Nouvelles technologies : ce que prévoit la future loi sur la réforme pénale

L’Assemblée nationale a adopté hier le projet de loi sur la réforme pénale. Le texte, finalisé en commission mixte paritaire, n’a plus qu’à être avalisé par le Sénat le 25 mai prochain. Une excellente occasion de revenir sur les mesures touchant au numérique.

Article 1 Bis. Saisie des correspondances stockées à l’insu de la personne concernée

Pour rechercher et constater des infractions relatives à la criminalité organisée et au terrorisme, un magistrat compétent pourra, à la demande du procureur de la République, autoriser l’accès aux correspondances stockées, accessibles au moyen d’un identifiant informatique.

Cet accès se fera à distance ou non, à l’insu de la personne concernée. Les autorités seront autorisées à saisir ou copier ces informations, toujours en douce. En pratique, le magistrat ou l’officier de police judiciaire commis par lui, pourra « requérir tout agent qualifié d’un service ou d’un organisme placé sous l’autorité ou la tutelle du ministre chargé des communications électroniques ou tout agent qualifié d’un exploitant de réseau ou fournisseur de services de communications électroniques autorisé » pour procéder à ces opérations. En clair, il sera épaulé par l’intervention d’un FAI ou de l’hébergeur d’un site pour procéder à cette intrusion, sans que ces derniers ne puissent s’y opposer.

À l’égard des avocats, magistrats, sénateurs, ou députés, de telles opérations ne seront possibles sans que ces personnes aient été préalablement informées.

Article 2. Interception des correspondances et collecte des données de connexion

Toujours dans le cadre des enquêtes et des informations judiciaires en matière de criminalité organisée, un magistrat pourra, encore à la demande du procureur, autoriser les officiers de police judiciaire à utiliser n’importe quel appareil, logiciel, etc. capable d’ouvrir, supprimer, retarder, détourner, prendre connaissance, intercepter, utiliser ou divulguer une correspondance privée. L’autorisation sera délivrée pour 48 heures, renouvelable une fois.

Avec ces mêmes outils, sera autorisée la collecte des données de connexion afin de connaître tout l’environnement social d’une personne. Qui, quand, où, comment sont passées des communications électroniques à partir d’un appareil en sa possession ? L’autorisation devra être délivrée pour une durée maximale d’un mois (juge des libertés) ou de six mois (juge d’instruction), renouvelable une fois dans les mêmes conditions.

En cas d’urgence (« résultant d’un risque imminent de dépérissement des preuves ou d’atteinte grave aux personnes ou aux biens »), ces opérations pourront être menées par le procureur de la République, sans autorisation préalable. Cette autorisation devra toutefois être confirmée par le juge dans un délai maximal de vingt-quatre heures. À défaut ? Il sera mis fin à ces collectes, sachant que le fruit de ces intrusions sera non effacé, mais placé sous scellés fermés, sans pouvoir être exploité ou utilisé dans la procédure.

Le projet de loi indique en outre que l’autorisation initiale, qui prend la forme d’une ordonnance écrite et motive, « n’a pas de caractère juridictionnel et n’est susceptible d’aucun recours ».

Pour ces opérations, les autorités pourront « requérir tout agent qualifié d’un service, d’une unité ou d’un organisme placé sous l’autorité du ministre de l’Intérieur et dont la liste est fixée par décret ».

Les données collectées seront détruites « à la diligence du procureur de la République ou du procureur général », à l’expiration du délai de prescription de l’action publique, ou lorsqu’une décision définitive aura été rendue au fond. Un PV attestera de cette destruction.

À toutes fins utiles, il a été précisé que ces outils, dont l’IMSI Catcher utilisé à des fins d’interception, ne pourront concerner que la personne ou la liaison visée par l’autorisation. Et pour cause : « ce dispositif est un outil qui peut rayonner largement » a expliqué le rapport en commission mixte paritaire. Pour l’IMSI catcher utilisé à des fins de collectes de données, une telle restriction a été zappée. Celui-ci pourra donc « rayonner largement ».

Article 3. Micro ou caméra espion

Le magistrat autorisera officiers et agents de police judiciaire à mettre en place des dispositifs espions, sans le consentement des intéressés. Caméra, micro, etc. seront implantés dans n’importe quel lieu ou véhicule, même privé. Bien entendu, agents et OPJ auront le droit de pénétrer discrètement ces espaces, même de nuit, et y revenir pour retirer ces yeux et oreilles électroniques. Pareillement, l’ordonnance d’autorisation ne sera pas susceptible de recours.  

