La loi 2016-731 du 3 juin 2016 vise à renforcer la lutte contre le crime organisé et le terrorisme et leur financement.
De nombreuses mesures sont instaurées par la loi du 3 juin 2016. Ainsi, le délit de consultation habituelle de sites invitant à la commission d’actes de terrorisme (article 421-2-5-2 du code pénal). Ou faisant l’apologie de ces actes (article 421-2-5-1 du code pénal). Ainsi également, le délit d’entrave au blocage de sites faisant l’apologie du terrorisme (article 421-2-5-1 du code pénal).
La loi prévoit aussi des actes entrant dans le champ de la lutte contre la criminalité et la délinquance organisées. Trois nouveaux actes d’investigation sont ainsi offerts aux enquêteurs. Il s’agit :
- de l’accès à distance aux correspondances électroniques accessibles au moyen d’un identifiant informatique ;
- du recours aux IMSI-catchers ;
- de l’accès à distance à des données stockées sur un système informatique.
Ces actes sont particulièrement attentatoires à la vie privée (article 8 de la déclaration des droits de l’Homme et du citoyen). Ils sont par conséquent strictement encadrés. Et ont d’ailleurs été soumis pour avis à la Commission nationale consultative des droits de l’Homme (CNCDH). La CNCDH souligne que « tel qu’il est pensé, le contrôle de la nouvelle Commission nationale de contrôle des techniques de renseignement (CNCTR) pourrait être largement ineffectif ». Et précise : « Celle-ci est composée de manière pléthorique ». Et ne comporte « qu’un seul scientifique spécialiste des nouvelles technologies ».
Lutte contre le terrorisme : accès à distance aux correspondances électroniques accessibles au moyen d’un identifiant informatique
La loi introduit dans le code de procédure pénale (CPP) trois nouveaux articles 706-95-1 à 706-95-3. Les deux premiers permettent , si les nécessités de l’enquête relative à la criminalité et à la délinquance organisées l’exigent, au juge des libertés et de la détention (JLD), à la requête du procureur de la République et au juge d’instruction d’autoriser par ordonnance motivée, l’accès à distance et à l’insu de la personne visée, aux correspondances stockées par la voie des communications électroniques accessibles au moyen d’un identifiant informatique.
Cette nouvelle loi permet par exemple aux enquêteurs d’accéder aux boîtes emails d’individus faisant l’objet d’une enquête.
Les données auxquelles il a été permis d’accéder « peuvent être saisies et enregistrées ou copiées sur tout support » (art. 706-95-3). Les opérations mentionnées ci-avant doivent être » effectuées sous l’autorité et le contrôle du magistrat qui les a autorisées ». Et elles « ne peuvent, à peine de nullité, avoir un autre objet que la recherche et la constatation des infractions visées dans la décision de ce magistrat » (art. 706-95-3) .
Afin de procéder aux opérations visées aux articles 706-95-1 et 706-95-2, le magistrat ou l’OPJ commis peut notamment « requérir tout agent qualifié d’un exploitant de réseau ou fournisseur de services de communications électroniques autorisé ».
Lutte contre le terrorisme : Interception des correspondances des communications électroniques et recueil des données techniques de connexion
La loi insère également dans le CPP les articles 706-95-4 à 706-95-10. Ceux-ci ont pour objet le renforcement de l’efficacité des interceptions de correspondances émises par communications électroniques. Ainsi que le recueil des données techniques de connexion. Ces nouveaux articles permettent ainsi le recours aux IMSI-catchers.
Les IMSI-catchers permettent de capter, par le biais d’une fausse antenne relais, des données de connexion. Celles « de toutes les personnes détenant un périphérique électronique (téléphone cellulaire, ordinateur, tablette, etc.). Ceci dans une zone géographique déterminée » (CNCDH, avis préc.).
Les IMSI-catchers pouvaient déjà être utilisés par les services de renseignement. Ceci dans les conditions de l’ article L.852-1 du code de la sécurité intérieure. Ils sont qualifiés par la loi du 3 juin 2016 d’ « appareil ou dispositif technique mentionné au paragraphe 1° de l’article 226-3 du code pénal ». Et utilisés afin de recueillir les données techniques de connexion. celles-ci « permettant l’identification d’un équipement terminal ou du numéro d’abonnement de son utilisateur, ainsi que les données relatives à la localisation d’un équipement terminal utilisé ».
L’utilisation des IMSI-catchers peut (art. 706-95-4) être autorisée par le JLD. Le code précise dorénavant que « si les nécessités de l’enquête relative à la criminalité et à la délinquance organisées l’exigent, l’utilisation d’IMSI-catchers peut être aussi autorisée par le JLD ». et ce « à la requête du procureur de la République ». L’autorisation doit alors être délivrée « pour une durée maximale d’un mois, renouvelable une fois dans les mêmes conditions ».
Ce nouveau régime ne permet pas seulement le recueil de données de connexion. Il permet aussi et surtout de recueillir le contenu des conversations. En effet, le II. de l’article 706-95-4 prévoit que les IMSI-catchers peuvent également être utilisés. Ceci « afin d’intercepter des correspondances émises ou reçues par un équipement terminal ». Dans cette hypothèse l’autorisation est délivrée « pour une durée maximale de 48 heures, renouvelable une fois dans les mêmes conditions ».
