Réforme pénale : notre panorama des mesures touchant au numérique

Hier, les députés ont adopté le projet de loi sur la réforme pénale. L’occasion de refaire un point sur l’ensemble des mesures touchant de près ou de loin l’univers des nouvelles technologies, soit au stade judiciaire, soit au stade administratif (sans juge).

Article 2. Les IMSI catchers (et assimilés)

En matière de criminalité et de délinquance organisées, le juge des libertés et de la détention (sur requête du procureur de la République) ou le juge d’instruction (après avis du procureur de la République) peut autoriser les OPJ à mettre en place un dispositif quelconque pour recueillir les données de connexion « permettant l’identification d’un équipement terminal ou du numéro d’abonnement de son utilisateur ».

Ce mécanisme, qui pourra être introduit dès l'enquête, est taillé pour les IMSI catcher, ces fausses antennes relai qui vient s’intercaler dans une zone déterminée entre les téléphones captés dans son spectre et un vraie antenne. Il est aussi adaptable à n’importe quelle technologie adaptée pour faire de l’intrusion sur les flux de correspondances, notamment au niveau des antennes relai.

Lors de l’examen, les députés ont fait sauter l’exigence d’une ordonnance motivée, inscrite préalablement dans le projet de loi. Ces opérations sont néanmoins effectuées sous l’autorité et le contrôle du magistrat qui les a autorisées. Leur durée est d’un mois (enquête) ou de deux mois (instruction). Dans un premier cas, le recueil est renouvelable autant de fois que nécessaire. Dans le second cas, il ne peut dépasser 6 mois.

Fait notable, un procureur peut décider seul de la pose d’un IMSI catcher en cas d’urgence, mais la décision devra être confirmée par un juge dans un délai de 24 heures. À défaut, l’opération devra prendre fin mais les données glanées ne seront pas supprimées, simplement placées sous scellés fermés, sans pouvoir être « exploitées ou utilisées dans la procédure » en cours (quid dans une autre procédure ?).

Ces données sont stockées dans les serveurs de la PNIJ, la plateforme nationale des interceptions judiciaires. Elles seront détruites à l’expiration du délai de prescription de l’action publique ou après décision rendue au fond.

Article 2 bis. Les professions protégées

Aucune des mesures d’interception, de captation ou encore de recueil de données de connexion, ne peut être ordonnée à l’encontre d’un parlementaire, d’un magistrat, d’un avocat ou d’un journaliste « à raison de l’exercice de son mandat ou de sa profession ».

Deux considérations cependant : les données de ces personnes peuvent être alpaguées accidentellement par un IMSI catcher mis en place pour viser un tiers. En outre, ces professions ne sont protégées que lors de l’exercice du mandat ou de la profession. Or, on ne peut jamais s’assurer par avance qu’un échange noué avec l’une de ces personnes relèvera bien de l’activité professionnelle et non d’une pure activité privée. Il faudra ausculter, puis, selon, oublier ou conserver.

Article 3. Les techniques spéciales d'investigation dès l'enquête préliminaire

Cet article étend à l'enquête de flagrance ou préliminaire plusieurs techniques spéciales d'investigation, toujours en matière de criminalité et délinquance organisées (terrorisme, etc.). Le juge des libertés et de la détention peut décider de la sonorisation, la fixation d’images et la captation de données (keylogger, chevaux de Troie, etc.) en enquête de flagrance ou préliminaire, pour une durée d’un mois renouvelable une fois, soit pour une durée de quatre mois pour l’instruction, renouvelables jusqu’à deux ans.

Cet article autorise également l’interception des correspondances déjà archivés, alors que les interceptions ne frappaient jusqu’alors que les flux.

