CHAPITRE II - CONTRÔLE DES DÉPLACEMENTS ET COMMUNICATION DES DONNÉES TECHNIQUES RELATIVES AUX ÉCHANGES TÉLÉPHONIQUES ET ÉLECTRONIQUES DES PERSONNES SUSCEPTIBLES DE PARTICIPER À UNE ACTION TERRORISTE

Article 3 (art. 78-2 du code de procédure pénale)
Contrôle d'identité dans les trains transnationaux

Cet article tend à compléter l'article 78-2 du code de procédure pénale en vue de préciser les modalités des contrôles d'identité opérés à bord des trains effectuant une liaison internationale.

1. Le droit en vigueur

L'article 78-2 du code de procédure pénale définit les cas dans lesquels les officiers de police judiciaire et, sur l'ordre et sous la responsabilité de ceux-ci, les agents de police judiciaire et agents de police judiciaire adjoints, peuvent procéder à des contrôles d'identité.

En 1993 ^{32 ( * )} , le législateur, après l'adoption de la Convention de Schengen par la France et la suppression de certains contrôles aux frontières, a autorisé que des contrôles d'identité puissent être effectués en vue de vérifier le respect des obligations de détention, de port et de présentation des titres et documents prévues par la loi dans une zone comprise entre la frontière terrestre de la France avec les Etats parties à la Convention signée à Schengen le 19 juin 1990 et une ligne tracée à 20 kilomètres en deçà.

Cette disposition s'applique aussi aux zones accessibles au public des ports, aéroports et gares ferroviaires ou routières ouverts au trafic international et désignés par arrêté ^{33 ( * )} .

Dans sa décision du 5 août 1993 ^{34 ( * )} , le Conseil constitutionnel a déclaré ces dispositions conformes à la Constitution, censurant uniquement la possibilité d'étendre cette distance à quarante kilomètres par arrêté interministériel. Il estimait que cette disposition n'était pas accompagnée de « justifications appropriées tirées d'impératifs constants et particuliers de la sécurité publique » par rapport aux atteintes portées à la liberté individuelle. Le législateur avait en outre méconnu sa compétence en déléguant au pouvoir réglementaire le soin de fixer l'extension de la zone de contrôle.

Dans ces zones, le contrôle de l'identité n'a pas à être motivé par l'une des hypothèses prévues aux sept premiers alinéas de l'article 78-2 du code de procédure pénale. En outre, ce texte rappelle que ne constitue pas une cause de nullité des procédures incidentes le fait que le contrôle de l'identité révèle une infraction autre que celle de non-respect des obligations de détention, de port et de présentation des titres et documents prévues par la loi.

La preuve de l'identité peut être rapportée par tout moyen. En revanche, les personnes de nationalité étrangère doivent être en mesure de présenter les pièces ou documents sous le couvert desquels elles sont autorisées à circuler ou à séjourner en France ^{35 ( * )} .

Cependant, afin de lutter contre l'entrée et le séjour irréguliers en France dans des sections du territoire national ouvertes au trafic international et ayant les caractéristiques des zones frontalières, l'article 81 de la loi n° 2003-1119 du 26 novembre 2003 relative à la maîtrise de l'immigration, au séjour des étrangers en France et à la nationalité a complété l'article 78-2 du code de procédure pénale. Il prévoit que, lorsqu'il existe une section autoroutière démarrant dans la zone des 20 kilomètres, les contrôles d'identité peuvent avoir lieu jusqu'au premier péage autoroutier, même si celui-ci se situe au-delà des 20 kilomètres, sur la voie ou sur les aires de stationnement, ainsi que sur le lieu de ce premier péage et les aires de stationnement attenantes. Les péages concernés sont désignés par arrêté ^{36 ( * )} .

2. Le texte soumis au Sénat

L'exposé des motifs du projet de loi relève que les modalités de contrôle dans la bande des 20 kilomètres ont été « adaptées au réseau routier [...] En matière de transports ferroviaires, la mise en oeuvre de ces contrôles s'avère, en pratique, très difficile, en raison notamment de la vitesse de certains trains ou de l'absence d'arrêt dans la zone frontalière ».

Le présent article complète donc le huitième alinéa de l'article 78-2 du code de procédure pénale en vue de préciser les modalités des contrôles d'identité opérés à bord des trains effectuant une liaison internationale.

Le dispositif retenu s'inspire très largement de celui applicable sur les sections autoroutières susvisées.

En effet, les contrôles d'identité seraient possibles sur la portion du trajet entre la frontière et le premier arrêt qui se situe au delà de la bande des 20 kilomètres. Cette disposition ne pose pas de problèmes particuliers puisque les personnes susceptibles d'être contrôlées sont celles qui peuvent déjà l'être selon le droit en vigueur.

De plus, sur certaines lignes ferroviaires effectuant une liaison internationale et présentant des caractéristiques particulières de desserte, le contrôle pourrait également être opéré entre ce premier arrêt et un arrêt situé dans la limite des 50 kilomètres .

