Délibération n° 2019-119 du 26 septembre 2019 portant avis sur un projet de décret modifiant le décret n° 2015-1700 du 18 décembre 2015 relatif à la mise en œuvre de traitements de données informatiques captées en application de l'article 706-102-1 du code de procédure pénale (demande d'avis n° 18004354)

JORF n°0002 du 3 janvier 2020
texte n° 65



Délibération n° 2019-119 du 26 septembre 2019 portant avis sur un projet de décret modifiant le décret n° 2015-1700 du 18 décembre 2015 relatif à la mise en œuvre de traitements de données informatiques captées en application de l'article 706-102-1 du code de procédure pénale (demande d'avis n° 18004354)

NOR: CNIX2000110X
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet de décret modifiant le décret n° 2015-1700 du 18 décembre 2015 relatif à la mise en œuvre de traitements de données captées en application de l'article 706-102-1 du code de procédure pénale ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil ;
Vu le code de procédure pénale, notamment ses articles 28-2 et 706-95 à 706-102-9 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 31-II et 31-IV ;
Vu la loi n° 2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure ;
Vu la loi n° 2014-1353 du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme, notamment son article 21 ;
Vu la loi n° 2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l'efficacité et les garanties de la procédure pénale ;
Vu la loi n° 2019-222 du 23 mars 2019 de programmation 2018-2022 et de réforme pour la justice ;
Vu le décret n° 2015-1700 du 18 décembre 2015 relatif à la mise en œuvre de traitements de données informatiques captées en application de l'article 706-102-1 du code de procédure pénale ;
Vu le décret n° 2019-536 du 29 mai 2019 modifié pris pour l'application de la loi n° 78- 17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu l'arrêté du 9 mai 2018 portant création du service à compétence nationale dénommé « service technique national de captation judiciaire » ;
Vu la délibération n° 2015-109 du 2 avril 2015 portant avis sur un projet de de décret relatif à la mise en œuvre de systèmes de traitement de données captées ;


Sur la proposition de Mme Sophie LAMBREMON, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission a été saisie, par le ministre de l'intérieur, d'une demande d'avis relative à un projet de décret modifiant le décret n° 2015-1700 du 18 décembre 2015 relatif à la mise en œuvre de traitements de données informatiques captées en application de l'article 706-102-1 du code de procédure pénale (CPP).
Ces traitements, sur lesquels la Commission s'est déjà prononcée dans son avis n° 2015- 109 du 2 avril 2015 susvisé, ont pour finalité « la constatation des crimes et délits entrant dans le champ d'application des articles 706-73 et 706-73-1 du [CPP], le rassemblement des preuves de ces infractions et l'identification de leurs auteurs » au moyen de « la collecte, l'enregistrement et la conservation de données informatiques captées ».
Dans la mesure où les traitements concernés sont mis en œuvre à des fins de prévention, de détection des infractions pénales, d'enquête et de poursuites en la matière, et que des données sensibles, au sens de l'article de l'article 6 de la loi du 6 janvier 1978 modifiée sont susceptibles d'être collectées et enregistrées, leur modification doit faire l'objet d'un décret en Conseil d'Etat, pris après avis motivé et publié de la Commission. Le projet de décret examiné constitue en outre un acte réglementaire unique, en référence duquel des engagements de conformité seront adressés à la Commission préalablement à chaque mise en œuvre d'un traitement de données informatiques captées, conformément aux dispositions de l'article 31-IV de la loi du 6 janvier 1978 modifiée. A cet égard, la Commission prend acte des précisions apportées par le ministère selon lesquelles seules les directions générales de la police nationale (DGPN), de la gendarmerie nationale (DGGN), de la sécurité intérieure (DGSI), ainsi que des douanes et droits indirects (DGDDI) sont susceptibles de mettre en œuvre de tels traitements.
