Type de juridiction : Conseil d’Etat
Juridiction : Conseil d’Etat
Thématique : Criminalité : arrivée de la surveillance électronique en temps réel
→ RésuméLe Décret n° 2019-1602 du 31 décembre 2019 a élargi la surveillance électronique en temps réel pour lutter contre le crime organisé et le terrorisme. Ce dispositif permet la captation à distance des données informatiques, incluant les frappes au clavier et les contenus affichés à l’écran. Les données collectées sont chiffrées et accessibles uniquement par du personnel habilité via une connexion sécurisée. Cependant, la CNIL a exprimé des réserves sur l’intrusivité de cette collecte, soulignant les risques pour la vie privée des individus concernés et la nécessité de garanties pour protéger leurs droits fondamentaux.
|
En matière de lutte contre le crime organisé, le terrorisme et le financement, le Décret n° 2019-1602 du 31 décembre 2019 a élargi le recours à la captation en temps réel et à distance des données informatiques prévue à l’article 706-102-1 du code de procédure pénale (CPP, enquêtes de flagrance ou préliminaire en matière de criminalité et de délinquance organisées). Le décret ajoute également à la liste des accédants aux traitements de données concernées, les agents des services fiscaux habilités.
Objet du traitement
Le système de traitement de données captées se matérialise par
l’insertion de manière discrète d’une charge logique sur l’équipement de
l’individu visé. Une fois activé, le logiciel permet la remontée aux forces de
l’ordre de l’ensemble des données présentes sur le support ciblé. Les données devant être collectées sont
enrichies par une signature et par un journal d’évènement. Avant transfert, les
données collectées, accompagnées de leurs journaux d’évènement, sont chiffrées,
à l’aide d’un algorithme public réputé fort, ce qui n’appelle pas d’observations.
Afin de consulter les données, le personnel habilité doit se connecter à
l’espace de conservation des données via une connexion chiffrée de type VPN. De
plus, le personnel habilité doit s’authentifier de manière forte, à l’aide d’un
« dongle » et d’un mot de passe devant comporter dix (10) caractères minimum
dont un caractère spécial, soumis à une règle de blocage du compte après trois
tentatives infructueuses et ayant une durée de validité égale au temps
d’investigation.
Surveillance et preuve électronique
Pour rappel, les traitements mis en œuvre dans le cadre du
dispositif prévu à l’article 706-102-1 du CPP permettent d’appréhender et de
collecter des données informatiques telles qu’elles s’affichent à l’écran pour
l’utilisateur (copies-écran), telles qu’elles sont saisies sur le clavier
(frappes-clavier) ou telles qu’elles sont reçues et émises par des
périphériques audiovisuels (captation du son et de l’image reçus et émis lors
de l’utilisation d’un service audiovisuel en ligne). Le décret s’inscrit dans
les évolutions de laloi n°
2016-731 du 3 juin 2016 , qui a d’une part, étendu le périmètre des
mesures de captation, aux données stockées dans un système informatique, et a,
d’autre part, autorisé le recours à cette technique, jusqu’alors limitée à
l’instruction, à l’enquête de flagrance ou préliminaire sur autorisation du
juge des libertés et de la détention (JLD) à la requête du procureur de la
République. Les traitements de données envisagés permettent « sous l’autorité
et le contrôle du juge des libertés et de la détention ou du juge
d’instruction, la collecte, l’enregistrement et la conservation de données
informatiques captées selon les modalités fixées aux articles706-95-11et
suivants et706-102-1et
suivants du code de procédure pénale ».
Position réservée de la CNIL
A noter que la CNIL, dans son avis sur le projet de décret, avait mis
en garde contre le caractère particulièrement intrusif de cette nouvelle
collecte de données en ce qu’elle conduit à la collecte d’un volume important
de données susceptibles de porter une atteinte importante au respect de la vie
privée des personnes mises en cause d’une part, et des tiers d’autre part. La
CNIL a estimé que la mise en œuvre de ces dispositifs doit s’accompagner de
garanties fortes pour s’assurer que les données ainsi captées, collectées à
l’insu des personnes concernées, sur un nombre de plus en plus important
d’individus, ne portent pas d’atteintes excessives aux droits et libertés
fondamentaux des personnes concernées. En particulier, l’article
5 de la loi du 3 juin 2016 avait déjà élargi le périmètre de ces
captations, jusqu’alors limitées par l’article 706-102-1 du CPP aux données «
telles qu’elles s’affichent sur un écran pour l’utilisateur d’un système de
traitement automatisé de données, telles qu’il les y introduit par saisie de
caractères ou telles qu’elles sont reçues et émises par des périphériques »,
aux informations telles qu’elles sont « stockées dans un système informatique
». De la même manière, l’article
5 de la loi du 3 juin 2016 avait déjà étendu le recours à cette
technique au champ de l’enquête de flagrance et de l’enquête préliminaire sur
autorisation du juge des libertés et de la détention à la requête du procureur
de la République, sous réserve que l’enquête porte sur infractions relevant de
la criminalité et la délinquance organisées en application des articles 706-73
et 706-73-1 du CPP. La CNIL a pris acte que
le contrôle à distance du système informatique est exclu (par exemple, le
déclenchement forcé de la webcam), et que si des images ainsi que des sons
pourront faire l’objet d’une collecte, aucun mécanisme de reconnaissance
faciale ou vocale ni d’analyse comportementale des dynamiques des frappes au
clavier ne seront mis en œuvre.
Laisser un commentaire