L’utilisation des IMSI-catchers peut aussi être autorisée par le procureur de la République. En cas d’urgence résultant d’un « risque imminent de dépérissement des preuves ou d’atteinte grave aux personnes ou aux biens » (art. 706-95-4). L’autorisation « peut être délivrée par le procureur de la République ». Dans ce cas, l’autorisation doit alors être confirmée par le JLD dans un délai maximal de 24 heures.
Le JLD qui a délivré ou confirmé l’autorisation est alors informé dans les meilleurs délais par le procureur de la République des actes accomplis dans le cadre de l’utilisation d’IMSI-catchers.
Enfin, le juge d’instruction peut également autoriser l’utilisation des IMSI-catchers. Après avis du procureur de la République. Ceci si les nécessités de l’information relative à l’une des infractions entrant dans le champ de la criminalité et de la délinquance organisées l’exigent. L’autorisation est délivrée pour une durée maximale de deux mois. Elle renouvelable dans les mêmes conditions « sans que la durée totale des opérations ne puisse excéder six mois ». Le juge d’instruction peut aussi autoriser l’utilisation d’IMSI-catchers. Afin d’intercepter des correspondances émises ou reçues par un équipement terminal. L’autorisation est alors délivrée pour une durée maximale de 48 heures, renouvelable une fois.
Les autorisations permettant l’utilisation d’IMSI-catchers font l’objet d’une « ordonnance écrite et motivée ». Celle-ci n’a pas de caractère juridictionnel et n’est susceptible d’aucun recours (article 706-95-6).
Lutte contre le terrorisme : accès à distance à des données stockées sur un système informatique
L’ancien article 706-102-1 CPP permettait la captation de données en temps réel. Les nouveaux articles 706-102-1 à 706-102-3 permettent dorénavant l’accès à distance à des données stockées sur un système informatique.
Cet accès est qualifié de dispositif ayant pour objet, « sans le consentement des intéressés, d’accéder, en tous lieux, à des données informatiques ». Et de les enregistrer, de les conserver et de les transmettre. Ceci « telles qu’elles sont stockées dans un système informatique, telles qu’elles s’affichent sur un écran pour l’utilisateur d’un système de traitement automatisé de données, telles qu’il les y introduit par saisie de caractères, ou telles qu’elles sont reçues et émises par des périphériques audiovisuels ».
La mise en place d’un tel dispositif peut être autorisée « par ordonnance motivée » du JLD. Ceci « à la requête du procureur de la République » (article 706-102-1). Ainsi que par le juge d’instruction « après avis du procureur de la République » (article 706-102-2). Une fois encore, si les nécessités de l’enquête relative à la criminalité et à la délinquance organisées l’exigent.
La décision qui autorise l’accès à distance à des données stockées sur un système informatique doit préciser (article 706-102-3) :
- « l’infraction qui motive le recours à ces opérations ;
- la localisation exacte ou la description détaillée des systèmes de traitement automatisé de données ;
- la durée des opérations ».
Ceci à peine de nullité.
Cette autorisation prise par le JLD est délivrée pour une durée maximale d’un mois. Celle-ci est renouvelable une fois dans les mêmes conditions. L’autorisation prise par le juge d’instruction est délivrée pour une durée maximale de quatre mois. Elle est renouvelable dans les mêmes conditions, sans que la durée totale des opérations ne puisse excéder deux ans.
Afin d’installer ou de désinstaller le dispositif permettant l’accès à distance à des données stockées sur un système informatique, le JLD ou le juge d’instruction peuvent autoriser (article 706-102-5) :
- l’introduction dans un véhicule ou dans un lieu privé (…) à l’insu ou sans le consentement du propriétaire ou du possesseur du véhicule ou de l’occupant des lieux ou de toute personne titulaire d’un droit sur celui-ci »;
- la transmission par un réseau de communications électroniques de ce dispositif ».
L’accès à distance ne peut concerner les systèmes automatisés de traitement se trouvant dans un cabinet d’avocat,. Elle ne peut pas davantage être réalisée dans le véhicule, le bureau ou le domicile d’un député, sénateur, avocat ou magistrat (article 706-102-5).
Les données utiles à la manifestation de la vérité doivent être décrites ou transcrites dans un procès-verbal. Lequel doit être versé au dossier. Aucune séquence relative à la vie privée étrangère aux infractions visées dans les décisions autorisant la mesure ne peut être conservée dans le dossier de la procédure (article 706-102-8).
La mention, par l’article 706-102-5, de la notion de véhicule, peut renvoyer à l’attentat de Nice. Et ainsi poser la question de savoir si un accès à distance à des données stockées dans le système informatique d’un véhicule serait envisageable. En effet, l’informatique prend une place de plus en plus grande dans les véhicules. Celle-ci va de la facilitation de la conduite (système GPS) à l’autonomie totale (tel que le véhicule « Olli » développé par Local Motors et IBM).
Prenons l’hypothèse où un véhicule autonome serait programmé pour commettre un acte de terrorisme. Ce nouveau régime d’accès à distance permettrait, dans le cadre d’une procédure judiciaire, au JLD et au juge d’instruction d’autoriser les forces de l’ordre à accéder à distance au système informatique d’un véhicule afin d’enquêter sur une infraction passée ou d’empêcher la réalisation d’une infraction programmée.
Didier Gazagne
François Gorriez
Lexing Sécurité et Défense