En matière de lutte contre le crime organisé, le terrorisme et le financement, le Décret n° 2019-1602 du 31 décembre 2019 a élargi le recours à la captation en temps réel et à distance des données informatiques prévue à l’article 706-102-1 du code de procédure pénale (CPP, enquêtes de flagrance ou préliminaire en matière de criminalité et de délinquance organisées). Le décret ajoute également à la liste des accédants aux traitements de données concernées, les agents des services fiscaux habilités. 

Objet du traitement

Le système de traitement de données captées se matérialise par l’insertion de manière discrète d’une charge logique sur l’équipement de l’individu visé. Une fois activé, le logiciel permet la remontée aux forces de l’ordre de l’ensemble des données présentes sur le support ciblé.  Les données devant être collectées sont enrichies par une signature et par un journal d’évènement. Avant transfert, les données collectées, accompagnées de leurs journaux d’évènement, sont chiffrées, à l’aide d’un algorithme public réputé fort, ce qui n’appelle pas d’observations. Afin de consulter les données, le personnel habilité doit se connecter à l’espace de conservation des données via une connexion chiffrée de type VPN. De plus, le personnel habilité doit s’authentifier de manière forte, à l’aide d’un « dongle » et d’un mot de passe devant comporter dix (10) caractères minimum dont un caractère spécial, soumis à une règle de blocage du compte après trois tentatives infructueuses et ayant une durée de validité égale au temps d’investigation.

Surveillance et preuve électronique

Pour rappel, les traitements mis en œuvre dans le cadre du dispositif prévu à l’article 706-102-1 du CPP permettent d’appréhender et de collecter des données informatiques telles qu’elles s’affichent à l’écran pour l’utilisateur (copies-écran), telles qu’elles sont saisies sur le clavier (frappes-clavier) ou telles qu’elles sont reçues et émises par des périphériques audiovisuels (captation du son et de l’image reçus et émis lors de l’utilisation d’un service audiovisuel en ligne). Le décret s’inscrit dans les évolutions de la loi n° 2016-731 du 3 juin 2016 , qui a d’une part, étendu le périmètre des mesures de captation, aux données stockées dans un système informatique, et a, d’autre part, autorisé le recours à cette technique, jusqu’alors limitée à l’instruction, à l’enquête de flagrance ou préliminaire sur autorisation du juge des libertés et de la détention (JLD) à la requête du procureur de la République. Les traitements de données envisagés permettent « sous l’autorité et le contrôle du juge des libertés et de la détention ou du juge d’instruction, la collecte, l’enregistrement et la conservation de données informatiques captées selon les modalités fixées aux articles 706-95-11 et suivants et 706-102-1 et suivants du code de procédure pénale ».

Position réservée de la CNIL

A noter que la CNIL, dans son avis sur le projet de décret, avait mis en garde contre le caractère particulièrement intrusif de cette nouvelle collecte de données en ce qu’elle conduit à la collecte d’un volume important de données susceptibles de porter une atteinte importante au respect de la vie privée des personnes mises en cause d’une part, et des tiers d’autre part. La CNIL a estimé que la mise en œuvre de ces dispositifs doit s’accompagner de garanties fortes pour s’assurer que les données ainsi captées, collectées à l’insu des personnes concernées, sur un nombre de plus en plus important d’individus, ne portent pas d’atteintes excessives aux droits et libertés fondamentaux des personnes concernées. En particulier, l’article 5 de la loi du 3 juin 2016 avait déjà élargi le périmètre de ces captations, jusqu’alors limitées par l’article 706-102-1 du CPP aux données « telles qu’elles s’affichent sur un écran pour l’utilisateur d’un système de traitement automatisé de données, telles qu’il les y introduit par saisie de caractères ou telles qu’elles sont reçues et émises par des périphériques », aux informations telles qu’elles sont « stockées dans un système informatique ». De la même manière, l’article 5 de la loi du 3 juin 2016  avait déjà étendu le recours à cette technique au champ de l’enquête de flagrance et de l’enquête préliminaire sur autorisation du juge des libertés et de la détention à la requête du procureur de la République, sous réserve que l’enquête porte sur infractions relevant de la criminalité et la délinquance organisées en application des articles 706-73 et 706-73-1 du CPP.  La CNIL a pris acte que le contrôle à distance du système informatique est exclu (par exemple, le déclenchement forcé de la webcam), et que si des images ainsi que des sons pourront faire l’objet d’une collecte, aucun mécanisme de reconnaissance faciale ou vocale ni d’analyse comportementale des dynamiques des frappes au clavier ne seront mis en œuvre.