Interview de Mireille Imbert-Quaretta, personnalité qualifiée chargée du contrôle de la PNIJ

Interview de Mireille Imbert-Quaretta, personnalité qualifiée chargée du contrôle de la PNIJ

La PNIJ critiquée, quid du système antérieur ?

Avatar de l'auteur
Marc Rees

Publié dans

Droit

03/03/2017 18 minutes
11

Interview de Mireille Imbert-Quaretta, personnalité qualifiée chargée du contrôle de la PNIJ

Mireille Imbert-Quaretta a été désignée personnalité qualifiée, chargée du contrôle de la plateforme nationale des interceptions judiciaires (PNIJ). L'ex-coprésidente de la Hadopi nous accorde sa première interview. L’occasion de revenir sur les qualités attendues, mais aussi les déboires de ce dispositif, en les comparant à ceux du système antérieur.

PNIJ ? Derrière l’acronyme se cache une plateforme attendue de longue date, censée concentrer, dans un objectif d’efficacité et de maitrise des coûts, l’ensemble des interceptions et réquisitions judiciaires adressées aux opérateurs de télécommunications. 

Abritée entre les murs de Thalès, plus que ses qualités, ce sont les zones sombres de ce système centralisé qui ont fait les gros titres ces dernières années : bugs à répétition rendant difficile le travail des enquêteurs, report récurrent de sa mise en œuvre, gouffre financier explosant les chiffres pronostiqués. Cette plateforme serait-elle perfectible, du sol au plafond ? Mireille Imbert-Quaretta, personnalité qualifiée chargée depuis fin 2015 du contrôle de la PNIJ, revient avec nous sur les charmes et les défauts de ce nouvel outil.

Quel rôle jouez-vous au sein de la PNIJ ? 

En 2014, le décret de création de la plateforme a prévu que ce système, outre d’être contrôlé par la CNIL, devait l’être également par une personnalité qualifiée connue pour ses actions en faveur des libertés. Cette personnalité est assistée d’un comité composé de cinq membres. Son contrôle ne porte pas sur le contenu des interceptions, qui relève des décisions des magistrats, mais sur le fonctionnement de la plateforme.

La mission est donc assez vaste : contrairement à la CNCTR qui rend un avis sur les interceptions de sécurité, il s’agit de vérifier qu’à tous les stades du fonctionnement et par quiconque, qu'il n’y a pas de possibilité de détournement des données, que ceux qui y ont accès sont habilités à le faire, que le processus d’habilitation est conforme, etc.

L’expérience de la Hadopi vous a-t-elle été utile ?

Ah oui, bien sûr ! D’abord parce que j’ai appris beaucoup sur les systèmes d’information qui, faits par des êtres humains, ne fonctionnent pas toujours. À la Hadopi, toutes les semaines, un point était justement fait sur les dysfonctionnements, les données, les opérateurs de communications électroniques, les contrôles. Et effectivement, cette expérience m’a beaucoup appris, car ce n’est pas le Code pénal qui vous dit beaucoup de choses sur le numérique. 

Ces derniers mois, la PNIJ a fait les gros titres pour ses bugs à répétition. Comment les accueilliez-vous ?

D’abord, on n’entend qu’un son. Anciennes, ces critiques sont devenues plus systématiques, violentes et concentrées dès lors qu’a été acté que l’usage de la PNIJ était inévitable à terme et qu’on ne pourrait plus, pour les interceptions judiciaires – les écoutes – recourir à d’autres techniques. 

Les attaques se sont concentrées spécialement l’an passé, lors du vote du projet de loi sur la procédure pénale, celui qui prévoit le recours obligatoire à la PNIJ dès le 1er janvier 2017 sauf impossibilité technique. En une semaine, il y a eu je ne sais combien d’articles dans des journaux très divers qui sont tombés à bras raccourcis sur cette plateforme !

Vous nous dites qu’on n'entend qu’un son, celui des critiques. Quelle est donc votre analyse ?

