C. LA PNIJ : UN SUCCÈS INDÉNIABLE, ENTRAVÉ PAR DES « ANGLES MORTS »
Malgré ses débuts chaotiques et une mise en service qui aura duré près de dix ans, la PNIJ est aujourd'hui un outil ergonomique et performant, qui donne pleine satisfaction à ses utilisateurs. Certains des représentants des services de police et de gendarmerie rencontrés par les rapporteurs ont même décrit la plateforme comme l'un des seuls outils dont ils disposent à fonctionner de manière fluide et à faire l'objet d'améliorations techniques régulières visant à tenir compte de leurs besoins et de leurs attentes.
Toutefois, la plateforme présente des « angles morts » qui soit nuisent à son efficacité dans le cadre des enquêtes, soit soulèvent des questions quant à la bonne protection des données personnelles sensibles que sont les données de connexion.
1. Un périmètre techniquement limité
La PNIJ présente tout d'abord, par nature, des limites périmétriques.
Pour certaines, ces limites ne sont pas l'apanage de la plateforme : elles découlent de l'intervention sur le marché français d'opérateurs auxquels la loi nationale apparaît de facto difficilement opposable, soit pour des raisons juridiques (donc pour les opérateurs extra-communautaires et ne disposant pas de représentation légale en France), soit pour des raisons techniques.
En effet, le raccordement à la PNIJ d'une vingtaine d'opérateurs est à rapprocher du nombre total d'opérateurs sur le territoire français, estimé par ANTENJ à 1 800. Si le raccordement des OCE dits « historiques » permet, via les installations physiques de ces derniers, de collecter une partie des données gérées par des acteurs tiers, ces chiffres attestent d'un bouleversement technique et économique : la dérégulation du secteur des communications électroniques complexifie la centralisation des accès aux données de connexion et, plus largement, rend illusoire la perspective d'une gestion exhaustive de ces données à l'échelle nationale. À cet égard, et en dépit de son apport majeur dans la téléphonie traditionnelle, il convient de rappeler que la PNIJ ne couvre ni les fournisseurs d'accès à internet, ni les opérateurs non-traditionnels comme les opérateurs satellitaires ou les opérateurs over-the-top (OTT) qui opèrent par « contournement » du réseau.
De la même manière, la PNIJ ne peut par nature toucher que des acteurs disposant d'une existence légale en France, obligeant les services d'enquête à faire des réquisitions ad hoc pour solliciter les opérateurs ou les fournisseurs qui ne répondent pas à ce critère. Or, si elles sont théoriquement soumises aux dispositions nationales applicables aux autres opérateurs dès lors qu'elles interviennent en France, les entités étrangères peuvent en pratique échapper aux sanctions en cas de non-respect des obligations fixées par le droit français ; ainsi, certains acteurs (et notamment les principaux OTT américains, à savoir Google et Meta pour Facebook et WhatsApp) refusent de déférer aux réquisitions qui leur sont adressées par les services d'enquête français et vont parfois, selon les informations recueillies par les rapporteurs, jusqu'à opérer un véritable contrôle de l'opportunité de la demande sur le fond. Ainsi, et comme l'a résumé ANTENJ auprès des rapporteurs, « la question relève aujourd'hui davantage de l'effectivité des obligations faites aux opérateurs, notamment extra-européens, que de la production de nouvelles normes ».
D'autres difficultés affectent spécifiquement la PNIJ ; elles tiennent au degré de coopération des opérateurs de téléphonie.
En effet, les quatre opérateurs dits « historiques » (Bouygues, Free, Orange et SFR) semblent avoir adopté des pratiques hétérogènes et ne pas accorder la même portée à l'obligation de conservation fixée par la loi. Des différences d'interprétation existent ainsi quant au sort des données de localisation prises en compte par le réseau hors de toute communication : si deux opérateurs sur quatre les rendent accessibles aux services d'enquête pendant un an, un autre ne le prévoit que pour 90 jours ; le quatrième en a exclu la possibilité.
Pour le bon fonctionnement de la PNIJ et, surtout, pour la bonne marche des enquêtes et la pleine application de la loi, il paraît essentiel aux rapporteurs qu'une harmonisation soit effectuée, sous l'égide du CCED, quant à la nature des données de localisation devant être conservées par les OCE.
Proposition n° 1 : Lever toute ambiguïté quant à la nature des données devant être conservées par les opérateurs.
