Retour aux articles

Investigation judiciaire : toujours plus de surveillance numérique

Tech&droit - Données
Pénal - Procédure pénale
14/01/2020
Le décret venant modifier les conditions de mise en œuvre des traitements de données informatiques captées a été publié au Journal officiel le 3 janvier 2020. Retour sur ce décret qui donne encore davantage de moyens d’action à bon nombre d’acteurs. 
Le décret modifiant le décret n° 2015-1700 du 18 décembre 2015 relatif à la mise en œuvre de traitements de données informatiques captées en application de l’article 706-1-1 a été publié. Cet article prévoit le recours « à la mise en place dispositif technique ayant pour objet, sans le consentement des intéressés, d'accéder, en tous lieux, à des données informatiques, de les enregistrer, de les conserver et de les transmettre, telles qu'elles sont stockées dans un système informatique, telles qu'elles s'affichent sur un écran pour l'utilisateur d'un système de traitement automatisé de données, telles qu'il les y introduit par saisie de caractères ou telles qu'elles sont reçues et émises par des périphériques ».
 
Un élargissement permanent 
Rappelons que la captation de données informatiques, dans le cadre d’informations judiciaires relatives aux infractions de délinquance et de criminalité organisées, a été introduite dans le Code de procédure pénale par la loi du 14 mars 2011 d’orientation et de programmation pour la performance de la sécurité intérieure (L. n° 2011-267, 14 mars 2011, JO 15 mars). Puis, le périmètre a été élargit par la loi du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme (L. 2014-1353, 13 nov. 2014, JO 14 nov.).
 
Le décret du 31 décembre 2019 tient compte des évolutions de la loi du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement et améliorant l’efficacité et les garanties procédurales (L. n° 2016-731, 3 juin 2016, JO 4 juin). Cette dernière a modifié de nombreux articles du Code de procédure pénale pour renforcer l’efficacité des investigations judiciaires.  
 
Elle a notamment élargit le recours à la captation en temps réel et à distance des données informatiques, prévue à l’article 706-102-1 dudit Code, aux enquêtes de flagrance ou préliminaire en matière de criminalité et de délinquance organisées sur autorisation du juge des libertés et de la détention, sur requête du procureur de la République. Mais pas seulement, la loi a également permis la captation en temps réel et à distance des données stockées dans un système informatique.
 
Plus récemment, un autre texte est venu donner davantage de moyens d’action aux investigateurs. La loi du 23 mars 2019 de programmation 2018-2022 et de réforme pour la justice, a créé un régime procédural commun aux différentes techniques spéciales d’enquête dans son chapitre II, à savoir, le recueil de données techniques de connexion, la sonorisation, la captation d’images et celle de données informatiques (v. Justice 2018-2022 (volet pénal) : les changements relatifs aux techniques spéciales d’enquête (délinquance et criminalité organisées), Actualités du droit, 15 avr. 2019).
 
Ainsi, le décret (D. n° 2019-1602, 31 déc. 2019, JO 3 janv.) tire les conséquences de ces nouvelles dispositions et vient modifier le décret n° 2015-1700 du 18 décembre 2015.
 
Nouveau périmètre pour la captation de données informatiques
Il prévoit dans son article premier que les différents traitements, en application des articles 706-95-11 à 706-95-19 et 706-102-1 à 706-102-5 du Code de procédure pénale, permettent « sous l'autorité et le contrôle du juge des libertés et de la détention ou du juge d'instruction, la collecte, l'enregistrement et la conservation de données informatiques captées ».
 
La commission nationale de l’information et des libertés (CNIL), qui a émis un avis sur le décret, relève, à ce niveau, que « le champ de ces dispositifs ainsi que les données pouvant faire l'objet de telles captations, ont fait l'objet d'élargissements constants et significatifs ces dernières années ». Les méthodes d’enquête pouvant porter atteinte au respect de la vie privée des personnes mises en causes, mais aussi des tiers, supposent des « garanties fortes pour s'assurer que les données ainsi captées, collectées à l'insu des personnes concernées, sur un nombre de plus en plus important d'individus, ne portent pas d'atteintes excessives aux droits et libertés fondamentaux des personnes concernées ».
 