Il faut refaire l’historique. Le projet PNIJ a débuté en 2004. Le ministère de la Justice, comme Bercy, disait que le système des écoutes judiciaires d’alors ne pouvait continuer ainsi. Sous un angle financier, d’abord, cela coûtait énormément. Ensuite en 2004, dans le rapport Hirel sur les interceptions de correspondances émises par voie de télécommunications, il apparaissait aussi que le fonctionnement n’était pas contrôlé, qu’il y avait dès lors des risques de détournement des écoutes.

Depuis, on ne peut pas dire que les bonnes fées se sont penchées sur le berceau de la PNIJ. Il y a eu tout un tas d’empêchements pour faire en sorte que ce système ne voit pas jour. On peut se demander pourquoi et qui avait intérêt au statu quo.

Dans tous les rapports, y compris celui de la Cour des comptes, on voit qu’un certain nombre de personnes ont intérêt à ce que le système antérieur à la PNIJ, celui recourant à diverses sociétés privées, soit maintenu. Je vous conseille d’ailleurs de lire un article du Canard enchaîné du 3 mars 2010, intitulé « Sarko reprend en main les grandes oreilles de la République », totalement éclairant sur les raisons pour laquelle cette plateforme a eu tant de mal à voir le jour.

L’hebdomadaire soulignait plusieurs risques : Martine Monteil, patronne de la Police judiciaire, alertait dès 2005 sa hiérarchie sur les problèmes de sécurité liés aux matériels. Mieux, en 2009, l’inspection générale de la police nationale pointait dans une note de « graves dysfonctionnements dans les interceptions judiciaires ». Ainsi, « les consignes sur l’inventaire du matériel d’écoutes et la conservation des disques durs utilisés » n’étaient pas intégralement respectées. Ce qui veut dire, dans le langage courant, qu’on ne savait pas toujours où se trouvaient les disques durs stockant des centaines d’écoutes et qu’il n’existait pas de contrôle sur le matériel. D’autres failles de sécurité étaient également évoquées.

On peut encore se demander pourquoi le projet a pris si longtemps. L’initiative date de 2004, mais le marché n’a été lancé qu’en 2010 pour arriver à être presque totalement opérationnel en 2016. Le ministre actuel de la Justice s’est, lui, rendu compte de l’avantage de la PNIJ pour les enquêteurs et les magistrats. Il a mis tout son poids pour ce projet reposant sur un système structuré, assurant un contrôle des données et suffisamment anticipé pour assurer les évolutions techniques. Des évolutions que ne permet pas le système actuel. Or, le chantier de la PNIJ répond à un objectif constitutionnel, celui de tout faire pour interpeller les auteurs d’infractions, mais aussi de garantir la vie privée, la liberté et les données.

Quand on voit autant de personnes, autant d’articles venir de partout pour dire que la plateforme ne marche pas, on s’interroge… Mais est-ce que le système actuel marche toujours de façon satisfaisante ? Comment le savoir, il n’y a pas de contrôle. En face, au contraire, la PNIJ est sous le feu d’une transparence absolue : dès qu’il y a un petit bug, on le dit, on le sait !

Des bugs ont donc été constatés dans le régime des sociétés privées et celui de la PNIJ...

Depuis mars 2016, j’ai interrogé des enquêteurs, de base puisqu’aucune autorité externe ne peut vérifier comment ça marche et en rendre compte publiquement. L’un m’a dit par exemple que, pendant quinze jours en région parisienne, « on n’a pas pu avoir d’écoute » ou encore que « de temps en temps, on n’a pas les réponses avec les sociétés » en charge des interceptions. Ainsi le système actuel, reposant sur ces acteurs privés, souffre aussi de bugs. J’en ai eu la confirmation ! Mais personne n’en parle.

Pour la PNIJ, je suis en train de regarder la typologie des problèmes soulevés à chaque critique ou impossibilité pour les enquêteurs d’avoir une réponse. En mars dernier, effectivement, il y eu pendant 24 h à 48 h, une panne dans la mesure où elle a été victime de son succès pour les interceptions.