Article 3 Bis A captation des données informatiques pour les enquêtes en matière de criminalité organisée

Encore et toujours dans le même cadre, l’article prévoit la possibilité d’installer des chevaux de Troie afin d’accéder « à des données informatiques, de les enregistrer, de les conserver et de les transmettre, telles qu’elles sont stockées dans un système informatique, telles qu’elles s’affichent sur un écran pour l’utilisateur d’un système de traitement automatisé de données, telles qu’il les y introduit par saisie de caractères ou telles qu’elles sont reçues et émises par des périphériques audiovisuels ». Pour aiguiser ces outils, le procureur de la République pourra faire appel aux moyens de l’État soumis au secret de la défense nationale.

Ces canassons pourront être déployés durant un mois (juge des libertés) ou quatre mois (juge d’instruction) renouvelables autant de fois que nécessaire, sur une période totale de deux ans.

Article 4 Ter. Le ministère de la Justice intègre la communauté du renseignement

Comme déjà vu, le projet de loi sur la réforme pénale fait entrer le ministère de la Justice, et très particulièrement le pénitentiaire dans les services du renseignement. Ses agents pourront donc utiliser tout l’arsenal prévu par la loi sur le renseignement de 2015 pour espionner les éventuels échanges passés entre l‘intérieur des cellules et l’extérieur.

Au-delà de cette police administrative, et dans un cadre judiciaire, cette fois, les agents auront la liberté, sous le contrôle du procureur de la République, d’aspirer les données de connexion via n’importe quel acteur du numérique (opérateurs, FAI, hébergeurs, etc.), installer des IMSI catcher, effectuer des interceptions de correspondances, etc. dans l’objectif de « prévenir les évasions et d’assurer la sécurité et le bon ordre des établissements pénitentiaires ». Ils auront aussi le droit de « détecter toute connexion à un réseau non autorisé ». Les données seront conservées durant trois mois, sauf si elles sont transmises à l’autorité judiciaire. Les transcriptions ou extractions seront détruites « dès que leur conservation n’est plus indispensable à la poursuite des finalités ».

Article 4 quinquies. Convention de déchiffrement et quantum des peines 

Cette disposition multiplie par six le quantum des peines attaché à l’article 434-15-2 du Code pénal. Celui-ci punit aujourd’hui de trois ans d'emprisonnement et de 45 000 euros d'amende « le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités ». Si ce refus aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets, alors le coupable risquera jusqu’à cinq ans d'emprisonnement et 75 000 euros d'amende. Avec le projet de loi sur la réforme pénale, la première amende sera donc de 270 000 euros. L’autre de 450 000 euros.

« Il est ici question de l’accès à certaines données chiffrées, qui constitue un point sensible, a expliqué en CMP, Pascal Popelin, député, rapporteur pour l’Assemblée nationale. Nous avons essayé de trouver un point d’équilibre s’agissant de la majoration des amendes encourues par les organismes détenteurs ou fabricants de moyens de cryptologie refusant de remettre à l’autorité judiciaire, ou de mettre en œuvre, sur ses réquisitions, la convention secrète de déchiffrement. Nous n’en sommes pas moins conscients qu’il faudra continuer à avancer sur le sujet, notamment sur le plan européen ».

Article 4 sexies A. Mise au clair des informations chiffrées

Le Centre technique d’assistance (CTA) est un organisme « chargé d’assister les autorités compétentes confrontées, lors des investigations, à des données ayant fait l’objet d’opérations de transformation empêchant d’accéder aux informations en clair », dixit cette page.

Avec cet article, saisi par un magistrat ou un enquêteur, le CTA sera autorisé à briser les scellés judiciaires, puis à les reconstituer en procédant le cas échant « au reconditionnement des supports physiques qu’il était chargé d’examiner ». Ceci devrait assurer à l’avenir « une meilleure mobilisation des outils aujourd’hui à la disposition des magistrats » avait avancé le gouvernement en appui de son amendement.

Article 4 septies A. Délit d’entrave au blocage intentionnel des sites terroristes

5 ans de prison et 75 000 euros d’amende menaceront à l’avenir celui qui, intentionnellement, aura entravé une mesure de blocage organisée par la LCEN (blocage administratif, créé par la loi du 13 novembre 2014) ou le Code de procédure pénale (blocage judiciaire) visant un site faisant l’apologie ou provocant au terrorisme (notre actualité).