Comme l'indique le rapport de la commission des lois de l'Assemblée nationale, cette disposition est particulièrement importante pour les liaisons à grande vitesse, pour des raisons évidentes liées à la rapidité de ces trains, mais elle vise aussi à permettre d'effectuer des contrôles efficaces à bord de trains qui, bien qu'effectuant une liaison internationale, sont également utilisés pour le trafic national, voire local. Ce type de ligne se caractérise par un grand nombre d'arrêts : il est donc souhaitable de pouvoir effectuer des contrôles d'identité au-delà de la première gare située après la bande des vingt kilomètres, lorsque celle-ci se trouve à peu de distance de la limite des 20 kilomètres. Par exemple, sur la ligne Vintimille-Marseille, la première gare située au-delà de la bande des 20 kilomètres est la gare de Beaulieu-sur-Mer, située à 23 kilomètres de la frontière seulement.

Toutefois, ce dispositif pose le problème du contrôle d'identité des personnes montées à bord après le passage de la frontière et se déplaçant donc entre deux points du territoire national. Dans sa décision précitée du 5 août 1993, le Conseil constitutionnel a admis que « les contraintes supplémentaires ainsi occasionnées pour les personnes qui résident ou se déplacent dans les zones concernées du territoire français ne portent pas atteinte au principe d'égalité dès lors que les autres personnes sont placées dans des situations différentes au regard des objectifs que le législateur s'est assigné ; qu'en outre de telles dispositions ne sauraient être regardées en elles-mêmes comme portant atteinte à l'indivisibilité de la République ». Il a toutefois ajouté que ces zones devaient être « précisément définies dans leur nature et leur étendue ».

C'est ce que prévoit le présent article en disposant qu'un arrêté ministériel désigne les lignes et les arrêts « présentant des caractéristiques particulières de desserte ».

Eu égard aux spécificités du transport ferroviaire, ces dispositions semblent respecter l'équilibre entre les nécessités de l'ordre public et la sauvegarde de la liberté individuelle. Elles ne méconnaîtraient pas la compétence du législateur, conformément aux exigences du juge constitutionnel. En outre, le présent article ne serait applicable que jusqu'au 31 octobre 2008 ^{37 ( * )} . Après évaluation, une nouvelle discussion parlementaire serait donc nécessaire pour le pérenniser.

Il convient également de rappeler que les contrôles d'identité sont déjà possibles dans les zones accessibles au public des gares ferroviaires ouvertes au trafic international et désignés par arrêté. Il est préférable de contrôler les personnes à bord du train plutôt qu'à leur descente à la fois pour réduire le nombre d'agents mobilisés lors de ces contrôles et pour réduire la gêne occasionnée aux passagers.

A l'exception d'un amendement de coordination, l'Assemblée nationale n'a pas modifié le présent article.

Votre commission des lois vous propose d'adopter l'article 3 sans modification.

Article 4 (art. L. 34-1 du code des postes et des communications électroniques)
Assimilation des personnes offrant au public un accès au réseau
à des opérateurs de communications électroniques

Cet article a pour objet d'assimiler à des opérateurs de communications électroniques, pour l'application de l'article L. 34-1 du code des postes et des communications électroniques, les personnes dont l'activité professionnelle principale ou accessoire est d'offrir au public une connexion Internet par l'intermédiaire d'un accès au réseau.

Une des principales conséquences de ces dispositions serait d'obliger les fournisseurs d'accès au réseau communément appelés « cybercafé » à conserver les données de trafic.

1. Le droit en vigueur

Aux termes du I de l'article L. 34-1 du code des postes et des communications électroniques, créé par l'article 29 de la loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne ^{38 ( * )} , « les opérateurs de communications électroniques ^{39 ( * )} , et notamment les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne, effacent ou rendent anonyme toute donnée relative au trafic ».

Toutefois, il existe plusieurs dérogations au principe général d'effacement . Elles sont strictement encadrées par l'article L. 34-1 :

- les opérateurs peuvent utiliser, conserver et, le cas échéant, transmettre à des tiers concernés directement les données relatives au trafic pour les besoins de la facturation et du paiement des prestations de communications électroniques, jusqu'à la fin de la période au cours de laquelle la facture peut être légalement contestée ou des poursuites engagées pour en obtenir le paiement, soit au maximum un an ;

- les opérateurs peuvent conserver certaines données en vue d'a ss urer la sécurité de leurs réseaux ;

- l'effacement des données relatives au trafic peut être différé pour une durée maximale d'un an, pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales, et seulement afin de mettre à disposition de l'autorité judiciaire des informations.

Cette dernière dérogation intéresse plus particulièrement la lutte contre le terrorisme.

Mme Marylise Lebranchu, garde des sceaux lors de l'examen au Sénat en deuxième lecture du projet de loi relatif à la sécurité quotidienne ^{40 ( * )} , affirmait : « Les événements récents ont démontré que l'utilisation des moyens de télécommunications, des réseaux numériques et de l'Internet était au coeur des échanges d'informations entre les membres des réseaux terroristes. [...] De telles enquêtes supposent que puissent être exploitées les données enregistrées par les opérateurs de télécommunications à l'occasion de l'établissement des communications en cause. Ces données sont, en effet, autant de traces laissées par les intéressés dans le monde virtuel, comme le seraient des empreintes ou des indices dans le monde réel. [...] Il est nécessaire que la France se dote, à cet égard, d'un dispositif législatif clair et transparent encadrant strictement la conservation de ces données techniques [...] ».