Une parenthèse. En procédure, vous avez à la fois des interceptions voix et des prestations annexes (identification de numéro, factures détaillées, données de connexions, etc.). 70 % des réquisitions concernent ces prestations annexes. 30 % concernent les interceptions voix.

Ces prestations annexes ne sont gérées que par la PNIJ. Avant, par la méthode traditionnelle, on exigeait une commission rogatoire, une réquisition auprès des opérateurs de télécommunications qui répondaient par papier. Un exemple, l’identification d’un numéro de téléphone dans le cadre d’un harcèlement téléphonique. Une infraction banale, mais très désagréable pour les victimes. Avant, la réponse prenait entre trois semaines et trois mois. Aujourd’hui, avec la PNIJ, c’est en moins de cinq minutes. « C’est du caviar » m’a dit un enquêteur de terrain, « le dossier est terminé tout de suite, la victime sait ce qu’il en est, le dossier est transmis au parquet qui prend la décision ». 

Au détour des articles qui critiquent la PNIJ, une phrase nous dit souvent que ces prestations annexes, « ça marche ! ». Ce système automatisé marche et il n’y a que la PNIJ qui s’en charge Cela représente 70 % de ses activités tout en étant accessible à l’ensemble des enquêteurs, contrairement aux interceptions voix, réservées à des services spécialisés. C’est une totale réussite et personne – même les plus critiques - ne veut y renoncer. Fin de la parenthèse.

En mars 2016, disais-je, la PNIJ a été victime de « son succès » en raison de l’activité terroriste qui a multiplié les saisines. La plateforme n’était pas calibrée alors pour absorber une telle vague de demandes. Depuis, il y a actuellement une montée en charge progressive pour que ce système puisse traiter d’ici fin 2017 l’ensemble des écoutes en simultané.

Là-dessus se greffe un problème de formation. Passer d’un système à un autre, ne disposant pas de la même ergonomie, oblige à s’habituer au nouvel outil. Ça demande une adaptation alors que le travail presse. On a peut-être lancé les enquêteurs dans la piscine sans assez de formation.

J’ajoute enfin qu’à la lecture des articles critiquant la PNIJ, je m’interroge. Des critiques semblent viser des actes que la loi ne permet pas.

Comment cela ?

Les SMS par exemple. La loi dit que ne doit être retranscrit que ce qui est utile au dossier, le reste étant mis sous scellé. Quand je lis qu’avec la PNIJ, on ne peut imprimer tous les SMS, cela veut-il dire que le système « autre » ne respecterait pas la loi puisqu’on ne doit imprimer que ceux qui sont utiles à la procédure !

Je vous rappelle que les écoutes sont plus attentatoires aux libertés que les autres mesures. Ce n’est pas seulement la personne soupçonnée qui est « victime » des écoutes, mais aussi tous ses correspondants. Vous, moi, tous ceux en contact téléphonique ou par SMS, MMS, avec la cible. Tout est entendu, enregistré, conservé. C’est pour cela que le législateur a multiplié les règles et les garanties, puisque cela peut toucher potentiellement tout le monde. Voilà pourquoi vous devez cibler précisément ce qui est indispensable au dossier.

Le système PNIJ a été conçu de telle façon, en interministériel, qu’on ne peut lui demander autre chose que ce qui est prévu par la loi. Par exemple, en enquête de flagrance, vous ne pouvez pas demander une écoute de quatre mois. Le système vous le refuse. Si un magistrat dit qu’à minuit dans deux mois, ces écoutes doivent s’achever, à l’heure dite, c’est fini ! Le système met en œuvre de manière extrêmement précise les préconisations du législateur en matière d’écoutes judiciaires.

C’est sûr, ce sont des contraintes, mais les contraintes, c’est l’application de la loi.

