Surveiller pour punir ? Pour une réforme de l'accès aux données de connexion dans l'enquête pénale

Rapports d'information

Rapport d'information n° 110 (2023-2024), déposé le 15 novembre 2023

B. LA « MISE EN ORDRE » PROGRESSIVE DES ACCÈS

1. Un accès initialement décentralisé, coûteux et peu régulé

Pour qu'elles puissent être consultées en temps différé, encore faut-il que les données de connexion aient été préalablement conservées.

C'est au début des années 2000, déjà sous l'effet d'une directive européenne, que la loi a posé le principe et défini les modalités de la conservation des données de connexion par les OCE^19(*), apportant une base juridique à une pratique d'enquête émergente sur internet, mais déjà bien établie en matière de téléphonie.

Ce principe de conservation est, en réalité, une dérogation à un impératif plus large, lui aussi inscrit dans le droit européen comme dans la loi, à savoir celui de l'anonymisation ou de l'effacement des données liées aux communications électroniques : en d'autres termes, hors des hypothèses dans lesquelles la conservation est prescrite ou autorisée^20(*) par la loi, elle est strictement interdite.

Le système ainsi instauré repose sur l'obligation d'une conservation effectuée directement par les opérateurs, en contrepartie d'une compensation financière^21(*) ; cette conservation est à la fois générale et indifférenciée, ce qui signifie qu'elle touche l'ensemble des données de connexion et l'intégralité des lignes et des abonnés.

Codifiée depuis 2001 au sein du code des postes et télécommunications, la conservation présente une durée variable en fonction de la nature des métadonnées en cause. Jusqu'à l'intervention de la loi n° 2021-998 du 30 juillet 2021 relative à la prévention d'actes de terrorisme et au renseignement, qui a modifié en profondeur le régime de conservation des données de connexion pour l'adapter aux arrêts de la Cour de justice de l'Union européenne (voir infra), les opérateurs devaient ainsi conserver, pour une durée d'un an :

- des données d'identification : les informations permettant d'identifier l'utilisateur ; les données relatives aux équipements terminaux de communication utilisés (numéro IMEI, par exemple) ; les données permettant d'identifier le ou les destinataires de la communication ;

- des données de trafic : les caractéristiques techniques ainsi la date, l'horaire et la durée de chaque communication (donc des données de trafic) ; les données relatives aux services complémentaires demandés ou utilisés et à leurs fournisseurs ;

- des données de localisation : les données permettant d'identifier l'origine et la localisation des communications téléphoniques.

Avant 2021, le code des postes et communications électroniques donnait à cette conservation un périmètre fonctionnel singulièrement large, puisqu'il la liait aux « besoins de la recherche, de la constatation et de la poursuite des infractions pénales ou d'un manquement à l'obligation définie à l'article L. 336-3 du code de la propriété intellectuelle [i.e. la prévention du téléchargement illicite d'oeuvres protégées par le droit d'auteur ou un droit voisin] ou pour les besoins de la prévention des atteintes aux systèmes de traitement automatisé de données prévues et réprimées par les articles 323-1 à 323-3-1 du code pénal ». Le code précise que la conservation s'effectue conformément aux principes fixés par la loi n° 78-17, dite « informatique et libertés » du 6 janvier 1978, ce qui constitue de toute évidence un garde-fou important et un gage de protection pour les droits et libertés des utilisateurs.

Depuis 2000^22(*), des règles analogues existent s'agissant des données devant être conservées par les fournisseurs d'accès à internet ; elles sont, depuis 2004, intégrées au cadre général de la loi n° 2004-575 pour la confiance en l'économie numérique.

Sous l'effet d'une démocratisation de l'usage des téléphones portables et des accès à internet, le recours aux données de connexion dans l'enquête pénale s'est développé dès le début des années 2000 ; il passait alors par l'envoi aux opérateurs de réquisitions de droit commun sous format « papier », avec des délais de traitement souvent longs, et supposait l'intervention de sociétés tierces fournissant des équipements techniques aux services de police et de gendarmerie et intervenant à ce titre pour des prestations spécifiques et sensibles (à l'instar des interceptions de sécurité), mais aussi pour le traitement des réquisitions de données de connexion adressées aux opérateurs.

Cette évolution a généré un surcoût important qui, initialement décentralisé et géré individuellement par chaque juridiction et par chaque opérateur (avec des pratiques tarifaires libres jusqu'en 2006^23(*) et des délais de réponse variables), est rapidement venu saturer les frais de justice. La Cour des comptes indiquait ainsi^24(*) que, pour 2015, le coût des interceptions judiciaires (très majoritairement constitué par les frais relatifs à l'accès aux données de connexion) s'élevait à 122,55 M €, dont plus de 110 M € sur frais de justice, et constituait une dépense cumulée d'environ 1 Md € sur dix ans.