Ces données de trafic se distinguent des données administratives relatives aux clients (nom, prénom, adresse, mode de paiement de l'abonnement...). Elles désignent les informations liées à l'utilisation des réseaux, qu'il s'agisse de communications téléphoniques, de courriers électroniques, d'accès à un site Internet, des services de messages courts (SMS) ou des services de messageries multimédias (MMS) ^{41 ( * )} . Elles portent sur l'identification des personnes utilisatrices des services fournis par les opérateurs, sur les caractéristiques techniques des communications assurées par ces derniers et sur la localisation des équipements terminaux (art. L. 34-1 (V) du code précité). Les exceptions au principe d'effacement ne visent que ces données ^{42 ( * )} .

Conformément au principe de finalité, ces diverses dérogations visent des catégories de données et des durées de conservation différentes, dont la détermination est renvoyée à un décret en Conseil d'Etat, pris après avis de la CNIL.

En application de l'article L. 34-1 (II) du code précité, le décret devant fixer les catégories de données à conserver pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales, ainsi que la durée de leur conservation est toujours attendu.

Un projet de décret serait en cours de finalisation ^{43 ( * )} . Les opérateurs seraient tenus de conserver les données pendant un an à compter du jour de leur enregistrement. Le projet de décret, dans sa rédaction actuelle, fixe les catégories de données qui devraient être conservées :

- les informations permettant d'identifier l'utilisateur ;

- les données relatives aux équipements terminaux de communications utilisés ;

- les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication ;

- les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;

- les données permettant d'identifier le ou les destinataires de la communication.

Dans son rapport annuel sur l'application des lois au cours de la session 2004-2005, votre commission des lois a estimé très peu satisfaisant que, quatre ans après les attentats du 11 septembre et l'entrée en vigueur de la loi relative à la sécurité quotidienne, ces dispositions essentielles dans la lutte contre le terrorisme ne soient toujours pas applicables.

Il semblerait que la finalisation du décret achoppe principalement sur la définition « des modalités de compensation, le cas échéant, des surcoûts identifiables et spécifiques des prestations assurées à ce titre, à la demande de l'Etat par les opérateurs » (art. L. 34-1 (II) du code précité).

En effet, le Conseil constitutionnel a précisé la nécessité pour l'Etat d'assurer une telle rémunération lorsque l'appui offert par les opérateurs ne correspond pas directement à leur activité de fournisseur de service, afin d'éviter toute rupture caractérisée de l' égalité devant les charges publiques ^{44 ( * )} .

Il a en effet jugé, dans sa décision du 28 décembre 2000 ^{45 ( * )} , que si le législateur pouvait, dans le respect des libertés constitutionnellement garanties, imposer aux opérateurs de réseaux de télécommunications de mettre en place et de faire fonctionner les dispositifs techniques justifiés par les nécessités de la sécurité publique, « le concours ainsi apporté à la sauvegarde de l'ordre public, dans l'intérêt général de la population, est étranger à l'exploitation des réseaux de télécommunications » et que les dépenses en résultant ne sauraient dès lors incomber directement aux opérateurs.

Un autre frein à la parution du décret proviendrait des négociations en cours au niveau européen sur un projet de décision-cadre du Conseil ^{46 ( * )} sur la rétention de données traitées et stockées en rapport avec la fourniture de services de communication électroniques accessibles au public ou de données transmises via des réseaux de communications publics, aux fins de la prévention, la recherche, la détection, la poursuite des délits et d'infractions pénales, y compris le terrorisme. Ces négociations sont elles même compliquées par le dépôt d'une initiative concurrente par la Commission européenne ^{47 ( * )} .

Toutefois, au cours des débats à l'Assemblée nationale, M. Christian Estrosi, ministre délégué à l'aménagement du territoire, a assuré que le décret serait soumis au Conseil d'Etat dans les prochains jours et qu'il serait publié au plus tard au mois de janvier.

2. Le texte soumis au Sénat

Cet article complète l'article L. 34-1 (I) du code des postes et des communications électroniques, afin de soumettre un nombre plus grand de fournisseurs de services de communications électroniques aux règles définies par cet article L. 34-1 en matière d'effacement et de conservation des données de trafic.

Selon l'exposé des motifs du projet de loi, « les connexions et navigations sont également possibles à partir de lieux publics ou commerciaux, via des bornes d'accès sans fil (Wifi), ou par l'intermédiaire d'un réseau distribué, communément appelé « cybercafé ». La problématique des « cybercafés » est d'offrir des accès à l'Internet sans ménager de possibilités d'identifier les clients, ni de cerner les connexions individuellement. [...] Par ailleurs, pour renforcer la confidentialité des navigations d'un client à un autre, toutes les traces sont souvent effacées sur le disque dur du terminal. L'article proposé a pour objet de clarifier la situation juridique de ces fournisseurs d'accès en les assimilant explicitement aux opérateurs [...] ».