Vous laissez tout de même entendre qu’il y a un léger souci avec le régime antérieur…

Personne ne sait ! La CNIL n’a pas été consultée. Le système a été créé par des sociétés privées, qui les contrôle ? On ne sait pas. La justice n’a pas été mise dans la boucle, n’a jamais participé à l’élaboration du système. On ne sait quelles ont été les exigences qui se sont imposées ni si ce sont les mêmes d’une société à l’autre. Sans contrôle externe et sans transparence, comment être sûr que la loi est toujours respectée et les données personnelles sont toujours protégées ?

En avril 2016, un audit a été lancé suite au bug qui a planté la PNIJ quelques semaines plus tôt. Où en est-on ?

L’audit est toujours en cours, il y a eu des rapports d’étapes qui ne remettent pas en cause la plateforme, mais font un constat également partagé par la Cour des comptes. Cette plateforme est un système énorme, en évolution constante. Outre les prestations annexes, on a les interceptions voix, pas seulement filaires, mais aussi les mobiles, les box, les MMS, les SMS, l’exploitation des données, et bientôt avec la loi de 2016, les IMSI catchers.

Le constat est que ce mécanisme doit être traité plus activement en interministériel alors que la Justice a été un petit peu seule aux origines de 2004. Il faut d’autre part, une montée en nombre et compétences des personnes à la délégation des interceptions judiciaires [DIJ] pour faire le poids par rapport à une société comme Thales. Il y avait un constat de sous-équipements au ministère de la Justice qui est en train d’être corrigé.

L’un des problèmes mis en avant est que faire remonter l’ensemble des interceptions sur une plateforme centralisée exige un réseau sécurisé et suffisamment calibré. Est-ce vrai, selon vous ?

Ce n’est pas tellement le réseau, qui repose sur les opérateurs télécom, que les capacités de traitement d’une plateforme pouvant traiter et stocker l’objectif de 12 000 voix simultanées. Pour l’instant, on est en dessous de 10 000, PNIJ et sociétés privées confondues.

Mireille Imbert Quaretta Hadopi
Crédits : Marc Rees (licence: CC by SA 3.0)

Que se passe-t-il pour la 12 001e interception ?

Pour l’instant, vous n’avez pas de rejet, car c’est un système en sifflet, ce qui n’est pas traité par la PNIJ en cas d’impossibilité technique est assuré encore par les sociétés privées. On devrait arriver à une capacité totale de traitement de toutes les interceptions par la PNIJ d’ici la fin 2017. Un nouveau régime prévu par la loi de 2016, les IMSI catcher, repose sur un autre dispositif en cours d’étude. Ce chapitre ne sera pas pour tout de suite.

Regrettez-vous le choix de Thales pour abriter cette plateforme ?

Ce n’est pas à moi de dire cela.

Certes, mais la Cour des comptes ne sait toujours pas pourquoi le ministère de l’Intérieur a fait ce choix…

Cela résulte de l’appel d’offres. À l’origine, il fallait bien une société. Ce n’est ni le ministère de la Justice (ni celui de l’Intérieur) qui peut se lancer en solitaire dans un tel projet. Il faut faire appel à une société extérieure que vous contrôlez plus ou moins. La question de savoir où doit être logé le système est autre chose.

J’en reviens à la Hadopi. Nous avions une société qui a fait le développement du système d’information, alors que l’hébergement se faisait par une autre, à Marseille. En faisant un peu d’archéologie, quand la PNIJ a été lancée, si effectivement le développement du SI exigeait un appel d’offres et le recours à une société, l’hébergement pouvait parfaitement être conçu sur un site étatique.

Je n’ai pas réussi à savoir pourquoi ce choix n’a pas été fait. Ce que j’ai compris c’est que certains se sont proposés, mais qu’il y a eu un refus. Et ce refus n’est pas celui du ministère de la Justice. Ce point sur l’externationalisation est en tout cas la seule critique de la Cour des comptes.