Article 4 ter. Le service de la justice devient un service de renseignement

Les députés ont adopté avec l’aval du ministre de la Justice, Jean-Jacques Urvoas, une disposition faisant du renseignement pénitentiaire, un service du renseignement. Ils ont modifié à ce titre un article du Code de la Sécurité Intérieure, déjà renouvelé avec la loi sur le renseignement de juillet 2015. « J’ai rencontré l’ensemble des organisations syndicales qui se félicitent de cette disposition. C’est un chantier ouvert et qui ne concerne que le pénitentiaire » a indiqué le Garde des Sceaux lors des débats. Seule l’administration pénitentiaire sera concernée par cette assimilation, qui viendra gonfler la liste déjà impressionnante des services du renseignement du second cercle en capacité d’espionner.

Lors des débats autour du projet de loi Renseignement, Christiane Taubira s'était opposée à une telle assimilation. Celle-ci ayant quitté le gouvernement, le boulevard est désormais ouvert.

Article 4 quinquies. Les « constructeurs des moyens de cryptologie »

Analysé ici, l’article aggrave les peines actuellement en vigueur en matière de chiffrement dans deux hypothèses. D'une part, l’article 60-1 du Code de procédure pénale, permet au procureur de la République ou l'officier de police judiciaire de solliciter toute personne susceptible de détenir des informations intéressant l'enquête, afin qu’elles lui soient remises. D'autre part, l’article 60-2 du Code de procédure pénale autorise les OPJ à recueillir auprès des entreprises privées et des organismes publics toutes « les informations utiles à la manifestation de la vérité » contenues dans leurs systèmes informatiques.

Dans l'un et l'autre cas, il est possible d’opposer un « motif légitime » mais refuser de répondre à ces demandes est aujourd'hui puni d’une amende de 3 750 euros. L’article 4 quinquies étend nettement ces sanctions à deux ans d'emprisonnement et 15 000 euros d’amende, mais seulement si on touche à l’univers du terrorisme.

À l’encontre des « constructeurs mêmes des moyens de cryptologie dont le décryptage est nécessaire à l’enquête », sera à l’avenir sanctionné de cinq ans d’emprisonnement et 350 000 euros d’amende « le fait, pour un organisme privé, de refuser de communiquer à l’autorité judiciaire (…) enquêtant sur des crimes ou délits terroristes (…) des données protégées par un moyen de cryptologie dont il est le constructeur ». L’enjeu est de contraindre ces « constructeurs » à coopérer plus docilement avec la justice, du moins quand ils le peuvent. Le texte, adopté avec l’avis contraire du gouvernement, pourra évoluer au fil de la navette parlementaire.

Article 11. Extension de la compétence des tribunaux français

Dans son rapport sur la lutte contre la cybercriminalité (p.211 et s.), le magistrat Marc Robert avait regretté qu’en l’état actuel de notre droit, la compétence des juridictions françaises soit seulement reconnue si la victime porte plainte, même si le lieu de commission de l’infraction est extérieur au territoire français. (art. 113-7 du Code pénal). Dans les autres cas, il faut en effet que l’un des éléments constitutifs de l’infraction ait eu lieu en France. Le souci est que la plainte préalable n’est pas toujours déposée. De plus, « il n’est pas toujours possible de trouver un élément constitutif commis en France pour fonder la compétence de la loi nationale. »

Avec l’article 11, tel qu’adopté dans le cadre du projet de loi, tout crime ou délit réalisé sur Internet sera réputé réalisé en France dès lors qu’il a été tenté ou commis à l’encontre d’une personne physique résidant en France ou une personne morale qui y a son siège.

Article 11. Lutte contre le piratage informatique commis en bande organisée

Le projet de loi autorise le recours aux moyens de procédure exceptionnels à l’encontre du piratage informatique commis en bande organisée : surveillance étendue tout le territoire national, infiltration, enquête sous pseudonyme. Seule exception : il n’y aura pas de garde à vue pendant 96 heures.

Marc Robert avait soutenu pareille réforme « aux motifs que de telles atteintes peuvent revêtir un degré de gravité particulièrement important dans certaines circonstances ». En outre, « la complexité des enquêtes à mener en ce domaine nécessite de pouvoir disposer de l’ensemble des moyens d’investigation existants ».