Seraient donc également soumises à ces dispositions ^{48 ( * )} « les personnes, qui au titre d'une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l'intermédiaire d'un accès au réseau, y compris à titre gratuit ».

Dans son avis ^{49 ( * )} sur le projet de loi, la CNIL juge que la rédaction du projet de loi ainsi que les discussions menées avec le ministère de l'intérieur semblent devoir exclure de ces dispositions les entreprises ou administrations qui assurent un accès au réseau à leurs salariés ou agents.

En revanche, pointant les incertitudes qui s'attachent à cette définition, la CNIL estime qu'elle pourrait concerner par exemple les universités proposant un accès au réseau Internet aux étudiants.

Au cours des débats à l'Assemblée nationale, le ministre délégué à l'aménagement du territoire a précisé que les « cybercafés » étaient les principaux lieux visés par le projet de loi. Concernant les mairies, les universités ou les bibliothèques, il a déclaré que, bien que n'étant pas directement visés, ces lieux sont susceptibles d'entrer dans le champ de la loi. Il a renvoyé au décret le soin de détailler les obligations éventuelles de ces personnes. Il a rappelé que Mohammed Atta, le chef des commandos kamikazes du 11 septembre 2001, communiquait avec une partie de son réseau à partir des postes Internet que l'université de Hambourg mettait à la disposition des étudiants.

Ces trois exemples ne sont évidemment pas exhaustifs. On peut également penser aux hôtels qui offrent à titre accessoire une connexion au réseau à leurs clients ou à certains restaurants qui offrent une connexion Wi-Fi à titre accessoire et gratuit.

L'extension de l'obligation de conservation des données techniques de connexion à ces personnes posent plusieurs difficultés.

En premier lieu , le décret devra fixer les modalités de compensation, le cas échéant, des surcoûts identifiables et spécifiques des prestations ainsi assurées. Déjà difficile à déterminer pour les grands opérateurs de communications électroniques, ce surcoût, s'il existe, risque de l'être encore plus pour des entités aussi petites qu'un cybercafé.

En second lieu , la conservation des données ne garantit pas l'identification de l'utilisateur, c'est-à-dire la connaissance de son état civil. Le projet de loi n'a pas retenu l'hypothèse consistant à demander aux exploitants de « cybercafés » de relever l'identité de leurs clients. Concernant les connexions par des bornes Wi-Fi, l'identification d'un utilisateur est pratiquement impossible.

Le stockage des données techniques a donc des limites importantes qui doivent en conséquence amener à nuancer les craintes exprimées en matière d'atteintes aux libertés publiques.

Cet article, comme plusieurs autres articles du projet de loi, n'est pas à lui seul une réponse décisive au terrorisme. Il doit être conçu comme un instrument permettant de recueillir quelques informations supplémentaires qui, mises bout à bout, constituent un faisceau d'indices. Le renseignement est un travail patient qui consiste à reconstituer des itinéraires personnels et des parcours croisés.

A l'Assemblée nationale , un amendement du rapporteur de la commission des lois a été adopté tendant à modifier le paragraphe II de l'article L. 34-1 du code des postes et des communications électroniques. Il précise que les opérateurs de communications électroniques doivent différer l'effacement des données aux fins de constatations des infractions pénales. Le droit en vigueur dispose simplement qu'il peut être différé, soin étant laissé au décret de préciser la portée de cette obligation (données, durée de conservation...). Or, comme on l'a vu, ce décret n'a toujours pas été pris.

Afin que cette disposition du projet de loi ne reste pas lettre morte faute de décret, l'Assemblée nationale a souhaité inscrire cette obligation de conservation dans la loi.

3. La position de votre commission des lois

Cet article pose deux difficultés.

Concernant la définition des cybercafés et autres lieux assimilés , l'avis n° 05-0918 de l'Autorité de régulation des communications électroniques et des postes (ARCEP) en date du 13 octobre 2005 sur le projet de loi relatif à la lutte contre le terrorisme ^{50 ( * )} exprime plusieurs réserves quant à la clarté et l'intelligibilité du dispositif. De manière général, force est de constater que la législation en matière de communications électroniques est particulièrement complexe.

Le Gouvernement devra être particulièrement attentif à la rédaction du décret d'application, afin que celui-ci distingue bien entre les différentes catégories d'opérateurs de communications électroniques.

Concernant la modification apportée par l'Assemblée nationale et disposant que les opérateurs de communications électroniques doivent différer l'effacement des données aux fins de constatation des infractions pénales, votre commission vous propose un amendement tendant à maintenir la rédaction en vigueur du II de l'article L. 34-1 du CPCE. Le texte en vigueur prévoit seulement qu'il peut être différé dans les conditions définies par un décret.

Deux arguments justifient cet amendement.

D'une part, la portée du texte adopté par l'Assemblée nationale est limitée car il ne suffit pas à rendre directement applicable l'obligation de conservation des données par les opérateurs. Le décret d'application reste nécessaire, notamment pour fixer les modalités de compensation financière, la nature des données conservées et leur durée de conservation. Cette obligation peut également apparaître contradictoire avec le principe général d'effacement des données.