Le Gouvernement avait souhaité, dès 2007, simplifier l'architecture technique d'accès aux données de connexion en créant une plateforme ad hoc destinée à recevoir les données issues non seulement de la conservation effectuée par les opérateurs, mais aussi des interceptions judiciaires de toute nature^25(*). Cette solution technique devait offrir une double facilité aux services d'enquête et aux OCE : d'une part, l'accès s'en trouvait pour une large partie automatisé, limitant les interventions humaines et centralisant les investissements techniques, et donc réduisant les coûts ; d'autre part, elle permettait de mettre en place un format standardisé en lieu et place de demandes ponctuelles écrites (donc des fax ou des courriels) à la fois fastidieuses à traiter et susceptibles d'être falsifiées.

C'est dans le prolongement de cette initiative qu'a été décidée la création d'une plateforme nationale des interceptions judiciaires (PNIJ) qui, instituée par un décret n° 2014-1162 du 9 octobre 2014, devait répondre à un triple défi :

- premièrement, celui de la responsabilisation financière, le système préexistant conduisant à imputer aux frais de justice (et donc à faire porter par le ministère de la justice) des dépenses trouvant leur origine dans les choix effectués par les officiers de police judiciaire ;

- ensuite, celui d'une meilleure maîtrise de l'écosystème des données de connexion et d'un « recentrage » sur les OCE, dans un contexte où l'intervention de sociétés privées d'appui technique aux côtés des opérateurs posait des difficultés certaines^26(*) ;

- enfin et surtout, celui de la traçabilité des accès aux données de connexion, le dispositif technique antérieur ne permettant le suivi par les magistrats ni des réquisitions formulées par la police et la gendarmerie, ni des réponses apportées par les opérateurs^27(*).

La chronologie du projet témoigne par elle-même des difficultés rencontrées par l'État dans la mise en oeuvre de la plateforme. La création par décret du traitement de données personnelles qui sert de support à celle-ci est en effet intervenue en 2014 soit presque dix ans après la décision gouvernementale de centraliser l'accès aux données, sept ans après la création d'une plateforme embryonnaire et cinq ans après l'attribution à Thalès du partenariat public-privé qui devait faire naître la PNIJ. Le projet n'avait toujours pas abouti en 2016, date à laquelle la Cour des comptes a rendu public un référé mettant en évidence des défaillances dans le pilotage du projet^28(*). Ce référé a eu l'effet d'un coup de semonce ; il a incité, après une décennie d'errements, à une salutaire reprise en main du dossier.

2. La régulation par la technique : la création de l'agence ANTENJ

C'est sous l'effet de ce référé, et dans un contexte a minima dégradé, que le recours à la PNIJ a été rendu obligatoire par voie réglementaire en 2014^29(*) puis que le pilotage de celle-ci a été confié, en 2017, à un service de l'État à compétence nationale dédié : l'Agence nationale des techniques d'enquête numériques judiciaires (ANTENJ).

L'agence ANTENJ

Créée par un décret n° 2017-614 du 2017, l'Agence nationale des techniques d'enquête numériques judiciaires est un service à compétence nationale notamment chargé de veiller au bon fonctionnement de la PNIJ. Le code de procédure pénale précise que le service est dirigé par un magistrat de l'ordre judiciaire et rattaché au secrétaire général du ministère de la justice (article R. 40-51) et que l'ensemble de ses personnels sont habilités au niveau « secret » et soumis au secret professionnel (article R. 40-52). Pour 2024, les crédits prévus par le projet de loi de finances pour l'action d'ANTENJ en matière de développement des techniques d'enquêtes numériques judiciaires, incluant notamment la PNIJ, se montent à 32,7 M€ en AE et à 50 M€ en CP ; l'Agence disposera, par ailleurs, de 73,3 ETPT.

À titre principal, ANTENJ exerce trois missions : l'infogérance et la maintenance corrective des services (cette tâche n'étant pas la moindre au vu de la complexité du système d'information associé et de ses interconnexions avec les opérateurs et les utilisateurs) ; le développement de nouveaux outils d'exploitation des données pour répondre aux besoins des usagers ; l'assistance aux utilisateurs.

Par ailleurs, ANTENJ communique avec la personnalité qualifiée en charge du contrôle de la PNIJ (article R. 40-53 du code de procédure pénale) ainsi qu'avec les autres entités appelées à effectuer des contrôles sur la PNIJ, comme la Cnil (dont le dernier contrôle a eu lieu en 2022-2023) ou l'ANSSI (qui a mené un audit en 2016).