2. Des usages extérieurs ou parallèles à la PNIJ qui soulèvent des interrogations
La deuxième série de limites tient à la rémanence de réquisitions « hors-PNIJ », en contrariété avec le principe posé depuis 2016 par l'article 230-45 du code de procédure pénale selon lequel « Sauf impossibilité technique, les réquisitions et demandes adressées [aux OCE] sont transmises par l'intermédiaire de la plate-forme nationale des interceptions judiciaires qui organise la centralisation de leur exécution ». Lors de leurs auditions et déplacements, les rapporteurs ont constaté que des accès aux données de connexion en dehors de la plateforme continuaient à se produire, y compris dans des cas qui ne semblent pas répondre à une impossibilité technique. Il peut ainsi arriver que des enquêteurs sollicitent directement les OCE, comme en témoigne le fait que la Fédération française des télécoms (FFT, qui représente notamment Bouygues, Orange et SFR) ait indiqué que « Les opérateurs regrettent qu'une petite partie des réquisitions judiciaires leur arrivent encore directement par courrier, courriel ou fax ».
Certes, et comme le relève ANTENJ, « des enquêteurs ont recours à une solution d'interception hors-PNIJ [qui semble être distribuée par une entreprise privée, Elektron] dotée de fonctionnalités qui, jusqu'à récemment, n'étaient pas présentes sur la PNIJ (accès en mobilité, analyse des flux interne chiffrés, notamment), ou parce que certains opérateurs ne peuvent être interceptés sur la PNIJ, notamment outre-mer ». De tels accès représentent, toujours selon ANTENJ, 20 à 25 % des interceptions.
Les éléments recueillis par les rapporteurs laissent à penser que, dans certains services, le nombre de recours à des solutions d'interceptions tierces (donc au « hors-PNIJ ») est anormalement élevé. Cette situation est particulièrement préoccupante : on ne saurait exclure que de tels accès soient motivés par la volonté d'échapper aux garanties imposées par la PNIJ en termes de traçabilité.
La troisième limite concerne l'exploitation et le retraitement des données (nombreuses, hétérogènes et parfois livrées sous une forme « brute ») issues de la plateforme.
Si ANTENJ oeuvre à la conception de « modules » visant à doter la PNIJ de nouvelles fonctions et à rapprocher son fonctionnement des besoins des utilisateurs, comme en témoigne le déploiement récent d'une possibilité de visualisation graphique de l'évolution dans le temps des données de localisation d'un utilisateur, la plateforme n'est pas autosuffisante et, pour faire face à la masse de données obtenues en réponse à certaines réquisitions, les OPJ utilisent des logiciels de rapprochement judiciaire. Ceux-ci sont notamment employés pour l'analyse des données issues de la téléphonie, qui parviennent aux enquêteurs sous une forme « brute », peu lisible et qui en conséquence n'est pas directement exploitable ; ils permettent également, pour des affaires complexes nécessitant une analyse criminelle, de « croiser » ces données avec d'autres éléments de l'enquête (contenu des auditions, preuves saisies en perquisition, preuves techniques et scientifiques...).
C'est ainsi le logiciel MERCURE qui équipe tant la police que la gendarmerie pour le traitement des données de téléphonie. En sus, selon les indications transmises aux rapporteurs, la gendarmerie nationale utilise trois logiciels34(*), dont deux sont « essentiellement » tournés vers le traitement des données de connexion : une application de traitement des relations transactionnelles (ATRT), faisant partie de l'outil plus large ANACRIM, et le logiciel DeveryAnalytics - Telephony Data (DA-TD). Ces outils permettent l'import et le « nettoyage » des données (y compris, voire « essentiellement » pour DA-TD et ATRT, celles issues de la PNIJ), puis leur exploitation.
Le régime juridique des logiciels de rapprochement judiciaire
Introduits dans le code de procédure pénale par la loi n° 2011-267 d'orientation et de programmation pour la performance de la sécurité intérieure (LOPPSI) du 14 mars 2011, les logiciels de rapprochement judiciaire ont pour principale vocation d'aider les forces de sécurité intérieure à lutter contre des infractions sérielles de petite à moyenne gravité35(*).
Par une réserve d'interprétation, le Conseil constitutionnel a précisé dans sa décision n° 2011-625 DC que ces logiciels n'avaient « pas pour objet et ne sauraient avoir pour effet de permettre la mise en oeuvre d'un traitement général des données recueillies à l'occasion des diverses enquêtes mentionnées [par le code] » et qu'ils ne pourraient « conduire qu'à la mise en oeuvre, autorisée par ces autorités judiciaires, de traitements de données à caractère personnel particuliers, dans le cadre d'une enquête ou d'une procédure déterminée portant sur une série de faits et pour les seuls besoins de ces investigations » (considérant 71).