D'autre part, en créant une obligation de conservation pour tous les opérateurs de communications électroniques, quels qu'ils soient, le texte de l'Assemblée nationale est trop rigide et interdit au décret d'application de dispenser certains opérateurs de l'obligation de conservation des données. Votre rapporteur pense par exemple aux postes en accès libre dans certaines petites mairies.

Votre commission des lois vous propose d'adopter l'article 4 ainsi modifié .

Article 5 (article L. 34-1-1 [nouveau] du code des postes et des communications électroniques ; article 6 de la loi n° 2004-575 du 21 juin 2004 ; articles 27 et 28 [nouveau] de la loi n° 91-646 du 10 juillet 1991)
Accès des services spécialisés dans la lutte contre le terrorisme à certaines données de trafic des communications électroniques

Cet article tend à permettre aux agents individuellement habilités des services de police et de gendarmerie spécialisés dans la prévention du terrorisme de se faire communiquer certaines données de trafic générées par les communications électroniques. Ces données seraient communiquées dans un cadre juridique administratif adapté et non plus systématiquement, comme actuellement, dans un cadre judiciaire.

1. Le droit en vigueur

Les opérateurs de communications électroniques conservent un certain nombre de données dites de trafic, soit pour leurs besoins propres, soit pour les besoins de la recherche, de la constatation et de la poursuite d'infractions pénales. L'article L. 34-1 du code des postes et des télécommunications électroniques définit les règles de conservation de ces données ^{51 ( * )} .

De la même manière, l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique dispose que les fournisseurs d'accès ^{52 ( * )} et les fournisseurs d'hébergement ^{53 ( * )} sont tenus de détenir et de conserver les données de nature à permettre l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services dont elles sont prestataires. Un décret en Conseil d'Etat, pris après avis de la CNIL, définit ces données et détermine la durée et les modalités de leur conservation.

Ces données ne peuvent être consultées par la police et la gendarmerie nationales que dans un cadre judiciaire. Les articles 60-1, 77-1-1 et 99-3 du code de procédure pénale, disposent respectivement que l'officier de police judiciaire au cours d'une enquête de flagrance, le procureur de la République ou l'officier de police judiciaire, sur autorisation du procureur, au cours d'une enquête préliminaire ainsi que le juge d'instruction ou l'officier de police judiciaire par lui commis au cours de l'instruction, peuvent « requérir de toute personne, de tout établissement ou organisme privé ou public ou de toute administration publique qui sont susceptibles de détenir des documents intéressant l'enquête ou l'instruction, y compris ceux issus d'un système informatique ou d'un traitement de données nominatives, de leur remettre ces documents [...] ».

Selon l'exposé des motifs du projet de loi, cette obligation de s'inscrire dans un cadre judiciaire est trop restrictive pour lutter efficacement contre le terrorisme, « car la plupart des vérifications nécessaires en pratique découlent d'éléments recueillis en amont de toute procédure judicaire ».

2. Le texte soumis au Sénat

Le présent article vise à remédier à ces inconvénients en facilitant la collecte et la vérification rapide de renseignements opérationnels au travers de l'exploitation des données générées par les communications électroniques.

Lors de l'examen du projet de loi par l'Assemblée nationale , plusieurs amendements ont été adoptés, codifiant notamment ces dispositions dans le code des postes et des communications électroniques et dans la loi du 21 juin 2004 précitée au lieu de les inscrire dans le présent projet de loi. L'organisation d'ensemble du présent article a donc notablement changé par rapport à la rédaction issue du Conseil des ministres.

Votre rapporteur souhaite toutefois souligner que cette codification est à double tranchant. Si elle rend plus intelligible la loi dans un certain sens, elle la complique également dans un autre étant donné que ces dispositions ne seraient en vigueur que jusqu'au 31 décembre 2008. Il peut sembler délicat de codifier des dispositions provisoires. Il faudra être particulièrement attentif à ne pas pérenniser implicitement ^{54 ( * )} les dispositions du présent article en les modifiant par un autre texte. La clause de rendez-vous fixée à l'article 15 du projet de loi n'aurait plus aucun sens.

Le paragraphe I de cet article tend à introduire dans le code des postes et des communications électroniques un nouvel article L. 34-1-1 qui définit l'étendue et les modalités de ce régime de réquisition administrative des données de connexion. Il crée une procédure administrative originale et unique inspirée de celle existant en matière d'interception de sécurité.

Le premier alinéa prévoit que seuls « les agents individuellement habilités des services de police et de gendarmerie nationales spécialement désignés en charge de [la prévention et de la répression des actes terroristes] » pourraient se faire communiquer des données dans le cadre de cette nouvelle procédure. Rappelons que l'article 1 ^er bis du présent projet de loi renvoie à un arrêté ministériel la détermination de la liste de ces services spécialisés.

Les personnes dont certaines données seraient exigibles sont précisément énumérées par l'article L. 34-1 du code précité. Il s'agit :

- des opérateurs de communications électroniques ;

- des personnes qui, au titre d'une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l'intermédiaire d'un accès au réseau ^{55 ( * )} .

Toutefois, ces données ne pourraient être utilisées qu'aux fins de prévention et de répression des actes de terrorisme.

