Délibération n° 2015-358 du 15 octobre 2015 portant avis sur un projet de décret en Conseil d'Etat modifiant le décret n° 2014-1162 du 9 octobre 2014 portant création d'un traitement automatisé de données à caractère personnel dénommé « Plate-forme nationale des interceptions judiciaires ». (demande d'avis n° 1207101 v2)

Version initiale


La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de la justice d'une demande d'avis concernant un projet de décret en Conseil d'Etat modifiant le décret n° 2014-1162 du 9 octobre 2014 portant création d'un traitement automatisé de données à caractère personnel dénommé « Plate-forme nationale des interceptions judiciaires »,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de procédure pénale, notamment ses articles 74-2, 60-2, 77-1-2, 99-4, 80-4,100 à 100-7, 706-95, R. 40-42 à R. 40-56 ;
Vu le code des postes et des communications électroniques, notamment ses articles L. 34-1, R. 10-12 à R. 10-14 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 26-II et 30 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2007-115 du 30 juillet 2007 portant création d'un traitement automatisé de données à caractère personnel dénommé « Système de transmission d'interceptions judiciaires » ;
Vu le décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne, notamment son article 1er ;
Vu le décret n° 2014-1162 du 9 octobre 2014 portant création d'un traitement automatisé de données à caractère personnel dénommé « Plate-forme nationale des interceptions judiciaires » ;
Vu la délibération n° 2014-009 du 16 janvier 2014 portant avis sur un projet de décret autorisant la mise en œuvre d'un traitement automatisé de données à caractère personnel dénommé « Plate-forme nationale des interceptions judiciaires » ;


