Délibération n° 2016-383 du 8 décembre 2016 portant avis sur un projet de décret modifiant le décret n° 2014-1162 du 9 octobre 2014 relatif à la création de la « plate-forme nationale des interceptions judiciaires » (demande d'avis n° 16024832)

JORF n°0300 du 27 décembre 2016
texte n° 113



Délibération n° 2016-383 du 8 décembre 2016 portant avis sur un projet de décret modifiant le décret n° 2014-1162 du 9 octobre 2014 relatif à la création de la « plate-forme nationale des interceptions judiciaires » (demande d'avis n° 16024832)

NOR: CNIX1637472X
ELI: Non disponible


La Commission nationale de 1'informatique et des libertés,
Saisie par le ministre de la justice d'une demande d'avis concernant un projet de décret modifiant le décret n° 2014-1162 du 9 octobre 2014 relatif à la création de la « plate­ forme nationale des interceptions judiciaires » ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de procédure pénale, notamment ses articles 230-45, R. 40-42 à R. 40-56 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 26-II et 30 ;
Vu la loi n° 2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l'efficacité et les garanties de la procédure pénale, notamment son article 88 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2007-115 du 30 juillet 2007 modifié portant création d'un traitement automatisé de données à caractère personnel dénommé « Système de transmission d'interceptions judiciaires » ;
Vu la délibération n° 2015-358 du 15 octobre 2015 portant avis sur un projet de décret en Conseil d'Etat modifiant le décret n° 2014-1162 du 9 octobre 2014 portant création d un traitement automatisé de données à caractère personnel dénommé « Plate-forme nationale des interceptions judiciaires » ;
Après avoir entendu M. Gaëtan GORCE, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission a été saisie par le ministre de la justice d'une demande d'avis concernant un projet de décret modifiant le décret n° 2014-1162 du 9 octobre 2014 portant création d'un traitement automatisé de données à caractère personnel dénommé « Plate-forme nationale des interceptions judiciaires » (PNIJ), pris après avis de la Commission en date du 16 janvier 2014.
L'article 1er dudit décret, relatif aux modalités de mise en œuvre du traitement PNIJ, a été codifié aux articles R. 40-42 à R. 40-56 du code de procédure pénale (CPP). L'article 4 du même décret prévoit l'abrogation du décret du 30 juillet 2007 susvisé relatif au « Système de transmission d'interceptions judiciaires » (STIJ), auquel la PNIJ a vocation à succéder.
Il était initialement prévu que le STIJ soit supprimé six mois après la mise en œuvre de la plate-forme nationale des interceptions judiciaires, constatée par arrêté du garde des sceaux, ministre de la justice, et au plus tard le 31 décembre 2015.
Au cours de l'année 2015, le ministère a souhaité reporter la date de suppression du STI.J, en raison de la complexité du déploiement de la PNIJ, au 31 décembre 2016. La Commission s'était prononcée sur cette modification dans son avis susvisé en date du 15 octobre 2015.
Le présent projet de décret vise à reporter une nouvelle fois la date de suppression de ce traitement. Il prévoit ainsi que le décret du 30 juillet 2007 précité devra être abrogé au plus tard le 31 décembre 2017. En application des dispositions des articles 26-II et 30 de la loi du 6 janvier 1978 modifiée, cette modification doit faire l'objet d'un décret en Conseil d'Etat pris après avis motivé et publié de la Commission. Le présent projet de décret appelle dans ce cadre les observations suivantes.
Le ministère a indiqué que le déploiement des interceptions a posé des difficultés techniques, notamment en raison du nombre très important d'interceptions effectuées de manière simultanée.
La Commission prend dès lors acte de la nécessité, au regard des dysfonctionnements de la PNIJ, de décaler le calendrier de sa montée en charge en matière d'interception et estime que cette modification ne soulève pas de difficulté particulière.
En revanche, elle estime que la suppression du STIJ devra s'accompagner de l'effacement de l'ensemble des données qui y sont enregistrées et, concernant les données provenant dudit traitement et qui ont vocation à être transférées sur les postes de travail des enquêteurs, de la mise en œuvre de mesures permettant de garantir qu'elles sont traitées conformément aux dispositions des articles R. 40-42 à R. 40-56 du CPP.
La Commission rappelle que ces observations avaient déjà été formulées dans son avis en date du 15 octobre 2015 précité et relève qu'elle n'a pas été tenue informée, comme elle le demandait, des mesures prises ou envisagées par les ministères de l'intérieur et de la justice, ni en 2015 ni dans le cadre de la présente saisine. A cet égard, elle prend acte que, à sa demande, ces éléments lui seront communiqués au plus tard dans le cadre de la saisine à venir concernant les modifications des dispositions réglementaires du CPP relatives à la PNIJ suite à l'adoption de la loi du 3 juin susvisée.
Ladite loi a en effet modifié le cadre réglementant la PNIJ à plusieurs égards, en introduisant un nouvel article 230-45 au CPP qui entrera en vigueur le 1er janvier 2017.
Le deuxième alinéa de l'article 230-45 du CPP prévoit ainsi que l'ensemble des « réquisitions et demandes » adressées à des fins d'obtention des données de connexions, de géolocalisation ou des interceptions devront désormais, « sauf impossibilité technique », obligatoirement être formulées par l'intermédiaire de la PNIJ, qui en organisera la centralisation et l'exécution. Le placement sous scellé des données relatives aux interceptions judiciaires et aux mesures de géolocalisation en temps réel, ainsi que l'établissement d'un procès-verbal de destruction des enregistrements de ces données, sont en outre exclus. Enfin, l'article 230-45 du CPP prévoit que des données de connexion, des interceptions ou des données de géolocalisation recueillies dans de nouveaux cadres devront être traitées par l'intermédiaire de la PNIJ.
La Commission relève qu'un décret, pris après son avis motivé et publié, devra modifier les articles R. 40-42 et suivants du même code pour la bonne application de ces nouvelles dispositions.
Elle considère que ces dispositions devront notamment permettre de s'assurer de l'étanchéité des données collectées dans des cadres différents et préciser les modalités d'accès des agents de l'administration pénitentiaire à la PNIJ ainsi que les mesures de sécurité entourant le traitement des données en cas d'indisponibilité technique de la plate-forme.
Enfin, le ministère s'était engagé à communiquer à la Commission le rapport annuel établi par la personnalité qualifiée en charge du contrôle de la PNIJ prévu à l'articleR. 40-53 du CPP, ce dont elle avait pris acte dans son avis en date du 15 octobre 2015 précité. A cet égard, le ministère a indiqué que ce rapport sera rendu au garde des sceaux au début de l'année 2017, soit un an après le début effectif de la mission de contrôle de la personnalité qualifiée et qu'il sera communiqué à la Commission, ce dont elle prend acte.


Pour la présidente :

Le vice-président délégué,

M.-F. Mazars