Le projet de loi initial limitait ces réquisitions administratives au seul but de prévenir les actes de terrorisme. Un amendement du rapporteur de la commission des lois de l'Assemblée nationale a étendu cette possibilité à la répression des actes terroristes.

Le deuxième alinéa fixe la liste des données techniques susceptibles d'être communiquées.

Les différents intervenants précités conservent certaines données techniques, soit pour leurs besoins propres, soit en raison d'obligations légales. Dans le cadre judiciaire actuel, toutes les données conservées peuvent être requises.

En revanche, cette nouvelle procédure de réquisition administrative ne permettrait la communication que d'une partie d'entre elles. Les demandes seraient limitées « aux données techniques relatives à l'identification des numéros d'abonnement ou de connexion à des services de communications électroniques, au recensement de l'ensemble des numéros d'abonnement ou de connexion d'une personne désignée, aux données relatives à la localisation des équipements terminaux utilisés ainsi qu'aux données techniques relatives aux communications d'un abonné portant sur la liste des numéros appelés et appelants, la durée et la date de la communication ».

Ne seraient donc pas communicables, dans le cadre de cette réquisition administrative, les autres données, définies par décret, que les différents opérateurs sont tenus de conserver ^{56 ( * )} . Rappelons que ne sont pas visées les données portant sur le contenu des communications ou des sites web visités.

Le troisième alinéa prévoit que les surcoûts identifiables et spécifiques consécutifs aux demandes d'information font l'objet d'une compensation financière.

Une telle compensation est obligatoire et constitutionnellement garantie. Le Conseil constitutionnel a en effet jugé, dans sa décision du 28 décembre 2000 ^{57 ( * )} , que si le législateur pouvait, dans le respect des libertés constitutionnellement garanties, imposer aux opérateurs de réseaux de télécommunications de mettre en place et de faire fonctionner les dispositifs techniques justifiées par les nécessités de la sécurité publique, « le concours ainsi apporté à la sauvegarde de l'ordre public, dans l'intérêt général de la population, est étranger à l'exploitation des réseaux de télécommunications » et que les dépenses en résultant ne sauraient dès lors incomber directement aux opérateurs.

En effet, le traitement des données demandées par un personnel qualifié se révèle coûteux pour les fournisseurs de services de communications. Toutefois, si une compensation est juste, elle ne doit pas être prohibitive pour autant. Faute de décret paru, les opérateurs fixent aujourd'hui unilatéralement des prix parfois excessifs.

Selon, l'exposé des motifs du projet de loi, ces frais s'imputeraient sur le budget de fonctionnement du service demandeur. La charge ne pèserait donc pas sur les frais de justice ^{58 ( * )} .

Les quatrième et cinquième alinéas définissent l'ensemble des garanties qui devraient entourer chaque demande de communication de données. Le régime proposé s'inspire de celui applicable en matière d'interceptions de sécurité administrative.

Les demandes motivées ne pourraient être présentées que par les agents individuellement habilités des services d'enquêtes spécialement désignés pour lutter contre le terrorisme. Toutefois, selon l'exposé des motifs du projet de loi, la motivation, la centralisation et l'enregistrement des demandes seraient pris en charge par l'unité de coordination de la lutte antiterroriste (UCLAT).

Il reviendrait à une personnalité qualifiée de valider chaque demande.

Selon le projet de loi initial, cette personnalité, placée auprès du ministre de l'intérieur, aurait été désignée par celui-ci pour une durée de trois ans renouvelable, après avis rendu public de la commission nationale de contrôle des interceptions de sécurité (CNCIS).

Dans le souci de renforcer l'indépendance de cette personnalité qualifiée, un amendement du rapporteur de la commission des lois de l'Assemblée nationale a renversé ce mécanisme. La personnalité qualifiée serait désignée par la CNCIS sur proposition du ministre de l'intérieur pour une durée de trois ans renouvelable.

Afin de répondre à tout moment aux exigences opérationnelles, elle pourrait être suppléée par des adjoints désignés dans les mêmes conditions. Enfin, elle établirait un rapport d'activité annuel adressé à la CNCIS.

Chaque demande de communication de données ferait l'objet d'un enregistrement et serait communiquée à la CNCIS. Comme en matière d'interception de sécurité, cette commission pourrait contrôler à tout moment les opérations de communication des données techniques.

En cas de constat d'un manquement aux dispositions applicables, cette commission adresserait une recommandation au ministre de l'intérieur. Ce dernier disposerait alors d'un délai de quinze jours pour informer la commission des suites données à la recommandation.

Enfin, le dernier alinéa prévoit qu'un décret en Conseil d'Etat, pris après avis de la CNCIS et de la commission nationale de l'informatique et des libertés (CNIL), fixe les modalités d'application de ce nouvel article du projet de loi. Ce décret devrait notamment préciser les conditions et la durée de conservation des données transmises.

Le paragraphe I bis de cet article, introduit à l'Assemblé nationale à l'initiative du rapporteur de la commission des lois dans un souci de codification et de clarté, insère un paragraphe II bis à l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique.

Le projet de loi initial regroupait dans un même dispositif les dispositions du paragraphe I précédent et celles du présent paragraphe I bis . L'Assemblée nationale a préféré les distinguer afin de les insérer dans les textes idoines.

