L’Essentiel : Le Décret n° 2019-1602 du 31 décembre 2019 a élargi la surveillance électronique en temps réel pour lutter contre le crime organisé et le terrorisme. Ce dispositif permet la captation à distance des données informatiques, incluant les frappes au clavier et les contenus affichés à l’écran. Les données collectées sont chiffrées et accessibles uniquement par du personnel habilité via une connexion sécurisée. Cependant, la CNIL a exprimé des réserves sur l’intrusivité de cette collecte, soulignant les risques pour la vie privée des individus concernés et la nécessité de garanties pour protéger leurs droits fondamentaux.

En matière de lutte contre le crime organisé, le terrorisme et le financement, le Décret n° 2019-1602 du 31 décembre 2019 a élargi le recours à la captation en temps réel et à distance des données informatiques prévue à l’article 706-102-1 du code de procédure pénale (CPP, enquêtes de flagrance ou préliminaire en matière de criminalité et de délinquance organisées). Le décret ajoute également à la liste des accédants aux traitements de données concernées, les agents des services fiscaux habilités. 

Objet du traitement

Le système de traitement de données captées se matérialise par
l’insertion de manière discrète d’une charge logique sur l’équipement de
l’individu visé. Une fois activé, le logiciel permet la remontée aux forces de
l’ordre de l’ensemble des données présentes sur le support ciblé. Les données devant être collectées sont
enrichies par une signature et par un journal d’évènement. Avant transfert, les
données collectées, accompagnées de leurs journaux d’évènement, sont chiffrées,
à l’aide d’un algorithme public réputé fort, ce qui n’appelle pas d’observations.
Afin de consulter les données, le personnel habilité doit se connecter à
l’espace de conservation des données via une connexion chiffrée de type VPN. De
plus, le personnel habilité doit s’authentifier de manière forte, à l’aide d’un
« dongle » et d’un mot de passe devant comporter dix (10) caractères minimum
dont un caractère spécial, soumis à une règle de blocage du compte après trois
tentatives infructueuses et ayant une durée de validité égale au temps
d’investigation.

Surveillance et preuve électronique

Pour rappel, les traitements mis en œuvre dans le cadre du
dispositif prévu à l’article 706-102-1 du CPP permettent d’appréhender et de
collecter des données informatiques telles qu’elles s’affichent à l’écran pour
l’utilisateur (copies-écran), telles qu’elles sont saisies sur le clavier
(frappes-clavier) ou telles qu’elles sont reçues et émises par des
périphériques audiovisuels (captation du son et de l’image reçus et émis lors
de l’utilisation d’un service audiovisuel en ligne). Le décret s’inscrit dans
les évolutions de laloi n°
2016-731 du 3 juin 2016 , qui a d’une part, étendu le périmètre des
mesures de captation, aux données stockées dans un système informatique, et a,
d’autre part, autorisé le recours à cette technique, jusqu’alors limitée à
l’instruction, à l’enquête de flagrance ou préliminaire sur autorisation du
juge des libertés et de la détention (JLD) à la requête du procureur de la
République. Les traitements de données envisagés permettent « sous l’autorité
et le contrôle du juge des libertés et de la détention ou du juge
d’instruction, la collecte, l’enregistrement et la conservation de données
informatiques captées selon les modalités fixées aux articles706-95-11et
suivants et706-102-1et
suivants du code de procédure pénale ».