Elle considère également qu'il résulte de l'évolution du cadre juridique relatif à la protection des données à caractère personnel visant notamment à tenir compte des dispositions de la directive (UE) 2016/680 du 27 avril 2016 susvisée, que le projet de décret qui lui est soumis doit faire l'objet d'un examen au regard de ces dispositions, et plus particulièrement des articles 87 et suivants de la loi du 6 janvier 1978 modifiée. La Commission relève à ce titre qu'une analyse d'impact relative à la protection des données (AIPD) lui a été transmise.
Rappel sur les traitements mis en œuvre dans le cadre du dispositif prévu à l'article 706-102-1 du CPP et présentation des principales modifications envisagées
La Commission rappelle que la captation de données informatiques dans le cadre d'informations judiciaires relatives à des infractions de délinquance et de criminalité organisées a été introduite aux articles 706-102-1 et suivants du CPP par la loi n° 2011- 267 du 14 mars 2011 susvisée. Le périmètre de cette captation a ensuite été élargi par la loi n° 2014-1353 du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme.
Les traitements mis en œuvre sur le fondement de l'article 706-102-1 du CPP doivent ainsi permettre d'appréhender et de collecter des données informatiques telles qu'elles s'affichent à l'écran pour l'utilisateur (copies-écran), telles qu'elles sont saisies sur le clavier (frappes-clavier) ou telles qu'elles sont reçues et émises par des périphériques audiovisuels (captation du son et de l'image reçus et émis lors de l'utilisation d'un service audiovisuel en ligne).
La Commission relève que le projet de décret qui lui est soumis pour avis vise à tenir compte des évolutions de la loi n° 2016-731 du 3 juin 2016 susvisée, qui a d'une part, étendu le périmètre des mesures de captation, aux données stockées dans un système informatique, et a, d'autre part, autorisé le recours à cette technique, jusqu'alors limitée à l'instruction, à l'enquête de flagrance ou préliminaire sur autorisation du juge des libertés et de la détention (JLD) à la requête du procureur de la République.
La Commission relève par ailleurs que le ministère entend également tenir compte des évolutions apportées par la loi n° 2019-222 du 23 mars 2019 susvisée, qui a harmonisé les dispositions applicables aux techniques spéciales d'enquête, à savoir le recueil de données techniques de connexion, la sonorisation et la captation d'images ainsi que la captation de données informatiques.
Outre les évolutions précitées, la Commission prend acte que les autres conditions de mise en œuvre de ces traitements demeurent inchangées.
Sur la finalité des traitements
L'article 1er du projet de décret prévoit que les traitements envisagés permettent « sous l'autorité et le contrôle du juge des libertés et de la détention ou du juge d'instruction, la collecte, l'enregistrement et la conservation de données informatiques captées selon les modalités fixées aux articles 706-95-11 et suivants et 706-102-1 et suivants du code de procédure pénale ».
De manière générale, la Commission observe que le champ de ces dispositifs ainsi que les données pouvant faire l'objet de telles captations, ont fait l'objet d'élargissements constants et significatifs ces dernières années. Elle relève que les méthodes d'enquête ainsi employées, qui revêtent un caractère particulièrement intrusif en ce qu'elles conduisent à la collecte d'un volume important de données, sont susceptibles de porter une atteinte importante au respect de la vie privée des personnes mises en cause d'une part, et des tiers d'autre part. Elle estime que la mise en œuvre de ces dispositifs doit s'accompagner de garanties fortes pour s'assurer que les données ainsi captées, collectées à l'insu des personnes concernées, sur un nombre de plus en plus important d'individus, ne portent pas d'atteintes excessives aux droits et libertés fondamentaux des personnes concernées.
Au-delà du caractère particulièrement intrusif, par nature, de ces dispositifs de captation, la Commission relève qu'ils ont fait l'objet d'un encadrement législatif spécifique, tout comme les modalités d'exploitation des données recueillies dans ce cadre et les garanties procédurales et techniques devant entourer leur mise en œuvre.
A cet égard, elle relève que l'article 5 de la loi du 3 juin 2016 susvisée a élargi le périmètre de ces captations, jusqu'alors limitées par l'article 706-102-1 du CPP aux données « telles qu'elles s'affichent sur un écran pour l'utilisateur d'un système de traitement automatisé de données, telles qu'il les y introduit par saisie de caractères ou telles qu'elles sont reçues et émises par des périphériques », aux informations telles qu'elles sont « stockées dans un système informatique ».