Ces logiciels répondent au cadre général, défini par les articles 230-20 à 230-27 et R. 40-39 à R. 40-41 du code de procédure pénale, qui fixe divers garde-fous pour encadrer l'utilisation de ces logiciels. Ainsi :
- seuls les enquêteurs de police, de la gendarmerie et du SEJF individuellement désignés et spécialement habilités par leur supérieur hiérarchique peuvent utiliser ces logiciels (article 230-25). L'usage de tels logiciels dans le cadre d'une enquête administrative est expressément exclu par la loi (article 230-26) ;
- les données exploitées ne peuvent provenir que des pièces et documents de procédure judiciaire déjà détenus par les services d'enquête (article 230-21) et leur nature doit être définie dans l'habilitation de l'enquêteur (article 230-25) ;
- les données relatives à l'identité d'une personne font l'objet d'une protection spécifique : elles ne peuvent apparaître aux enquêteurs qu'à la fin des opérations de rapprochement et en cas de rapprochement positif. En d'autres termes, ce n'est qu'une fois qu'un lien direct (et non fortuit) est établi entre une personne et une infraction que l'identité de celle-ci peut être recherchée. Ces mêmes données sont effacées à la clôture de l'enquête ou, au plus tard, à l'expiration d'un délai de trois ans (article 230-22).
L'usage de ces logiciels est, par ailleurs, triplement contrôlé :
- en amont de leur utilisation, les logiciels doivent être autorisés par décret en Conseil d'État pris après avis de la Cnil ; le décret précise notamment « les infractions concernées, les modalités d'alimentation du logiciel, les conditions d'habilitation des enquêteurs et les modalités selon lesquelles les personnes intéressées peuvent exercer leur droit d'accès » (article 230-27) - étant relevé que, selon la Cnil, l'exercice du droit d'accès n'est pas garanti en pratique par les principaux logiciels utilisés par la police et par la gendarmerie36(*) ;
- leur usage général est soumis au contrôle de la Cnil, au titre de la loi n° 78-17 relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978, ainsi que du procureur de la République et d'un magistrat hors hiérarchie chargé de contrôler la mise en oeuvre de ces logiciels et désigné à cet effet pour trois ans par le ministre de la justice auquel il remet un rapport annuel (article R. 40-41). Le procureur de la République et le magistrat chargé du contrôle disposent tous deux d'un accès direct aux logiciels (articles 230-33 et 230-34) ;
- enfin, l'usage au cas par cas des mêmes logiciels est autorisé par le magistrat saisi de l'enquête ou chargé de l'instruction ; en cas de flagrance, l'autorisation est réputée acquise, sauf décision contraire du procureur. Cette autorisation fait l'objet d'une mention en procédure, et l'exploitation des données donne lieu à un rapport joint à la procédure à la clôture de l'enquête, le magistrat compétent pouvant par ailleurs obtenir communication de l'ensemble des données et informations exploitées (article R. 40-40)
À l'occasion de l'examen du décret n° 2012-687 du 7 mai 2012 relatif à la mise en oeuvre de logiciels de rapprochement judiciaire à des fins d'analyse criminelle, le ministère de l'intérieur a adressé à la Cnil un dossier de présentation de deux logiciels : ANACRIM-ATRT (ANAlyse CRIMinelle-Application de Traitement des Relations Transactionnelles, qui permet l'exploitation de relevés bancaires et de données téléphoniques, notamment les fadettes, afin d'effectuer des recherches, des tris et des recoupements) et ANACRIM-ANB (Analyst's NoteBook, qui était mis en oeuvre par la gendarmerie nationale avant même la demande d'avis et qui constitue un outil d'analyse et de représentation visuelle des données permettant, entre autres, de représenter des données sous forme de graphiques relationnels ou évènementiels pour imager des relations entre individus ou des enchaînements chronologiques).