Ce paragraphe tend donc à introduire à l'article 6 la loi du 24 juin 2004 précitée un nouveau paragraphe définissant l'étendue et les modalités de ce régime de réquisition administrative pour les fournisseurs d'accès et d'hébergement. La procédure administrative est la même que celle précédemment décrite pour les opérateurs de communications électroniques : autorisation par la personnalité qualifiée instituée par l'article L. 34-1-1 nouveau du code précité, contrôle de la CNCIS...

La seule différence porte sur la nature des données susceptibles d'être communiquées selon cette procédure de réquisition administrative. La liste de ces données n'est pas restreinte par rapport aux données que ces prestataires doivent déjà conserver et traiter pour d'autres fins, notamment les réquisitions judiciaires.

Le paragraphe II de cet article modifie la loi n° 91-646 du 10 juillet 1991 relative au secret des correspondances émises par la voie des communications électroniques.

A l'initiative du rapporteur de la commission des lois, l'Assemblée nationale a ajouté un 1° A nouveau modifiant l'article 4 de la loi précitée. Cet article dispose que les demandes d'interception de sécurité sont faites sur proposition écrite et motivée du ministre de la défense, du ministre de l'intérieur, ou du ministre chargé des douanes, ou de la personne que chacun d'eux aura spécialement déléguée. L'amendement assouplit un peu ce système en prévoyant que chacun de ces trois ministres peut déléguer ce pouvoir à deux personnes au lieu d'une. Il semble que la CNCIS a elle-même signalé cette difficulté pratique.

Un autre amendement du même auteur a ajouté un 1° B nouveau modifiant l'article 19 de la loi précitée. Cet article 19 prévoit que la CNCIS remet chaque année au Premier ministre un rapport sur les recommandations qu'elle lui a adressées concernant les autorisations d'interception de sécurité. Ce rapport est public.

L'amendement tend à y ajouter les recommandations faites par la CNCIS au ministre de l'intérieur à la suite du constat d'un manquement à la loi ou d'une atteinte aux libertés à l'occasion d'une réquisition administrative de données techniques. Le Premier ministre serait de la sorte informé de l'ensemble de l'activité de la CNCIS.

Les 1° et 2° du paragraphe II tendent à insérer dans la loi du 10 juillet 1991 précitée une référence aux nouvelles missions de la commission nationale de contrôle des interceptions de sécurité prévues par le présent article. L'Assemblée nationale a adopté deux amendements de conséquence.

A cette fin, l'article 27 de la loi du 10 juillet 1991 deviendrait le nouvel article 28 unique d'un nouveau titre V intitulé « Dispositions finales » et il serait créé un nouveau titre IV intitulé « Communication des données techniques relatives à des communications électroniques » composé du seul article 27 modifié.

Cet article 27 rappellerait que la CNCIS exerce également les attributions définies à l'article L. 34-1-1 du code des postes et des communications électroniques et à l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique.

La loi du 10 juillet 1991 ferait ainsi office en quelque sorte de code de la CNCIS.

Enfin, il convient de préciser que le présent article ne serait en vigueur que jusqu'au 31 décembre 2008, conformément à l'article 15-II du projet de loi. Il ferait l'objet d'une évaluation avant d'être éventuellement pérennisé.

3. La position de votre commission des lois

Votre commission approuve ce dispositif de réquisition administrative qui prévoit de nombreuses garanties préservant les libertés individuelles, notamment le respect de la vie privée.

Cette procédure de réquisition administrative des données techniques s'inspire de ce qui est déjà possible depuis longtemps en matière d'interception de sécurité. Or, force est de constater que les interceptions de sécurité sont bien plus attentatoires aux libertés individuelles puisqu'elles portent sur le contenu des communications.

Outre deux amendements de coordination et de précision inspirés des recommandations de la CNIL, votre commission vous propose un amendement rétablissant la rédaction initiale du projet de loi à propos des finalités pour lesquelles ces réquisitions administratives peuvent être demandées. Le projet de loi initial prévoyait une seule finalité, la prévention des actes de terrorisme. L'Assemblée nationale a souhaité élargir ces finalités à la répression de ces actes.

Votre rapporteur est conscient que la limite entre répression et prévention est souvent délicate. Les articles 6, 7 et 8 du projet de loi font d'ailleurs référence à ces deux finalités. Toutefois, en l'espèce il semble préférable de se limiter à la seule prévention du terrorisme. En effet, dans les articles précités, il s'agit de permettre la consultation de fichiers constitués à des fins de police administrative. Le dispositif prévu au présent article est de nature différente puisqu'il s'agit de consulter des données recueillies dans un cadre privé.

En introduisant la finalité de répression du terrorisme, un risque de confusion avec la procédure judiciaire pourrait apparaître. A cet égard, la procédure applicable en matière d'interception de sécurité est très claire. La loi du 10 juillet 1991 ne permet les écoutes administratives que pour prévenir le terrorisme et non le réprimer. Dans ce dernier cas de figure, on bascule dans le cadre juridique des écoutes judiciaires.