Le budget initial était de 17 millions d’euros, la PNIJ dépasse maintenant les 100 millions d’euros…

Je n’ai jamais trouvé trace du chiffre des 17 millions d’euros. C’est de la désinformation [ndlr : voir cette question parlementaire]. Ce qu’il faut regarder, ce n’est pas un chiffre lancé comme ça, mais le budget affecté au marché public. Ce marché lancé en 2009, signé en octobre 2010 avec Thales n’est pas de 17 millions, mais d’un peu moins de 50 millions d’euros. La dérive des coûts s’apprécie par rapport à un marché, par rapport à ce qui a été signé et non par rapport à ce que l’on regarde dans une boule de cristal. En tout cas le ministère ne s’est jamais engagé sur 17 millions d’euros.

Pourquoi sommes-nous passés de 50 à 100 millions alors ?

Un cahier des charges rédigé en 2009, un développement de la PNIJ en 2016. Un tel écart dans le domaine numérique et informatique, c’est une éternité. Ce qui fonctionne actuellement n’est plus ce qui avait été prévu à l’origine. Il a bien fallu prendre en compte les évolutions intervenues pendant cette période. D’abord, les évolutions techniques comme la 4G, et ensuite les évolutions législatives comme l’obligation de traiter la totalité des interceptions. Cela s’est traduit par une évolution du système et donc des dépenses supplémentaires.

Vous disposez « d'un accès permanent aux lieux où se trouve la plateforme nationale des interceptions judiciaires ». Vous y avez été. Qu’avez-vous vu ?

J’ai dû y aller trois fois pour l’instant, dont le mois dernier avec le comité. C’est très parlant. En termes de sécurité physique, les locaux de Thales renferment non seulement la PNIJ mais d’autres activités, notamment liées à la défense nationale.

C’est plus que robuste pour arriver jusqu’à la plateforme. Cela résiste aux inondations, au crash d’un avion, évidemment aux intrusions physiques. Sur la sécurité de fonctionnement, personne de Thales, de la délégation aux interceptions judiciaires ou du comité n’a accès aux contenus des écoutes. Le système lui-même l’empêche avec tout ce qu’on peut imaginer en termes de cloisonnements, d’habilitations et de niveaux d’intervention dans les différents rôles dévolus à ces personnes, aux capacités d’accès ou d’intervention. En outre, tout est tracé. Les données sont enfin dupliquées sur un autre site, en région parisienne.

Il faut souligner que la PNIJ n’est pas une grande centrale d’écoute où on peut croiser informatiquement les données. Seuls les magistrats et enquêteurs ont accès à leurs dossiers, dossier par dossier. C’est un respect scrupuleux de la loi. Il y a eu certes des demandes visant par exemple à faire des exploitations plus vastes, avec un système de reconnaissance de voix, etc., mais non : le système actuel traduit des dispositions législatives. C’est le principe du secret de l’enquête et de l’instruction. Un juge d’instruction n’a donc pas accès à un dossier autre que le sien s’il n’est pas codésigné. Un enquêteur lui-même n’a pas accès aux dossiers des autres enquêteurs.

Quelles améliorations souffleriez-vous à l’oreille du ministère de la Justice ?

Avant d’intégrer l’IMSI catcher ou le renseignement pénitentiaire, pour 2017, il faut avant tout consolider ce dispositif en pleine évolution depuis 2010. À court terme, aussi bien les magistrats que les enquêteurs doivent se l’approprier. C’est d’ailleurs en train d’être fait en s’appuyant sur un comité d’utilisateurs, puisque la formation est essentielle. Il en est de même de l’ergonomie du système qui doit s’adapter aux demandes des utilisateurs.

Et l’objectif est bien de répondre à ces demandes. Ainsi, des enquêteurs de terrain rédigent actuellement un didacticiel. Il faut faire connaitre les différents outils existants. Par exemple, pour analyser les correspondants de votre cible. La méthode traditionnelle exige pratiquement une analyse à la main à partir de la liste des FADET pour savoir qui lui téléphone le plus. Avec l’outil que j’ai vu au sein de la plateforme, vous déchargez immédiatement l’enquêteur de ce travail fastidieux.