Article 13. Plafonnement des cartes prépayées

Afin de limiter les capacités de financement du terrorisme, cet article limite la capacité d’emport des cartes prépayées. C’est un décret qui viendra fixer le plafond, à ce jour méconnu. Le Conseil d’État avait cependant émis des critiques sur ce mécanisme jugé trop borné en raison de la possibilité d’importer des cartes depuis l’étranger, là où elles ne subissent pas toujours pareille rabotage. En séance, il a donc été décidé que le décret fixera également « le montant maximal de chargement, de remboursement et de retrait à partir de ce même support ».

Le dispositif a été couplé à une série de mesures afin de garantir la traçabilité durant 5 ans des informations et données techniques « relatives à l’activation, au chargement et à l’utilisation de la monnaie électronique au moyen d’un support physique ». C’est cette fois un arrêté du ministre chargé de l’économie qui détaillera le spectre de cette conservation.

Article 14 – 15 bis. Les pouvoirs de Tracfin

L’article 14 aiguise les pouvoirs de Tracfin afin de permettre à ce service de renseignement de signaler officiellement des situations (zones géogrpahiques, opérations) ou des personnes présentant des risques élevés de blanchiment de capitaux ou de financement du terrorisme. L’article suivant étend son droit de communication

L’article 15 étend le droit de communication de Tracfin d’abord aux entités chargées de gérer les systèmes de paiement (par exemple le groupement d’intérêt économique CB ou des sociétés Visa et Mastercard). En outre, ses demandes pourront visées non plus seulement les « pieces conservées » mais également tous « documents, informations ou données conservés ».

Enfin, l’article 15 bis autorise ce service du renseignement à accéder au fichier des antécédants judicaires (le TAJ). Actuellement, cet accès n’est possible pour le recrutement des agents et pour les besoins relatifs à l’indépendance nationale, l’intégrité du territoire et la défense nationale ainsi que pour les besoins relatifs à la prévention du terrorisme (loi sur le renseignement du 24 juillet 2015). Le projet de loi ouvre les vannes : les agents de Tracfin auront un accès direct à ce super fichier pour l’exercice de l’ensemble de ses missions, dont la lutte contre le blanchiment de capitaux.

En Commission, où la disposition avait été intégrée, les députés avaient souligné qu’« au stade initial, lorsque Tracfin reçoit une information financière, il lui est difficile de savoir si les flux portés à sa connaissance sont susceptibles d’être mis en lien avec du financement du terrorisme ou du blanchiment d’une infraction pénale. Seule une consultation du TAJ peut le permettre ».

Article 16 ter. Les enquêtes sous pseudonyme des Douanes

Les douaniers pourront opérer anonymement sur Internet pour recueillir des preuves et identifier les possibles auteurs d’infractions au Code des douanes. Utilisation de pseudonyme pour entrer en contact avec les personnes susceptibles d’être les auteurs de ces infractions, recueil d’éléments de preuve et des données sur ces personnes, etc. Avant le projet de loi, ces opérations anonymes ne pouvaient se faire que lors des coups d’achats de contrefaçons, drogues, etc. Là, le mécanisme est ouvert à toutes les opérations possibles.

Article 17. La fouille des bagages

Lors d’un contrôle d’identité ou d’une « visite » de voiture, les forces de l’ordre pourront procéder comme aujourd’hui à l’inspection visuelle, mais aussi à la fouille de bagages, en présence de la personne concernée. Est-ce que cette fouille pourra être étendue au contenu d’un ordinateur portable ? Questionné , l’avocat pénaliste Éric Morain pense que non : « en matière douanière, le portable est considéré comme une marchandise et peut à ce titre être fouillé par les douanes. L'assimiler à un bagage pour vérifier qu'il n'est pas dangereux en soi par un contrôle visuel extérieur, oui. Autoriser sa fouille me paraîtrait toutefois exagéré dans le cadre d'un simple contrôle d'identité. »

Même avis de Nicolas Hervieu, juriste en droit public et droit européen des droits de l’Homme : « sur le fondement de l'article 8 de la Convention européenne, la Cour européenne exige que toute ingérence dans la vie privée - telle une consultation de données - soit prévue par une législation claire, précise et prévisible. Par conséquent, une "fouille numérique" fondée sur un texte prévu prioritairement pour les fouilles de bagages "physiques" serait très fragile juridiquement ».