Votre commission vous propose également un amendement au I bis du présent article précisant que les surcoûts identifiables et spécifiques pesant sur les fournisseurs d'accès et les fournisseurs d'hébergement pour répondre aux demandes de réquisition des données techniques font l'objet d'une compensation financière.

Votre commission des lois vous propose d'adopter l'article 5 ainsi modifié .

* ³² Loi n° 93-992 du 10 août 1993 relative aux contrôles et vérifications d'identité.

* ³³ Arrêté du 23 avril 2003.

* ³⁴ Décision n° 93-323 DC du 5 août 1993 - Loi relative aux contrôles et vérifications d'identité.

* ³⁵ Article L. 611-1 du code de l'entrée et du séjour des étrangers et du droit d'asile.

* ³⁶ Arrêté du 13 juillet 2004. Neuf péages ont été désignés.

* ³⁷ Voir le commentaire de l'article 15, paragraphe II du projet de loi.

* ³⁸ L'article 29 de la loi du 15 novembre 2001 avait créé un nouvel article L. 32-3-1 dans le code des postes et télécommunications. La loi n° 2004-669 du 9 juillet 2004 relative aux communications électroniques et aux services de communication audiovisuelle a transféré les dispositions de cet article à l'article L. 34-1 du code des postes et des communications électroniques. Elle l'a inséré dans la section 3, intitulée « Protection de la vie privée des utilisateurs de réseaux et services de communications électroniques », du chapitre II du titre Ier du livre II de ce code.

* ³⁹ La notion d'opérateur de communication électronique, définie à l'article L. 32 du code précité, est peu claire et source d'ambiguïté. Il s'agit de « toute personne physique ou morale exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communications électroniques ».

* ⁴⁰ Séance du 17 octobre 2001.

* ⁴¹ La nouvelle définition des communications électroniques inscrite à l'article L. 32 du code des postes et des communications électroniques par l'article 2 de la loi n° 2004-669 du 9 juillet 2004 relative aux communications électroniques et aux services de communication audiovisuelle permet d'englober toutes les technologies existantes.

* ⁴² Les données conservées ne peuvent porter sur le contenu des correspondances échangées ou des informations consultées. En effet, l'interception du contenu des communications, pour les échanges téléphoniques comme pour les courriers électroniques, reste encadrée par la loi n° 91-646 du 10 juillet 1991 relative au secret des correspondances émises par la voie des communications électroniques.

* ⁴³ Conformément à l'article L. 34-1 (II) du code précité, la CNIL a été saisie pour avis sur le projet de décret. Voir la délibération n° 03-056 du 9 décembre 2003.

* ⁴⁴ Principe énoncé à l'article 13 de la Déclaration des droits de l'Homme de 1789 : « Pour l'entretien de la force publique et pour les dépenses d'administration, une contribution commune est indispensable : elle doit être également répartie entre tous les citoyens, en raison de leurs facultés ».

* ⁴⁵ Décision n° 2000-441 DC du 28 décembre 2000, loi de finances rectificative pour 2000.

* ⁴⁶ Ce projet a été déposé à l'initiative de la France, de l'Irlande, du Royaume-Uni et de la Suède. Voir le rapport n° 201 (2004-2005) de notre collègue Hugues Portelli sur la proposition de résolution européenne relative à ce projet de décision-cadre.

* ⁴⁷ Proposition de directive du Parlement européen et du Conseil sur la conservation des données traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public, et modifiant la directive 2002/58/CE. Document COM (2005) 438 final.

* ⁴⁸ Rappelons que ces dispositions ne sont toujours pas entièrement applicables faute de décret.

* ⁴⁹ Délibération n° 2005-208 du 10 octobre 2005.

* ⁵⁰ Le texte soumis à l'ARCEP était différent du projet de loi déposé.

* ⁵¹ Voir le commentaire de l'article 4 du projet de loi, notamment pour la définition des données de trafic et pour les conditions de conservation de ces données.

* ⁵² Les fournisseurs d'accès sont définis comme « les personnes dont l'activité est d'offrir un accès à des services de communication publique en ligne ».

* ⁵³ Les fournisseurs d'hébergement sont définis comme les personnes qui assurent, « même à titre gratuit, pour mise à disposition du public par des services de communication publique en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis par des destinataires de ces services ». Cette définition englobe les forums de discussion.

* ⁵⁴ Pour un précédent de pérennisation implicite de dispositions provisoires, voir le commentaire sous l'article 15 du projet de loi.

* ⁵⁵ Cette catégorie de personnes serait mentionnée à l'article L. 34-1 (I) du code des postes et des communications électroniques tel que modifié par l'article 4 du projet de loi. Voir le commentaire de cet article.

* ⁵⁶ Voir le commentaire sous l'article 4 du projet de loi.

* ⁵⁷ Décision n° 2000-441 DC du 28 décembre 2000, loi de finances rectificative pour 2000.

* ⁵⁸ Pour de plus amples précisions sur le problème des frais de justice, voir le rapport d'information n° 478 (2004-2005) de notre collègue Roland du Luart, fait au nom de la commission des finances, sur la mise en oeuvre de la LOLF dans la justice judiciaire.

* ⁵⁹ Régies par les articles 100 et suivants du code de procédure pénale.