Source : commission des lois du Sénat
Conforme au code de procédure pénale, l'usage de ces outils fait cependant naître des interrogations. On peut tout d'abord s'interroger sur l'impact d'un retraitement qui, parce que sa vocation même est de concerner une masse conséquente de données (à tout le moins, une quantité de données telle qu'elle ne peut que difficilement être analysée dans un délai raisonnable par un être humain) et d'opérer entre celles-ci des rapprochements automatisés, remet en cause l'idée selon laquelle l'accès aux données de connexion ne porte qu'une atteinte limitée à la vie privée. Loin de l'idée répandue selon laquelle les données de connexion constitueraient un « lac » d'informations, c'est-à-dire un ensemble inerte dans lequel les services d'enquête ne pourraient trouver que des indications éparses et partielles, la mise en relation des métadonnées s'inscrit dans un processus dynamique qui met à mal la distinction traditionnelle entre le « contenu » et le « contenant ». Plus encore, parce que le traitement des données de connexion s'apparente à une forme de sérendipité, il remet en cause l'idée même d'une corrélation entre le degré d'atteinte à la vie privée et l'importance des « garde-fous » prévus par le droit : comment, en effet, adapter le contrôle à la nature de ce qu'on recherche lorsqu'on ignore ab initio ce qu'on peut découvrir ?
On peut, ensuite, relever que les modalités de fonctionnement de ces logiciels diffèrent, et sur des points qui ne sont pas anecdotiques, de celles fixées pour la PNIJ et qui constituent autant de garanties de la régularité des accès. Ainsi, aucune mesure particulière n'est prévue pour assurer la traçabilité des actions effectuées, rendant de facto impossible une supervision par le magistrat (procureur de la République ou juge d'instruction) compétent pour diriger l'enquête ou par le magistrat en charge du contrôle du bon usage des logiciels37(*). Plus largement, aucune obligation d'authentification de l'utilisateur n'est posée par le code, ce qui constitue potentiellement une faille majeure de sécurité38(*). De même, l'exigence d'habilitation au niveau « secret » des personnels et prestataires appelés à intervenir sur la PNIJ n'est pas reproduite pour les logiciels de rapprochement judiciaire, ce qui paraît à tout le moins étonnant.
Certaines des personnes auditionnées par les rapporteurs se sont inquiétées d'une autre source, cette fois économique, de vulnérabilité. Ockham Solutions, société éditrice du logiciel MERCURE, a en effet été récemment rachetée par un acteur majeur dans le domaine de l'appui technique aux interceptions de sécurité, Chapsvision ; ce groupe français avait déjà acquis, en janvier 2022, l'entreprise Elektron puis, en septembre de la même année, la société Deveryware, qui interviennent toutes deux en matière d'appui technique aux interceptions de sécurité mais aussi, pour Deveryware, pour l'édition des logiciels de rapprochement judiciaire de la gendarmerie.
Si les rapporteurs se réjouissent de l'émergence d'un acteur souverain dans le traitement des données à des fins régaliennes, ils relèvent que cette concentration peut emporter des conséquences techniques dommageables, en particulier s'agissant de l'impact d'une éventuelle captation des données ainsi collectées par des tiers malveillants voire de la possibilité d'un mésusage « interne ». Ils invitent le Gouvernement à prendre ces risques au sérieux et à faire sans délai l'étude des facteurs de vulnérabilité qu'ils génèrent comme des solutions qui peuvent être déployées pour assurer l'absolue sécurité des données personnelles ainsi rassemblées.
* 34 Le troisième logiciel, Analyst's Notebook (ANB, qui constitue l'autre versant du logiciel ANACRIM), qui va au-delà des données de connexion puisqu'il met en relation l'ensemble des éléments d'enquête (son usage est, par voie de conséquence, réservé aux OPJ ayant suivi une formation à l'analyse criminelle et réservé aux affaires criminelles les plus complexes) est utilisé par le service central du renseignement criminel : il est donc commun à la police et à la gendarmerie.
* 35 Selon l'article 230-20 du code de procédure pénale, ils visent en effet à « faciliter le rassemblement des preuves des infractions et l'identification de leurs auteurs [...] [et] à faciliter l'exploitation et le rapprochement d'informations sur les modes opératoires ». Le propos du présent rapport ne concerne qu'indirectement les logiciels de rapprochement aux fins d'analyse criminelle, réservés à des enquêteurs spécifiquement formés et aux affaires les plus complexes (« cold cases », meurtres et viols sériels, disparitions inexpliquées...) dont le champ est large et qui visent à traiter de nombreuses informations qui ne sont pas des données de connexion.
* 36 Délibération de la Cnil 2011-418 du 15 décembre 2011, accessible sous le lien suivant :
* 37 Pour la PNIJ, cette traçabilité résulte de l'article R. 40-50, qui dispose que « Toute opération relative au traitement fait l'objet d'un enregistrement comprenant l'identification de l'utilisateur, la date, l'heure et la nature de l'action. Ces informations sont conservées pendant une durée de trois ans ».
* 38 Là encore, c'est le code de procédure pénale qui pose cette exigence pour la PNIJ (article R. 40-45).