Article 18. La retenue sur place

Le projet de loi permettra aux forces de l’ordre de retenir pour une durée maximale de quatre heures, « toute personne faisant l’objet d’un contrôle ou d’une vérification d’identité » dès lors qu’« il existe des raisons sérieuses de penser que son comportement est lié à des activités à caractère terroriste ». Durant ce laps de temps, un OPJ effectuera une vérification approfondie de sa situation en consultant notamment l’ensemble des fichiers relevant de la sécurité de l’État (article 26 de la loi CNIL).

Pourquoi une telle disposition ? « L’étude d’impact indique qu’il est recommandé aux services de police et de gendarmerie lorsqu’ils contrôlent certaines personnes faisant l’objet d’une fiche dite « S » (Sûreté de l’État) – et notamment d’une fiche S14 (djihadistes revenant d’Irak ou de Syrie) ou S15 (personne suspectée de radicalisation islamiste) – au fichier des personnes recherchées (FPR) de les retenir et d’aviser sans délai le service ayant procédé à leur inscription pour recueillir ses instructions ». Cependant, comme le note encore le rapport de la Commission des lois, « cette retenue ne repose stricto sensu sur aucun fondement juridique. En effet, elle n’est pas une retenue ayant pour fin une vérification d’identité », seule à permettre aujourd’hui cette atteinte à la liberté d’aller et venir.

Article 20. Contrôle des retours sur le territoire national et des identifiants

Cette disposition vise une personne qui quitte le territoire national et à l’égard de laquelle il existe des raisons sérieuses de penser que ce déplacement a pour but « de rejoindre un théâtre d’opérations de groupements terroristes » ou plus simplement « une tentative de se rendre sur un tel théâtre ».

Dans un tel cas, à son retour, le ministère de l’Intérieur peut l’obliger à « résider dans un périmètre géographique déterminé », « se présenter périodiquement aux services de police ou aux unités de gendarmerie » le tout durant un mois. La même personne peut également être tenue de déclarer tout changement de domicile et révéler pour une durée maximale de trois mois « ses identifiants de tout moyen de communication électronique dont elle dispose ou qu’elle utilise, ainsi que tout changement d’identifiant. »

En séance, le 2 mars, la députée Isabelle Attard, suivant Sergio Coronado en commission, avait tenté de supprimer cette dernière obligation, jugée comme « une intrusion lourde dans la vie privée des individus, sans aucun contrôle ». L’élue regrettait au passage qu’ « aucune précision n’est apportée quant à la destination et à l’utilisation des identifiants récoltés ».  Le rapporteur s’était victorieusement opposé à une telle suppression : « Avis défavorable. Si l’on souhaite être efficace, il faut avoir les moyens de savoir où sont les gens. »

Le périmètre de cette demande est très flou. Il suffira que le ministère de l’Intérieur ait de « raisons sérieuses de penser que ce déplacement » est motivé à des fins terroristes pour justifier cette mise à nue de l’identité numérique. On retrouve un peu cette logique du comportement menaçant, siège de la loi sur l'état d'urgence. De fait, le projet de loi n’exige pas des preuves, juste des « raisons de penser que ».

Autre chose, on ne sait si l’identifiant inclura ou non le mot de passe, en plus du login. Mais qu'importe : la loi sur le renseignement pourra prendre alors le relai. Elle permet tout un attirail de mesures intrusives dont des interceptions de sécurité. Sur cette lancée, n'oublions pas le nouvel article L 852-2-I du Code de la sécurité intérieure qui autorise les services spécialisés à recueillir de manière individuelle et surtout en temps réel, l’ensemble des données de connexion relatif « à une personne préalablement identifiée comme présentant une menace ».

Pour entrer dans notre droit positif, ces dispositions devront être confirmées à l'issu de la procédure parlementaire, qui se poursuit maintenant au Sénat.