Et en profite pour rappeler « qu'une attention particulière devra être portée au caractère strictement nécessaire des données enregistrées ».
 
L’article 2 du décret autorise la captation des données « telles qu’elles sont stockées dans un système informatique ». La commission va préciser que cette extension pourra concerner « les informations enregistrées sur un disque dur, sur des courriers électroniques qui n'auraient pas été ouverts par l'utilisateur ou encore, sur l'intégralité d'un fichier qui n'aurait été que partiellement visualisé par la personne à laquelle il est destiné ». Dans ce contexte, si la Commission ne remet pas en question la captation de ces données, elle demandait à ce que soit explicité dans le décret, le volume de données susceptibles d’être captées, et relatives, particulièrement à des tiers.
 
L’article 3 est entièrement remplacé et dispose désormais que « les données à caractère personnel et informations exploitées par les traitements mentionnés à l'article 1er ne peuvent provenir que de dispositifs techniques autorisés conformément à l'article R. 226-3 du Code pénal et mis en place dans le cadre :
- 1° D'investigations conduites en flagrance ou en préliminaire, sur ordonnance écrite et motivée du juge des libertés et de la détention, à la requête du procureur de la République ;
- 2° D'information judiciaire, sur ordonnance écrite et motivée du juge d'instruction, après avis du procureur de la République, sauf en cas d'urgence résultant d'un risque imminent de dépérissement des preuves ou d'atteinte grave aux personnes ou aux biens ».
 
L’article 6 est lui aussi remplacé par les dispositions suivantes : « toute opération de collecte, de modification, de consultation, de transfert et de suppression des données à caractère personnel et informations fait l'objet d'un enregistrement comprenant l'identification de l'auteur, la date, l'heure et la nature de l'opération ». Et il est précisé que « ces informations sont conservées pendant une durée de six ans ». Durée de conservation non négligeable, mais qui n’appellerait pas d’observation selon la CNIL …
 
Seules les directions générales de la police nationale (DGPN), de la gendarmerie nationale (DGGN), de la sécurité intérieure (DGSI), ainsi que des douanes et droits indirects (DGDDI) sont susceptibles de mettre en œuvre de tels traitements, rappelle la Commission.
 
Enfin, le nouvel article 7 du décret de 2015, prévoit que le droit d’opposition, encadré par l’article 110 de la loi du 6 janvier 1978, ne s’applique pas aux traitements en question. Aussi, les droits d’information, d’accès, de rectification, d’effacement et limitation, doivent s’exercer directement auprès du responsable du traitement.  
 
Ce même article dispose qu’ « afin d'éviter de gêner des enquêtes, des recherches ou des procédures judiciaires ou d'éviter de nuire à la prévention ou à la détection d'infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l'exécution de sanctions pénales, de protéger la sécurité publique ou de protéger la sécurité nationale, les droits mentionnés à l'alinéa précédent peuvent faire l'objet de restrictions en application des II et III de l'article 107 de la même loi ».
 
Enfin, le décret ajoute à la liste des personnes pouvant accéder aux données à caractère personnel et informations enregistrées, les agents des services fiscaux pouvant effectuer des enquêtes judiciaires et précise dans son article 4 que « peuvent être destinataires des seules informations mentionnées à l'article 6, les personnalités qualifiées chargées du contrôle des travaux de conception et des opérations de mise en œuvre des dispositifs techniques mentionnés à l'article 3 ».
 
Pas de contrôle à distance mais pour combien de temps ? 
La CNIL rappelle néanmoins qu’ « elle prend acte que le contrôle à distance du système informatique est exclu (par exemple, le déclenchement forcé de la webcam), et que si des images ainsi que des sons pourront faire l'objet d'une collecte, aucun mécanisme de reconnaissance faciale ou vocale ni d'analyse comportementale des dynamiques des frappes au clavier ne seront mis en œuvre ». Elle précise que si de telles techniques devaient à l’avenir être développées, elle devra être saisie.
 
Le décret est entré en vigueur le lendemain de sa publication, soit le 4 janvier 2020.
Source : Actualités du droit