De la même manière, l'article 5 de la loi du 3 juin 2016 précitée a également étendu le recours à cette technique au champ de l'enquête de flagrance et de l'enquête préliminaire sur autorisation du juge des libertés et de la détention à la requête du procureur de la République, sous réserve que l'enquête porte sur infractions relevant de la criminalité et la délinquance organisées en application des articles 706-73 et 706-73-1 du CPP. Si la Commission relève que le décret du 18 décembre 2015 est modifié afin d'en tenir compte, cette évolution n'appelle pas d'observation particulière de sa part.
Dans ce contexte, la Commission considère que la finalité poursuivie par les traitements envisagés dans le cadre des dispositions du CPP précitées est légitime, conformément à l'article 4-2° de la loi du 6 janvier 1978 modifiée.
Sur la nature des données collectées et traitées
A titre liminaire, et compte tenu de la nature des dispositifs ayant vocation à être mis en œuvre, la Commission constate qu'il est par définition difficile d'établir une liste exhaustive des données pouvant être collectées dans la mesure où l'ensemble des informations telles que l'utilisateur les saisira sur son clavier, les visualisera sur son écran, les prononcera ou entendra via un périphérique audiovisuel ou telles qu'elles seront stockées dans un système informatique, sont susceptibles d'être collectées, de manière indifférenciée. Elle relève par ailleurs que ce n'est qu'à l'issue de la captation qu'elles sont exploitées en vue de leur transcription dans un procès-verbal pour les seules données utiles à la manifestation de la vérité.
En premier lieu, la Commission relève que l'article 706-95-18 du CPP prévoit que « l'officier de police judiciaire ou l'agent de police judiciaire agissant sous sa responsabilité décrit ou transcrit, dans un procès-verbal qui est versé au dossier, les données enregistrées qui sont utiles à la manifestation de la vérité. Aucune séquence relative à la vie privée étrangère aux infractions visées dans les ordonnances autorisant la mesure ne peut être conservée dans le dossier de la procédure ». Elle rappelle à cet égard qu'une attention particulière devra être portée au caractère strictement nécessaire des données enregistrées.
En second lieu, et sans remettre en cause les contraintes tant techniques qu'opérationnelles liées à la mise en œuvre de ce type de dispositif, la Commission rappelle que l'article 35 de la loi du 6 janvier 1978 modifiée prévoit l'obligation de mentionner, dans l'acte réglementaire portant création d'un traitement relevant de l'article 31 de la même loi, les catégories de données à caractère personnel enregistrées dans le traitement. Elle demande que le projet de décret soit complété sur ce point conformément aux dispositions précitées.
Ces observations générales formulées, la Commission relève que l'article 2 du projet de décret a pour objet de permettre la captation de données « telles que stockées dans un système informatique ».
Elle prend acte des précisions apportées par le ministère selon lesquelles cette extension concernera l'ensemble des données d'un système informatique, sans distinction et qu'à ce titre, peuvent notamment être visées des informations enregistrées sur un disque dur, sur des courriers électroniques qui n'auraient pas été ouverts par l'utilisateur ou encore, sur l'intégralité d'un fichier qui n'aurait été que partiellement visualisé par la personne à laquelle il est destiné.
Si la Commission ne remet pas en cause le principe même de la captation de ces données, telle qu'encadrée par le législateur, elle entend toutefois rappeler les observations formulées dans sa délibération n° 2015-109 susvisée, s'agissant plus particulièrement de la captation de données relatives à un individu en relation avec la personne mise en cause ainsi que celle visant un système n'appartenant pas ou n'étant pas utilisé par la personne visée par la mesure.
A cet égard, elle souligne que le projet de décret mentionne que pourront être enregistrées « l'ensemble des données captées », sans qu'il ne soit expressément précisé que pourront être collectées des données tant relatives à l'utilisateur du système d'information, qu'aux personnes avec qui il est en relation. Compte tenu du volume de données susceptibles d'être captées, et relatives plus particulièrement à des tiers, elle demande que le projet de décret soit explicité sur ce point.