  • Après avoir entendu M. Gaétan GORCE, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
    Emet l'avis suivant :
    La commission a été saisie par le ministre de la justice d'une demande d'avis concernant un projet de décret modifiant le décret n° 2014-1162 du 9 octobre 2014 portant création d'un traitement automatisé de données à caractère personnel dénommé « Plate-forme nationale des interceptions judiciaires » (PNIJ), pris après avis de la commission en date du 16 janvier 2014.
    L'article 1er du décret du 9 octobre 2014 susvisé, relatif aux modalités de mise en œuvre du traitement PNIJ, a été codifié aux articles R. 40-42 à R. 40-56 du code de procédure pénale (CPP). L'article 4 dudit décret est quant à lui relatif à l'abrogation du décret n° 2007-1145 du 30 juillet 2007 portant création d'un traitement automatisé de données à caractère personnel dénommé « Système de transmission d'interceptions judiciaires » (STIJ), auquel la PNIJ a vocation à succéder.
    Sur le report de l'abrogation du décret n° 2007-1145 du 30 juillet 2007 relatif au STIJ
    La PNIJ a pour objet de centraliser, d'une part, les données de connexion définies aux articles L. 34-1 du code des postes et des communications électroniques (CPCE) et 6-I1 de la loi n° 2004-575 du 21 juin 2004 modifiée (LCEN), obtenues dans le cadre d'une réquisition judiciaire en application des articles 60-2, 77-1-2 et 99-4 du code de procédure pénale (CPP), et, d'autre part, les données issues des interceptions de correspondances émises par la voie des télécommunications, réalisées sur le fondement des articles 74-2, 80-4,100 à 100-7 et 706-95 du CPP.
    En effet, avant la mise en œuvre de cette plateforme, les dispositifs d'interception des communications électroniques et les réquisitions de données de connexion reposaient sur un système hétérogène et décentralisé.
    Ainsi, les réquisitions de données de connexion étaient réalisées directement par l'enquêteur auprès de l'operateur de communications électroniques, du fournisseur d'accès à internet (FAI) ou de l'hébergeur, sans qu'un outil commun soit mis à la disposition des enquêteurs et des opérateurs.
    S'agissant des interceptions judiciaires, aucun traitement ne permettait la centralisation, au sein d'un dispositif dédié, du contenu de l'ensemble des communications interceptées dans le cadre de procédures judiciaires. Le STIJ, créé par décret du 30 juillet 2007 susvisé, permet néanmoins à l'autorité judiciaire de disposer du contenu des minimessages (SMS ou MMS) émis ou reçus par un numéro de téléphone dont la ligne est interceptée, ainsi que les données de trafic associées, que leur transmettent, sur réquisition judiciaire, les opérateurs de communications électroniques.
    La PNIJ a ainsi vocation à se substituer au STIJ et à centraliser ces deux types de réquisitions. C'est pourquoi il est prévu, à l'article 4 du décret du 9 octobre 2014 susmentionné, d'abroger le décret n° 2007-1145 du 30 juillet 2007 relatif au STIJ six mois après la mise en œuvre de la PNIJ et au plus tard le 31 décembre 2015.
    Néanmoins, le ministère a entendu procéder au déploiement de la plateforme de manière progressive, de sorte qu'il ne sera pas achevé au 31 décembre 2015. La modification envisagée vise dès lors à permettre un report de l'abrogation du décret du 30 juillet 2007 précité au 31 décembre 2016.
    Plus précisément, le ministère de la justice a limité dans un premier temps les services d'enquêtes participant à la phase pilote. L'ouverture de la PNIJ à l'ensemble des services enquêteurs interviendra, en fonction des zones de défense auxquelles ils appartiennent, entre octobre 2015 et le deuxième semestre 2016.
    Le ministère de la justice a par ailleurs ouvert progressivement les différentes prestations pouvant être demandées. Ainsi, seules les données de connexion, mentionnées au 3° de l'article R. 40-46 du CPP, ont dans un premier temps été traitées par l'intermédiaire de la PNIJ. Les réquisitions d'interception ont, par la suite, été ouvertes à la PNIJ.
    La version actuelle de la PNIJ ne permet pas techniquement de traiter les données prévues à l'article R. 40-46-2° du CPP (données liées aux communications électroniques faisant l'objet d'une mesure de géolocalisation en temps réel). De même, la fonction de reconnaissance vocale du locuteur n'est pas disponible. Des développements ultérieurs de la PNIJ permettront progressivement de prendre en compte ces fonctionnalités.
    Ce déploiement progressif de la PNIJ permet de tester l'efficacité du dispositif, tant d'un point de vue procédural que de sécurité des données ainsi traitées. La commission prend acte que cela permet ainsi de s'assurer que les données sont traitées conformément aux modalités prévues par les articles R. 40-42 à R. 40-56 du CPP. D'une manière générale, le ministère estime que l'utilisation de la PNIJ dans le cadre de cette phase pilote est satisfaisante, aussi bien en ternies de rapidité de traitement des réquisitions et des réponses des opérateurs que de sécurité des échanges.
    La commission relève enfin que le décret du 30 juillet 2007 susvisé prévoit une durée de conservation dans le STIJ du contenu des minimessages et des données de connexion limitée à 30 jours, ces données étant ensuite transférées sur le poste de travail de l'enquêteur qui en conserve ainsi la totale disponibilité. Les informations relatives aux destinataires des interceptions judiciaires sont quant à elles conservées dans le STIJ pendant un délai de trois ans à compter de leur enregistrement.
    Or, la commission a pris acte dans sa délibération du 16 janvier 2014 susvisée qu'aucune donnée du STIJ ne serait reprise dans la PNIJ. L'abrogation du décret relatif au STIJ devra ainsi s'accompagner de l'effacement de l'ensemble des données qui y sont enregistrées. La commission s'interroge dès lors sur le devenir des données provenant du STIJ et transférées sur le poste de travail des enquêteurs.
    A cet égard, elle rappelle que, dans sa délibération du 16 janvier 2014, elle a estimé que l'enregistrement de données sur les postes informatiques des enquêteurs ne permet pas d'assurer de manière satisfaisante la sécurité et notamment la confidentialité des enregistrements.
    La commission souhaite dès lors être tenue informée des mesures prises par les ministères de l'intérieur et de la justice pour que les données provenant du STIJ et transférées sur le poste de travail des enquêteurs soient traitées selon des modalités conformes aux dispositions des articles R. 40-42 à R. 40-56 du CPP.
    Sous cette réserve, la commission estime que le report de l'abrogation du décret relatif au STIJ ne pose pas de difficulté particulière.
    En revanche, elle relève que si la PNIJ permet également de procéder au transfert de tout ou partie des communications sur le poste de travail de l'enquêteur, la chancellerie a indiqué qu'aucun besoin de transfert de tout ou partie des communications interceptées sur le poste de travail d'un enquêteur n'a été exprimé pendant la phase pilote. Au regard des risques en matière de sécurité liés à cette pratique, la commission appelle l'attention du ministère sur la nécessité de limiter, par des mesures techniques, la mise en œuvre de cette fonctionnalité aux seules situations qui l'exigent.
    Sur la prise en compte par le ministère de la justice des observations formulées par la commission dans sa précédente délibération
    Au-delà de la modification envisagée, la commission rappelle qu'elle avait estimé, au regard de l'ampleur des données traitées et de la nature des actes d'enquêtes concernés, que des mesures juridiques et techniques adaptées devaient être prévues afin d'assurer un haut niveau de protection des données. Elle avait également indiqué qu'elle se montrerait particulièrement attentive aux conditions réelles de déploiement de la plate-forme.
    Ainsi, elle prend acte que plusieurs de ses recommandations en matière de sécurité seront mises en œuvre par le ministère de la justice, selon différentes échéances : une réévaluation régulière du niveau des risques sera désormais mise en œuvre, un mécanisme automatique pour détecter les traces dont la durée de conservation est arrivée à échéance et une synthèse régulière de ces traces seront développés dans les prochaines versions de la PNIJ.
    Par ailleurs, la commission rappelle que des mesures de sécurité adéquates doivent également être mises en œuvre par les opérateurs. A cet égard, l'article R. 15-33-72 du CPP prévoit qu'un protocole passé par le ministre de la justice et, selon les cas, le ministre de l'intérieur ou le ministre chargé du budget, avec les organismes qui mettent à la disposition des enquêteurs des données par voie électronique au cours des enquêtes judiciaires, précise les modalités techniques d'interrogation et de transmission des informations et qu'une copie de chaque protocole signé doit être adressée à la CNIL à l'occasion du dépôt des formalités préalables prévues par la loi du 6 janvier 1978 modifiée.
    Conformément à ces dispositions, la commission a été rendue destinataire de cinq protocoles, dont l'examen lui permettra d'assurer un contrôle supplémentaire sur les mesures de sécurité entourant le dispositif.
    Enfin, s'agissant des modalités de contrôle de la PNIJ, alors que l'article R. 40-53 du CPP ne prévoit pas de rendre la commission destinataire du rapport établi par la personnalité qualifiée en charge du contrôle de la PNIJ, ce qu'elle avait déploré dans sa délibération du 16 janvier 2014, le ministère de la justice a précisé qu'un exemplaire dudit rapport lui serait transmis. La commission prend acte de cet engagement, de nature à permettre un meilleur contrôle de la mise en œuvre de la PN IJ.


La présidente,
I. Falque-Pierrotin

Extrait du Journal officiel électronique authentifié PDF - 229,1 Ko
Retourner en haut de la page