Article 4 septies A. Délit de consultation habituelle des sites terroristes

L’idée qui fut portée par Nicolas Sarkozy après les attentats de Toulouse et de Montauban, en 2012, a été reprise dans le projet de loi arbitré en commission mixte paritaire. Plusieurs conditions devront être réunies pour que l’infraction soit constituée :  une consultation habituelle d’un site ouvert au public, dont un contenu provoque directement au terrorisme ou fait son apologie, montrant des images ou représentations de la commission de ces actes consistant en des atteintes volontaires à la vie…

Celui qui consulte trop souvent ces contenus pourra alors être puni de deux ans d’emprisonnement et de 30 000 euros d’amende, sauf s’il démontre qu’il était de bonne foi, qu’il était journaliste, chercheur ou bien parce que ces visites étaient rendues nécessaires pour servir de preuve en justice. L’article soulève cependant de lourdes difficultés notamment sur les critères d’habitudes et sur la démonstration de la preuve de la consultation. (notre actualité)

Article 11. Extension de la compétence des juridictions françaises

Un nouvel article va être introduit dans le Code pénal. Avec lui, « tout crime ou tout délit réalisé au moyen d’un réseau de communication électronique, lorsqu’il est tenté ou commis au préjudice d’une personne physique résidant sur le territoire de la République ou d’une personne morale dont le siège se situe sur le territoire de la République, est réputé commis sur le territoire de la République ».

Cette disposition a été soufflée par le rapport Robert sur la lutte contre la cybercriminalité (p.211 et s.). Elle étend la compétence des juridictions françaises, notamment en matière de contrefaçon réalisée en ligne, en dehors de nos frontières.

La même disposition autorise au passage le recours aux moyens de procédure exceptionnels contre les auteurs de piratage informatique commis en bande organisée : surveillance étendue à tout le territoire national, infiltration, enquête sous pseudonyme, mais pas de garde à vue pendant 96 heures.

Article 13. Plafonnement des cartes prépayées

La capacité d’emport des cartes prépayées sera limitée par un décret, lequel fixera un plafond, mais également « le montant maximal de chargement, de remboursement et de retrait à partir de ce même support ». Il a été décidé également d’assurer une traçabilité durant 5 ans des informations et données techniques « relatives à l’activation, au chargement et à l’utilisation de la monnaie électronique au moyen d’un support physique ». Un arrêté du ministre chargé de l’économie détaillera les modalités de ce recueil et de la conservation des données traitées.

Les parlementaires ont toutefois supprimé l’article 12 ter qui voulait restreindre les paiements par carte monétaire rechargeable.

Articles 14 à 15 bis. Pouvoirs de Tracfin

Tracfin, un des services de renseignement, aura la possibilité de signaler aux banques des situations (zones géographiques, opérations) ou des personnes présentant des risques « importants » de blanchiment de capitaux ou de financement du terrorisme.

Son droit de communication est étendu à l’ensemble des intermédiaires chargés de gérer les systèmes de paiement (le groupement d’intérêt économique CB ou des sociétés Visa et Mastercard). Il portera non plus seulement les « pièces conservées » mais également sur tous « documents, informations ou données conservés ».

Enfin, l’article 15 bis lui ouvre pleinement l’accès au fichier des antécédents judiciaires (le TAJ) pour l’exercice de l’ensemble de ses missions, dont la lutte contre le blanchiment de capitaux.

Article 16 Ter. Extension aux douanes de l’enquête sous pseudonyme

Dans le but de constater sur Internet des délits de contrebande, recel, des infractions en matière de relations financières avec l’étranger, les agents des douanes pourront agir anonymement sur Internet, en utilisant un pseudonyme ou une identité d’emprunt, pour être en contact avec les personnes impliquées dans ces infractions. Ils pourront alors glaner les éléments de preuves jugés utiles.

Article 16 octies A . Une contrefaçon en bande organisée plus sévèrement punie

Comme déjà vu, le projet de loi prévoit 7 ans d’emprisonnement et 750 000 euros à l’encontre des personnes coupables de contrefaçon en bande organisée. Les textes actuels fixent le quantum des peines à 5 ans et 500 000 euros.

