur autorisation du juge des libertés et de la détention, sur requête du procureur de la République.
Ces chevaux de Troie ont par ailleurs été étendus aux données « stockées », et donc plus seulement à celles affichées, introduites, reçues ou émises. On est ainsi sorti de cette seule logique de flux pour y ajouter une logique de stock.
La loi du 23 mars 2019, enfin, a harmonisé les techniques d’enquêtes spéciales en prévoyant une disposition beaucoup plus générique encore :
« Il peut être recouru à la mise en place d'un dispositif technique ayant pour objet, sans le consentement des intéressés, d'accéder, en tous lieux, à des données informatiques, de les enregistrer, de les conserver et de les transmettre, telles qu'elles sont stockées dans un système informatique, telles qu'elles s'affichent sur un écran pour l'utilisateur d'un système de traitement automatisé de données, telles qu'il les y introduit par saisie de caractères ou telles qu'elles sont reçues et émises par des périphériques ».
Peuvent être visés des mails non encore ouverts
C’est dans ce contexte qu’un décret d’application a été publié au Journal officiel le 3 janvier 2020. Décret sur lequel la CNIL a émis un avis.
Elle y observe, sans grande difficulté, que « le champ de ces dispositifs ainsi que les données pouvant faire l'objet de telles captations, ont fait l'objet d'élargissements constants et significatifs ces dernières années ».
Tout aussi facilement, elle note que ces méthodes d’enquête « revêtent un caractère particulièrement intrusif en ce qu'elles conduisent à la collecte d'un volume important de données, sont susceptibles de porter une atteinte importante au respect de la vie privée des personnes mises en cause d'une part, et des tiers d'autre part ».
Et celle-ci d’exiger des garanties « fortes ». Par exemple, la loi exige que seules les données utiles à la manifestation de la vérité soient retranscrites dans un procès-verbal, celles relatives à la vie privée et étrangères aux infractions ne devant pas être conservées.
Ce décret a pris acte des réformes intervenues en 2016 et 2019 pour mettre à jour les textes d’application. L’extension qu’il consacre permet d’espionner judiciairement « l'ensemble des données d'un système informatique », rapporte la CNIL, selon les précisions apportées par le gouvernement. « Peuvent notamment être visées des informations enregistrées sur un disque dur, sur des courriers électroniques qui n'auraient pas été ouverts par l'utilisateur ou encore, sur l'intégralité d'un fichier qui n'aurait été que partiellement visualisé par la personne à laquelle il est destiné ».
Pas d’interconnexion, pas de reconnaissance faciale
La CNIL s’est satisfaite que les traitements ne fassent « l'objet d'aucune mise en relation ou interconnexion avec d'autres fichiers ».
De même, assure-t-elle, « le contrôle à distance du système informatique est exclu (par exemple, le déclenchement forcé de la webcam) et […] si des images ainsi que des sons pourront faire l'objet d'une collecte, aucun mécanisme de reconnaissance faciale ou vocale ni d'analyse comportementale des dynamiques des frappes au clavier ne seront mis en œuvre ».
Intervention des agents du fisc
Jusqu’à présent, avaient accès aux données, principalement, les OPJ et les agents des douanes. L’article 4 du décret ajoute à ce train les agents des services fiscaux, ceux habilités à effectuer des enquêtes judiciaires.
« Ces agents sont légitimes à accéder aux données enregistrées dans les traitements mis en œuvre », commente la CNIL, qui rappelle que cet accès doit se faire « dans le respect du principe du besoin d'en connaître et pour les besoins exclusifs de la procédure dans le cadre de laquelle l'opération de captation a été autorisée ».
Avec la loi de finances pour 2020, le fisc s’est déjà armé d’un outil de collecte de masse sur les sources ouvertes, dans le cadre de la lutte contre certaines infractions considérées comme graves. Le dispositif a été validé par le Conseil constitutionnel, non sans encadrement.
Aucun site de secours pour les sauvegardes
Sur le terrain des mesures de sécurité, l’autorité de contrôle explique que « le système de traitement de données captées se matérialise par l'insertion de manière discrète d'une charge logique sur l'équipement de l'individu visé ».
Ceci fait, et « une fois activé, le logiciel permet la remontée aux forces de l'ordre de l'ensemble des données présentes sur le support ciblé ». Elle a relevé plusieurs points destinés à garantir la sécurité de ces transferts : « les données sont enrichies par une signature et par un journal d'évènement ». Elles sont chiffrées. Leur consultation par les agents habilités exige une authentification par dongle et mot de passe de 10 caractères minimum, « soumis à une règle de blocage du compte après trois tentatives infructueuses et ayant une durée de validité égale au temps d'investigation ».
On apprend au détour de la délibération « qu'actuellement, aucune protection contre les sources de risques non humaines (catastrophes naturelles par exemple), n'existe, le second site permettant la sauvegarde des données n'étant pas choisi à l'heure actuelle ». Le gouvernement lui a indiqué qu’il envisage d'utiliser un tel site de secours pour les sauvegardes d'ici 2020.
