Au Journal officiel ce matin, ont été publiés les arrêtés relatifs aux plaintes par voie électronique. Les textes, signés par les ministères de la Justice et de l’Intérieur, mettent en œuvre le « traitement harmonisé des enquêtes et des signalements pour les e-escroqueries » ou THESEE. Explications.
Quiconque va désormais pouvoir porter plainte en ligne. Une petite révolution pour faciliter le parcours judiciaire des victimes. Cette procédure n’est pas ouverte pour l’ensemble des infractions, mais seulement pour certaines d’entre elles. Le gouvernement s’en était justifié dans l’étude d’impact associé à la loi de programmation de la justice : « il paraît excessif de prévoir que n'importe quelle infraction, y compris par exemple un crime, ou un délit grave contre la personne, puisse faire l'objet d'une plainte en ligne » (notre actualité).
Juridiquement, le dispositif repose sur un traitement automatisé de données personnelles. Il repose sur l'article 15-3-1 du Code de procédure pénale, lui-même issu de cette loi du 23 mars 2019 de programmation 2018-2022 et de réforme pour la Justice.
Son décret d’application a été publié en mai 2019. « Il prévoit les modalités selon lesquelles les victimes pourront déposer des plaintes en ligne, sans avoir besoin de se déplacer » expliquait alors l’exécutif, sachant que cette procédure n’est qu’une modalité. En clair, une victime pourra toujours être entendue par les enquêteurs et ceux-ci demander à ce qu’elle soit auditionnée.
Ce même décret a renvoyé à des arrêtés le soin de fixer notamment la liste des infractions concernées par ces plaintes en ligne outre les modalités concrètes des e-plaintes. Et c’est justement deux de ces textes qui ont été publiés ce matin au Journal officiel.
Concrètement, et comme prévu initialement, la plainte sera déposée sur Service-Public.fr pour trois types d’infractions en ligne :
- Les escroqueries
- Le chantage
- L’extorsion
Typiquement, cela concernera par exemple les fraudes de type « Virus Police Nationale », ces rançongiciels bloquant un ordinateur en exigeant de la victime le paiement d’une somme (voir la page du site Malekal). Derrière, l’objectif est aussi de « soulager les services territoriaux de la prise d'un grand nombre de plaintes », l’Intérieur ayant anticipé entre 42 000 et 55 000 plaintes recueillies chaque année par ce biais.
Forte recrudescence des infractions commises sur Internet
« Selon le ministère, rapporte la CNIL, la mise en œuvre de ce traitement, qui s'inscrit dans un contexte de forte recrudescence des infractions commises sur internet, vise à faciliter les démarches des victimes et le travail des enquêteurs en modernisant les procédures de plainte et de signalement dans ce domaine ».
L’autorité indépendante a été appelée en effet à ausculter ce traitement brassant un flot de données personnelles, dont déjà celles relatives à la victime de ces agissements frauduleux. Ce traitement tombe d’ailleurs non pas sous l’égide du RGPD mais la directive 2016/680 du 27 avril 2016 dite Police Justice.
Selon les informations soufflées par le gouvernement à la CNIL, plusieurs faits en ligne sont particulièrement visés par ce dispositif. Cela concerne par exemple l’escroquerie aux sentiments, à la petite annonce, aux faux sites de vente en ligne…
Le premier arrêté prévient que « la victime qui dépose une plainte ou effectue un signalement en ligne par le biais de la plateforme THESEE peut s'identifier de façon sécurisée au moyen du téléservice FranceConnect ». C’est le second arrêté qui donne naissance à THESEE.
Coordonnées, profils sur Facebook, captures d’images
Son article 2 dresse la liste des données collectées relatives à la personne mise en cause telles que les noms, prénoms, pseudonymes, adresses électroniques, adresse postale, numéros de téléphone, nom des profils sur les réseaux sociaux.
Ou y trouvera aussi les données bancaires, mais aussi les images issues des captures d’écran, les textes d’annonce, les contenus des discussions ou des échanges électroniques, ainsi que les adresses des envois de paiement et colis. Bref, tout ce qui permettra aux enquêteurs de remonter idéalement aux auteurs des faits. Les données seront enregistrées pour une durée de 6 ans.
Des données potentiellement sensibles selon la loi de 1978
Au passage, la commission a réclamé des ministères qu’une mention soit portée dans le champ de déclaration afin d’inviter le plaignant à ne pas y déposer de données sensibles, selon les textes en vigueur. Un risque qui sera néanmoins béant, puisque les internautes ne sont pas nécessairement de fins connaisseurs des textes en général et de la loi de 1978 en particulier.
« Il n'est pas possible d'exclure que des données sensibles au sens de l'article 6 de la loi du 6 janvier 1978 modifiée soient collectées », indique en ce sens la CNIL qui rappelle que « dans une telle hypothèse, il conviendrait de faire application des dispositions des articles 31 et 88 de cette même loi qui subordonnent la mise en œuvre des traitements portant sur ces données spécifiques à une autorisation par décret en Conseil d'État pris après avis de la Commission, et cela uniquement en cas de nécessité absolue et sous réserve des garanties appropriées pour les droits et libertés de la personne concernée ».
À titre alternatif, le ministère compétent devra mettre en place un système de filtrage pour « prévenir efficacement l'enregistrement » des données sensibles (santé, sexualité, religion, etc.).
Des formulaires soumis à validation
Au fil de sa délibération et de ces textes, on découvre le mode opérateur appliqué à partir du 1er juillet 2020. L’internaute devra d’abord répondre à une série de questions. Viendra ensuite la phase de validation des plaintes par des agents de l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC). Elle permettra « d'écarter de l'outil d'analyse les données issues de formulaires remplis de manière incorrecte, de plaintes (…) ne comportant pas les éléments constitutifs d'une infraction pénale éligible au dispositif THESEE ».
Les magistrats du ministère public et les agents des services judiciaires agissant sous leur autorité pourront également avoir accès à ces données. Seront ses destinataires, les policiers et gendarmes, les organismes de coopération ou encore le service statistique de l’Intérieur.
Informer les plaignants des suites, aiguiser les statistiques
La mise en ligne d’une plateforme de recueil des plaintes, qui va donc au-delà de la précédente pré-plainte en ligne permettra de centraliser entre les mains d’une seule plateforme l’ensemble des procédures visant ces infractions. Mieux, y seront concentrées également celles ouvertes devant les services territoriaux de police ou de gendarmerie, concernant toujours ces mêmes faits.
Le traitement assurera aussi un moyen plus simple pour informer les victimes des suites outre évidemment d’apporter des statistiques relatives aux e-escroqueries, afin d’aiguiser au besoin la législation en vigueur. Il ne glanera que les seules données fournies par les victimes, non le fruit des enquêtes réalisées en aval.
Des droits consacrés, d’autres interdits ou conditionnés
Les internautes disposeront d’un droit d’accès, mais pas de droit d’opposition. Les droits de rectification, d'effacement et de limitation pourront faire l'objet de restrictions « afin d'éviter de gêner des enquêtes, des recherches ou des procédures administratives ou judiciaires ou d'éviter de nuire à la prévention ou à la détection d'infractions pénales, aux enquêtes ou aux poursuites en la matière ».
Au final, trois arrêtés entourent THESEE, celui portant création du traitement ; celui identifiant les infractions concernées, et enfin celui relatif aux modalités d’identification sécurisées retenues. Ce dernier n’a pas encore été publié à cet instant.
Remarquons que selon l’analyse d’impact transmise à la commission, des transferts de données vers des pays hors UE sont prévus, mais seulement dans le cadre de la coopération internationale en matière de police judiciaire.