La mesure avait été lourdement suggérée par l’Unifab, organisme qui regroupe Peugeot Citroën, Lacoste, Disney, Microsoft, LVMH, Orange, Nike, Vivendi, l’ALPA, la Société civile des producteurs de phonogrammes, etc. (son rapport)

Article 16 octies. Contrôle automatisé des véhicules

Le projet de loi augmente les hypothèses dans lesquelles les services de police et de gendarmerie nationales et des douanes pourront mettre en place une LAPI (ou Lecture automatique de plaques minéralogiques) ainsi qu’une prise photographique des occupants d’un véhicule. Ce sont toutes les infractions visées à l’article 706-73-1du Code de procédure pénale qui vont à l’avenir grossir les rangs, à savoir l’escroquerie en bande organisée, le travail dissimulé, le blanchiment, et même la non-justification des ressources.

Article 27 nonies. Effacement des informations inscrites dans le fichier Traitement d’antécédents judiciaires

L’article veut orchestrer un nettoyage du fameux TAJ, notamment s’agissant des décisions de non-lieu et de classement sans suite. Toutes les décisions ordonnant le maintien ou l’effacement des données personnelles seront décidées par le procureur de la République. Elles seront « prises pour des raisons liées à la finalité du fichier au regard de la nature ou des circonstances de commission de l’infraction ou de la personnalité de l’intéressé. » 

Fait notable, ses décisions, toujours en matière d’effacement ou de rectification des données personnelles, seront susceptibles de recours devant le président de la chambre de l’instruction. 

Article 28 bis A. Scellés

Il sera possible au procureur de la République (ou l’officier de police judiciaire) de requérir toute personne qualifiée afin de procéder à l’ouverture des scellés pour réaliser une ou plusieurs copies de données informatiques stockées sur un PC par exemple. Cette ouverture permettra leur exploitation sans porter atteinte à l’intégrité des scellés.

Article 31 quater. Respect des droits de la défense et Hadopi

Dans l’hypothèse où la Commission de protection des droits estimerait qu’un abonné est peut-être coupable de contrefaçon, alors cet article obligera cette instance de la Hadopi à suivre toute une série de règles protégeant les droits de la défense. Une obligation qui ne doit rien à la générosité de l’actuelle majorité, mais à une directive européenne… La personne ne pourra être entendue par les agents de la Hadopi qu’après avoir été informée :

• De la qualification, de la date et du lieu présumés de l'infraction qu'elle est soupçonnée d'avoir commise ou tentée de commettre
• Du droit de quitter à tout moment les locaux où elle est entendue
• Le cas échéant, du droit d'être assistée par un interprète
• Du droit de faire des déclarations, de répondre aux questions qui lui sont posées ou de se taire
• Du droit d'être assistée au cours de son audition ou de sa confrontation par un avocat choisi par elle ou, à sa demande, désigné d'office par le bâtonnier de l'ordre des avocats
• De la possibilité de bénéficier, le cas échéant gratuitement, de conseils juridiques dans une structure d'accès au droit.

Article 31 octies. La plateforme nationale des interceptions judiciaires repoussée à 2017

Selon cet article, la PNIJ doit entrer en vigueur à partir du 1er janvier 2017. À cette date, il reviendra à un décret en Conseil d’État de déterminer les missions et les modalités de fonctionnement de cette fameuse plateforme nationale des interceptions judiciaires. Avec cette disposition, les réquisitions devront être centralisées au sein de la PNIJ, « sauf impossibilité technique ».

Cette porte de sortie permettra d’éviter aux services disséminés dans toute la France d’avoir à lui adresser le fruit des interceptions judiciaires, du moins lorsque l’émission s’avèrera techniquement impossible.

Article 32 AC. Signalétique des véhicules : allongement de la durée de conservation

À ce jour, les données issues du contrôle automatisé des données signalétiques des véhicules sont conservées durant un délai maximum de huit jours, au-delà duquel elles sont effacées dès lors qu'elles n'ont donné lieu à aucun rapprochement positif avec d’autres fichiers.

Le projet de loi sur la réforme pénale étend cette période à 15 jours.

Article 32 Caméra mobile

Policiers et gendarmes devront activer ces caméras embarquées « lorsque se produit ou est susceptible de se produire un incident, eu égard aux circonstances de l’intervention ou au comportement des personnes concernées ». Les parlementaires ont refusé que cet enregistrement puisse se faire à la demande. En creux, cela signifie donc que chaque agent sera maitre du moment où il décide d’allumer et d'éteindre sa caméra (notre actualité).

Le 32 BIS A prévoit lui un système similaire pour les agents de sécurité dans les transports publics. Enfin, l’article 32 bis étend à titre expérimental ces outils au ceinturon des agents de police municipale. Ces tests seront conditionnés cependant à un round d’autorisations préalables.