Ses compétences s'exercent en parallèle de celles du Commissariat aux communications électroniques de défense (CCED), autre service à compétence nationale rattaché au chef du service de l'économie numérique de la direction générale des entreprises. Le CCED « coordonne les relations avec les opérateurs en matière de déploiement d'équipements d'interception et de mise à disposition de données » (article 2 de l'arrêté du 29 décembre 2017 érigeant le commissariat aux communications électroniques de défense en service à compétence nationale). Auditionné par les rapporteurs, Didier Vidal, administrateur interministériel des communications électroniques de défense, a rappelé qu'en matière de données de connexion, le CCED joue un rôle de supervision technique (définition des spécifications techniques des équipements déployés par les opérateurs pour mettre en oeuvre leurs obligations légales, mise en place des liaisons entre les opérateurs et les plateformes, vérification de leur bon fonctionnement et du respect des normes de sécurité informatique...) qui ne touche pas à l'exploitation des données, mais à la mise en place d'outils communs pour rationaliser les dépenses de l'État comme des opérateurs et garantir le meilleur niveau de « service » possible. Le CCED travaille actuellement sur un nouvel outil, appelé PHENOMENE, qui doit permettre à terme d'automatiser encore davantage les réquisitions.

Source : commission des lois du Sénat

La PNIJ centralise les réquisitions liées non seulement aux accès aux données de connexion, mais aussi aux autres techniques d'enquête prévues par le code de procédure pénale, notamment pour la lutte contre la criminalité organisée, qui reposent sur la téléphonie, à l'instar des interceptions judiciaires et de la géolocalisation en temps réel. Elle offre un lien direct entre les services enquêteurs et une vingtaine d'opérateurs, couvrant à la fois les principaux opérateurs de téléphonie, dits « historiques » (aujourd'hui Bouygues Télécom, Free, Orange et SFR^30(*)) et d'autres acteurs qui, moins connus du grand public, comptent un nombre important d'utilisateurs (comme par exemple La Poste Mobile, avec environ 2 millions d'abonnés). Il conviendra d'y ajouter, à court terme, une dizaine d'opérateurs virtuels en cours de raccordement à la plateforme.

La PNIJ constitue, en outre, un gage de réactivité : selon les informations transmises par ANTENJ lors de l'audition de son directeur et de l'adjoint de ce dernier, le recours à des formulaires de réquisition permet de traiter environ 90 % des demandes via des automates, ce qui représente un gain de temps considérable pour les OCE comme pour les enquêteurs.

En 2022, la PNIJ comptait plus de 63 000 utilisateurs (magistrats, gendarmes et policiers, mais aussi agents des douanes et des services fiscaux judiciaires)^31(*) : elle constituait donc le principal système d'information utilisé par les services d'enquête initiale (exception faite des simples fichiers). Elle assure, en parallèle, une fonction de « coffre-fort numérique » qui non seulement garantit l'intégrité des informations recueillies, mais aussi permet une traçabilité des actions effectuées par les OPJ pendant trois ans pour prévenir ou détecter les cas de mésusage de la plateforme.

Concrètement, pour des affaires simples (et hors instruction), le fonctionnement de la plateforme peut être résumé de la manière suivante :

- après un appel téléphonique au parquet (ou au juge d'instruction) pour obtenir l'autorisation d'accéder aux données de connexion, l'officier de police judiciaire s'identifie sur la PNIJ, celle-ci n'étant utilisable (et cette caractéristique est une garantie essentielle de sécurité des données et de traçabilité des accès) que depuis un poste informatique relié au réseau interne des forces de sécurité intérieure et avec l'utilisation d'une carte professionnelle qui authentifie son détenteur, cette authentification étant renforcée par l'utilisation d'un code d'accès^32(*) ;

- l'utilisateur remplit ensuite un certain nombre de champs relatifs à l'enquête et à ses caractéristiques : son cadre juridique (flagrance, enquête préliminaire, sur commission rogatoire, liée à une recherche de personne...), la désignation du magistrat compétent (son identité, sa fonction, son tribunal de rattachement), le numéro de la procédure, etc. Les champs nominatifs sont contraints (ils sont reliés aux systèmes d'information des ministères de l'intérieur et de la justice, rendant impossible la saisie d'une identité fictive) et d'autres font l'objet d'un remplissage automatique (à l'instar de la fonction du magistrat compétent et de sa juridiction, renseignées directement par la plateforme par association avec le nom) ; en revanche, l'ensemble est déclaratif, ce qui veut dire que la PNIJ ne contrôle ni la cohérence des informations saisies par l'OPJ (par exemple, en vérifiant que le magistrat désigné comme ayant autorisé l'accès aux données exerce bel et bien dans le même ressort que l'OPJ qui y accède), ni a fortiori leur véracité ;

- l'OPJ peut ensuite sélectionner la nature des données de connexion qu'il souhaite requérir auprès de l'opérateur et la période concernée, selon un système de « panier » qui fait apparaître le coût de chaque « prestation »^33(*), un écran « prestations courantes » permettant un accès aisé aux données de connexion les plus fréquemment requises ;

- la réponse de l'opérateur s'affiche sur la PNIJ, dans un délai généralement très court (compris entre quelques minutes et une heure, en fonction du type de données et de l'opérateur) ;

- les informations restent accessibles à l'OPJ et au magistrat compétent pendant toute la durée de l'enquête, étant relevé que les accès de magistrats semblent rares en pratique : ils seraient en effet limités aux cas où un usage disproportionné est invoqué par la défense au cours de la procédure.