En tout état de cause, la Commission prend acte des garanties entourant la mise en œuvre de ces dispositifs de captation. Elle relève à cet égard que les traitements encadrés par le projet de décret ne font l'objet d'aucune mise en relation ou interconnexion avec d'autres fichiers.
De la même manière, elle prend acte que le contrôle à distance du système informatique est exclu (par exemple, le déclenchement forcé de la webcam), et que si des images ainsi que des sons pourront faire l'objet d'une collecte, aucun mécanisme de reconnaissance faciale ou vocale ni d'analyse comportementale des dynamiques des frappes au clavier ne seront mis en œuvre. La Commission rappelle que si de telles techniques devaient à l'avenir être développées, elle devra être saisie dans les conditions prévues à l'article 33 de la loi du 6 janvier 1978 modifiée.
Sur la durée de conservation des données
Si la Commission relève que le ministère n'entend pas apporter de modifications à la durée de conservation des données, elle souligne que les informations enregistrées dans le traitement sont conservées jusqu'à la clôture de l'enquête et sa transmission à l'autorité judiciaire.
Elle appelle à cet égard l'attention du ministère sur les modalités de conservation et d'accès aux enregistrements des données qui ont été considérées, au moment de la transcription, sans rapport avec l'enquête en cours, ainsi que des données captées sur un système d'information n'appartenant pas à la personne mise en cause. La Commission estime que, dans ces hypothèses, des mesures particulières devront être mises en œuvre afin de garantir leur confidentialité. Elle rappelle également qu'un contrôle strict doit être exercé sur leur accès.
L'article 6 du projet de décret prévoit que « toute opération de collecte, de modification, de consultation, de transfert et de suppression des données à caractère personnel et informations fait l'objet d'un enregistrement comprenant l'identification de l'auteur, la date, l'heure et la nature de l'opération. Ces informations sont conservées pendant une durée de six ans », ce qui n'appelle pas d'observation particulière de la Commission.
Sur les destinataires
L'article 4 du projet de décret prévoit que « les agents des services fiscaux habilités à effectuer des enquêtes judiciaires en application de l'article 28-2 du code de procédure pénale » peuvent accéder aux données enregistrées dans le traitement.
La Commission relève que ces agents sont habilités à effectuer des enquêtes sur réquisition du procureur de la République ou sur commission rogatoire du juge d'instruction, leur conférant dès lors des prérogatives de police judiciaire s'agissant d'infractions entrant dans le champ du dispositif projeté.
Compte tenu de ces éléments, elle considère que ces agents sont légitimes à accéder aux données enregistrées dans les traitements mis en œuvre, dans le respect du principe du besoin d'en connaître et pour les besoins exclusifs de la procédure dans le cadre de laquelle l'opération de captation a été autorisée.
L'article 4 précité prévoit qu'ont également « accès aux informations mentionnées à l'article 6, les personnalités qualifiées chargées du contrôle des travaux de conception et des opérations de mise en œuvre des dispositifs techniques ».
La Commission relève que l'article 7 de l'arrêté du 9 mai 2018 portant création du service technique national de captation judiciaire prévoit que « les travaux de conception et les opérations de mise en œuvre des outils de captation judiciaire mentionnés à l'article 2 sont placés sous le contrôle de deux personnalités qualifiées, respectivement désignées par le ministre de l'intérieur et le ministre de la justice, pour une durée de cinq ans renouvelable ». Il précise également que ces personnes « peuvent solliciter la communication par le service de toute information nécessaire à l'exercice de leur mission de contrôle ».
La Commission prend acte que seules les données de traçabilité leur seront accessibles aux fins d'exercice de « leur mission de contrôle ».