Position réservée de la CNIL

A noter que la CNIL, dans son avis sur le projet de décret, avait mis
en garde contre le caractère particulièrement intrusif de cette nouvelle
collecte de données en ce qu’elle conduit à la collecte d’un volume important
de données susceptibles de porter une atteinte importante au respect de la vie
privée des personnes mises en cause d’une part, et des tiers d’autre part. La
CNIL a estimé que la mise en œuvre de ces dispositifs doit s’accompagner de
garanties fortes pour s’assurer que les données ainsi captées, collectées à
l’insu des personnes concernées, sur un nombre de plus en plus important
d’individus, ne portent pas d’atteintes excessives aux droits et libertés
fondamentaux des personnes concernées. En particulier, l’article
5 de la loi du 3 juin 2016 avait déjà élargi le périmètre de ces
captations, jusqu’alors limitées par l’article 706-102-1 du CPP aux données «
telles qu’elles s’affichent sur un écran pour l’utilisateur d’un système de
traitement automatisé de données, telles qu’il les y introduit par saisie de
caractères ou telles qu’elles sont reçues et émises par des périphériques »,
aux informations telles qu’elles sont « stockées dans un système informatique
». De la même manière, l’article
5 de la loi du 3 juin 2016 avait déjà étendu le recours à cette
technique au champ de l’enquête de flagrance et de l’enquête préliminaire sur
autorisation du juge des libertés et de la détention à la requête du procureur
de la République, sous réserve que l’enquête porte sur infractions relevant de
la criminalité et la délinquance organisées en application des articles 706-73
et 706-73-1 du CPP. La CNIL a pris acte que
le contrôle à distance du système informatique est exclu (par exemple, le
déclenchement forcé de la webcam), et que si des images ainsi que des sons
pourront faire l’objet d’une collecte, aucun mécanisme de reconnaissance
faciale ou vocale ni d’analyse comportementale des dynamiques des frappes au
clavier ne seront mis en œuvre.

Q/R juridiques soulevées :

Quel est l’objet du traitement des données selon le décret n° 2019-1602 ?

Le décret n° 2019-1602 du 31 décembre 2019 a pour objet de permettre la captation en temps réel et à distance des données informatiques dans le cadre d’enquêtes de flagrance ou préliminaires concernant la criminalité et la délinquance organisées.

Cette captation se fait par l’insertion discrète d’une charge logique sur l’équipement de l’individu ciblé. Une fois activé, le logiciel permet aux forces de l’ordre de récupérer l’ensemble des données présentes sur le support visé.

Les données collectées sont enrichies par une signature et un journal d’événements, et avant leur transfert, elles sont chiffrées à l’aide d’un algorithme public réputé fort. Cela garantit la sécurité des informations collectées, qui doivent être consultées par le personnel habilité via une connexion chiffrée de type VPN.

Quelles sont les modalités de surveillance et de preuve électronique prévues par le décret ?

Le décret élargit les modalités de collecte des données informatiques, permettant d’appréhender des informations telles qu’elles apparaissent à l’écran, les frappes au clavier, ainsi que les données audio et vidéo émises ou reçues par des périphériques audiovisuels.

Ces mesures s’inscrivent dans le cadre de la loi n° 2016-731 du 3 juin 2016, qui a élargi le périmètre des captations aux données stockées dans un système informatique.

Les traitements de données doivent être réalisés sous l’autorité et le contrôle d’un juge, garantissant ainsi un encadrement légal strict. Cela inclut la collecte, l’enregistrement et la conservation des données captées, conformément aux articles 706-95-11 et 706-102-1 du code de procédure pénale.

Quelle est la position de la CNIL concernant ce décret ?

La CNIL a exprimé des réserves quant à la portée intrusives de la collecte de données prévue par le décret. Elle a souligné que cette collecte pourrait entraîner une atteinte significative à la vie privée des personnes concernées, ainsi que des tiers.

La CNIL a insisté sur la nécessité d’implémenter des garanties robustes pour protéger les droits et libertés fondamentaux des individus. Elle a également noté que le contrôle à distance des systèmes informatiques, tel que le déclenchement forcé de webcams, est exclu de ce dispositif.

De plus, bien que des images et des sons puissent être collectés, aucun mécanisme de reconnaissance faciale ou vocale, ni d’analyse comportementale des frappes au clavier, ne sera mis en œuvre, ce qui atténue certaines préoccupations relatives à la surveillance intrusive.