* ¹⁹ Directive 97/66/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications, et loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne. Il est intéressant de noter que, résultant d'un amendement déposé en lecture définitive à l'Assemblée nationale par le rapporteur sur le projet de loi relatif à la sécurité quotidienne, Bruno Le Roux, les dispositions relatives aux données de connexion et à leurs modalités de conservation ont été adoptées sans aucun débat.

* ²⁰ Outre l'obligation de conservation liée aux besoins de la puissance publique, les opérateurs bénéficient d'une autorisation de conserver des données techniques utiles à la sécurité des réseaux ou des installations ou nécessaires à la facturation (article R. 10-14 du code des postes et des communications électroniques).

* ²¹ Cette compensation est forfaitaire pour les investissements en équipements (notamment de stockage et de traitement des données) réalisés par les opérateurs, mais « à l'acte » pour l'accès effectif aux données de connexion.

* ²² Loi n° 2000-719 du 1^er août 2000 modifiant la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication.

* ²³ À titre d'illustration, on notera que la régulation tarifaire instaurée par un arrêté du 22 août 2006 a permis de faire passer les frais de justice associés aux données de connexion de 69 millions d'euros en 2005 à 38,28 millions d'euros en 2006 (source : avis n° 106 (2009-2010) sur le projet de loi de finances pour 2010 présenté, au nom de la commission des lois, par Yves Détraigne et Simon Sutour).

* ²⁴ Référé S 2016-0336-1 en date du 18 février 2016.

* ²⁵ Décret n° 2007-1145 du 30 juillet 2007 instituant un système de traitement automatisé de données à caractère personnel (dénommé « système de transmission d'interceptions judiciaires »). En 2007, étaient notamment conservés, pendant 30 jours, les SMS interceptés.

* ²⁶ Le référé précité de la Cour des comptes relevait que, du fait notamment des tarifs pratiqués par ces intermédiaires, les coûts supportés par l'État avaient longtemps été supérieurs aux frais exposés par les acteurs privés ; plus encore, il considérait que « la place prise par les sociétés privées d'appui technique aux interceptions [avait] soulevé, au moins jusqu'en 2015, des interrogations quant [...] aux garanties de protection du secret de l'instruction ».

* ²⁷ Cette absence de traçabilité pouvait donner lieu à des pratiques illégales dont la presse se faisait régulièrement l'écho et dénommées « écoutes-taxis », ce terme désignant le fait, pour un enquêteur, d'ajouter manuellement une ligne sur la liste des écoutes autorisées par un magistrat.

* ²⁸ Référé S 2016-0336-1 précité.

* ²⁹ Décret n° 2014-1162 du 9 octobre 2014 ; l'obligation de recourir à la PNIJ résulte depuis 2017 d'une disposition législative (article 230-45 du code de procédure pénale, introduit par la loi n° 2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l'efficacité et les garanties de la procédure pénale

* ³⁰ Ce raccordement constitue un point essentiel pour l'efficacité du système puisque, à l'exception des hypothèses techniques qui seront développées infra (opérateurs OTT, opérateurs satellitaires...) et qui restent à date numériquement marginales, la couverture de ces quatre acteurs permet de toucher par « ricochet » les opérateurs numériques dont les données transitent par les installations physiques des OCE précités.

* ³¹ Selon les documents annexés au projet de loi de finances pour 2024 pour la mission « Justice », la PNIJ comptait précisément 63 107 utilisateurs en 2022 : 33 915 au sein de la gendarmerie, 28 101 au sein de la police, 812 magistrats et 279 enquêteurs du service des enquêtes judiciaires des finances (SEJF).

* ³² Article R. 40-47. La chambre criminelle de la Cour de cassation a récemment (23 mai 2023, pourvoi n° 22-83.462) rappelé que l'accès à la PNIJ était ouvert à l'ensemble des officiers de police judiciaire de la police et de la gendarmerie, sans habilitation ou sans désignation hiérarchique particulière.

* ³³ Les rapporteurs ont constaté lors de leurs déplacements que, si le coût induit par les réquisitions apparaissait sur le poste informatique des enquêteurs (à la fois pendant la « commande », pour chaque prestation, et sous forme récapitulative en fin d'opération), aucune indication financière n'est visible sur l'interface informatique utilisée par les magistrats du parquet.

Les thèmes associés à ce dossier

Partager cette page