Sans remettre en cause la nécessité pour ces personnalités d'avoir communication des données de traçabilité enregistrées dans les traitements mis en œuvre, elle relève que l'arrêté du 9 mai 2018 précité semble prévoir une communication ponctuelle, à leur demande, de ces données. Dans ce contexte et en l'état des informations portées à sa connaissance, la Commission recommande que ces personnalités soient uniquement rendues destinataires de cette catégorie de données. Elle prend acte de l'engagement du ministère de modifier le projet de décret en ce sens ainsi que l'AIPD transmise.
Sur les droits des personnes concernées
L'article 7 du projet de décret prévoit que « « le droit d'opposition prévu à l'article 110 de la loi du 6 janvier 1978 susvisées ne s'applique pas au présent traitement ». L'article précité précise également que « conformément aux articles 104 à 106 de la même loi, les droits d'information, d'accès, de rectification et d'effacement des données mentionnées à l'article 2 s'exercent directement auprès du ministère de l'intérieur ».
La Commission prend acte que les personnes seront informées via la publication de l'acte réglementaire ainsi que par le biais du site internet du ministère de l'intérieur. Elle relève par ailleurs que l'exercice de l'ensemble de ces droits peut faire l'objet de restrictions, afin d'éviter de gêner des enquêtes, des recherches ou des procédures administratives ou judiciaires, ou de protéger la sécurité publique et la sécurité nationale, en application des 2° et 3° du II et III de l'article 107 de la loi du 6 janvier 1978 modifiée. Compte tenu de la finalité du traitement, la limitation de ces droits, qui s'exercent dans une telle hypothèse auprès de la Commission dans les conditions prévues à l'article 108 de cette même loi, n'appelle pas d'observation particulière.
Sur les mesures de sécurité
Le système de traitement de données captées se matérialise par l'insertion de manière discrète d'une charge logique sur l'équipement de l'individu visé. Une fois activé, le logiciel permet la remontée aux forces de l'ordre de l'ensemble des données présentes sur le support ciblé.
La Commission relève que les données devant être collectées sont enrichies par une signature et par un journal d'évènement. Elle prend acte qu'ensuite, avant transfert, les données collectées, accompagnées de leurs journaux d'évènement, sont chiffrées, à l'aide d'un algorithme public réputé fort, ce qui n'appelle pas d'observations.
Elle prend acte qu'afin de consulter les données, le personnel habilité doit se connecter à l'espace de conservation des données via une connexion chiffrée de type VPN. De plus, le personnel habilité doit s'authentifier de manière forte, à l'aide d'un « dongle » et d'un mot de passe devant comporter dix (10) caractères minimum dont un caractère spécial, soumis à une règle de blocage du compte après trois tentatives infructueuses et ayant une durée de validité égale au temps d'investigation. Les administrateurs, en charge de réaliser l'administration des droits et le support de niveau 2, doivent quant à eux accéder à la plateforme au moyen d'une connexion SSH soumise à mot de passe puis s'authentifier à l'aide d'une carte à puce. Ces éléments n'appellent pas d'observations.
La Commission prend acte que les administrateurs précités sont les seuls habilités à délivrer les mots de passe et à déclarer les ayants droit autorisés à accéder aux espaces de stockage (conteneurs de données), les utilisateurs finaux disposant d'un mot de passe par affaire. A cet égard, elle encourage le ministère à mettre en œuvre une organisation forte de gestion des mots de passe délivrés par les administrateurs.
Enfin, elle relève que le ministère indique qu'actuellement, aucune protection contre les sources de risques non humaines (catastrophes naturelles par exemple), n'existe, le second site permettant la sauvegarde des données n'étant pas choisi à l'heure actuelle. Elle prend acte que le ministère envisage d'utiliser un site de secours pour les sauvegardes d'ici 2020.
La Commission estime que les mesures de sécurité sont conformes à l'exigence de sécurité prévue par l'article 99 de la loi du 6 janvier 1978 modifiée. Elle rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques. A cet égard, elle rappelle qu'il conviendra d'apporter une attention spécifique à la réévaluation des mesures de sécurité dans le cadre de la mise à jour de l'analyse d'impact.


Pour la présidente :

La vice-présidente déléguée,

S. Lambremon