Pour ces prochains mois, il semble essentiel d’arriver à ce que la PNIJ réponde sans problème à l’ensemble des sollicitations et notamment celles d’écoutes voix. Ensuite, que les enquêteurs et les magistrats s’approprient complètement cet outil. Si toutes ses fonctionnalités étaient utilisées, ce serait un plus énorme pour ces personnes dans leur travail quotidien.

Merci Mireille Imbert-Quaretta.

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Quel rôle jouez-vous au sein de la PNIJ ? 

L’expérience de la Hadopi vous a-t-elle été utile ?

Ces derniers mois, la PNIJ a fait les gros titres pour ses bugs à répétition. Comment les accueilliez-vous ?

Vous nous dites qu’on n'entend qu’un son, celui des critiques. Quelle est donc votre analyse ?

Des bugs ont donc été constatés dans le régime des sociétés privées et celui de la PNIJ...

Comment cela ?

Vous laissez tout de même entendre qu’il y a un léger souci avec le régime antérieur…

En avril 2016, un audit a été lancé suite au bug qui a planté la PNIJ quelques semaines plus tôt. Où en est-on ?

L’un des problèmes mis en avant est que faire remonter l’ensemble des interceptions sur une plateforme centralisée exige un réseau sécurisé et suffisamment calibré. Est-ce vrai, selon vous ?

Que se passe-t-il pour la 12 001e interception ?

Regrettez-vous le choix de Thales pour abriter cette plateforme ?

Certes, mais la Cour des comptes ne sait toujours pas pourquoi le ministère de l’Intérieur a fait ce choix…

Le budget initial était de 17 millions d’euros, la PNIJ dépasse maintenant les 100 millions d’euros…

Pourquoi sommes-nous passés de 50 à 100 millions alors ?

Vous disposez « d'un accès permanent aux lieux où se trouve la plateforme nationale des interceptions judiciaires ». Vous y avez été. Qu’avez-vous vu ?

Quelles améliorations souffleriez-vous à l’oreille du ministère de la Justice ?

Commentaires (11)


Commentaire un peu inutile, mais je suis le seul à avoir lu PNJ pendant tout le long?



 


La même&nbsp;<img data-src=" />


Personnage non joueurs et personnes non intéressé de jouer sont assez proche à la prononciation.😓😅


Personne non justifiée ?


“À court terme, aussi bien les magistrats que les enquêteurs doivent se l’approprier.”



On tombe bien sur un problème systémique, qui est le manque de connaissance et de compréhension de la chose. Et pour que les magistrats se l’approprie il faut que la problématique soit connu des politiques (donc potentiellement approprié aussi).








neiobaf a écrit :



Commentaire un peu inutile, mais je suis le seul à avoir lu PNJ pendant tout le long?



&nbsp;





Moi aussi, mais je crois que dans un certain sens, personnage non joueur peut s’appliquer au cas présent.



Article très intéressant, qui montre que MIQ maitrise bien son sujet.








Quiproquo a écrit :



Article très intéressant, qui montre que MIQ maitrise bien son sujet.



+1.



Même si ça fait mal de dire du bien d’elle, vu son passif à la hadopi :). C’est intéressant d’avoir un point de vue un peu différent sur la PNIJ. Il y a du pour et du contre, en tout cas, l’évaluer sans tenir compte de ce qui la précédait est effectivement une erreur.









white_tentacle a écrit :



+1



+1



Même si ça fait mal de dire du bien d’elle, vu son passif à la hadopi :). C’est intéressant d’avoir un point de vue un peu différent sur la PNIJ. Il y a du pour et du contre, en tout cas, l’évaluer sans tenir compte de ce qui la précédait est effectivement une erreur.












white_tentacle a écrit :



+1.



Même si ça fait mal de dire du bien d’elle, vu son passif à la hadopi :). C’est intéressant d’avoir un point de vue un peu différent sur la PNIJ. Il y a du pour et du contre, en tout cas, l’évaluer sans tenir compte de ce qui la précédait est effectivement une erreur.







  • 1



Très étrange de voir MIQ atterrir là mais bon… elle a l’air comme un poisson dans l’eau.