Gene Hackman dans The Conversation - (Francis Ford Coppola, 1974)

Gene Hackman dans The Conversation – (Francis Ford Coppola, 1974)

Sans doute très occupées à obtenir leur sacro-sainte extension de la légitime défense (les sens des priorités, que voulez-vous…), les forces de l’ordre et leurs représentants syndicaux (Haha) ont semble-t’il laissé passer une décision de la CJUE qui va avoir de lourdes conséquences sur le quotidien des enquêteurs.

Lait sur le feu

Le mercredi 21 décembre 2016, la Cour de justice de l’Union européenne (CJUE) a, dans un arrêt attendu comme le lait sur le feu par la France, considéré que les États ne pouvaient imposer aux opérateurs de télécommunications (les fournisseurs d’accès à Internet au sens large), de conserver les données de connexion des utilisateurs.

La CJUE avait déjà invalidé en 2014, la directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006, qui obligeait les opérateurs de télécommunications à archiver certaines informations. Si cette directive faisait suite aux Attentats de Madrid, en étendant à Internet ce qui existait déjà pour les télécoms (résolution du Conseil en date du 17 janvier 1995, prolongée par la directive 95/46/CE) la France avait largement devancé cette directive et imposé dès 2001, la conservation des données de connexion pour une durée d’un an dans le cadre de la loi du 15 novembre 2001 relative à la sécurité quotidienne (dite LSQ, la première d’une longue série), complétée 3 ans après par la Loi pour la Confiance dans l’Economie Numérique du 21 juin 2004 (dite LCEN) par les fournisseurs d’accès et fournisseurs de services sur Internet (hébergeurs de contenus, services de messagerie…). Les données en question, pour la LCEN, étaient celles « de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elle est prestataire » (article 6 II).
En janvier 2006, dans le cadre de la lutte antiterroriste, elle étendait cette disposition à l’ensemble des personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit, tels que les hôteliers, les bars…

Pour la partie téléphonie, l’antériorité des mesures française étaient encore plus flagrante puisque la loi sur la sécurité quotidienne en 2001, puis la loi sur la sécurité intérieure (mars 2003) et la loi contre le terrorisme (janvier 2006) prévoyaient déjà cette conservation :

  • informations permettant d’identifier l’utilisateur,
  • données relatives aux équipements terminaux de communication utilisés,
  • caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication,
  • données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs,
  • données permettant d’identifier le ou les destinataires de la communication.

Petite subtilité, le décret ne parut qu’en mars 2006, soit plus de trois ans après le vote de la loi. Et encore, que pour les données de connexion (validé par la suite par un arrêt du Conseil d’Etat en 2007, mais c’était avant l’arrêt CJUE Digital Rights). Concernant les données relatives à l’identification des créateurs de contenus, il faudra attendre près de 7 ans (également validé par un arrêt du Conseil d’Etat). La France éternelle, quoi…

Appliquant à merveille, comme à son habitude lorsqu’une décision lui est peu favorable, l’adage vigneron « Blanc sur Rouge, rien ne bouge! », la France fît donc le dos rond et laissa passer le premier outrage CJUesque.
On lira avec délectation la xylo-réponse du Ministère de la Justice à la question du Député Lionel Tardy, spécialiste des questions numériques à l’assemblée sur ce sujet. Circulez, y’a rien à voir.

Pourquoi cette volonté de conserver les données?

Si la fameuse FADET (Facturation détaillée, ou fadette) a été utilisée dans quelques dossiers depuis la fin des années 90, c’est l’assassinat du préfet Erignac le 6 février 1998 qui va mettre en lumière ces techniques d’investigation : brassage, recoupements, triangulation sur le signal, analyse complète du trafic.
Et son usage, jusqu’alors confidentiel, va exploser, au point de devenir un pilier central de toute l’enquête judiciaire.
En 2004, et alors que la France compte désormais trois opérateurs (le gros des MNVO (opérateurs virtuels) et Free n’arriveront que plus tard), le sénat dresse un état des lieux des informations susceptibles d’être conservées.

Conservation des données téléphoniques en France - état des lieux http://15cpp.fr

Etat des données susceptibles d’être conservées en 2004. Source : https://www.senat.fr/rap/l04-201/l04-2014.html

 

A cette époque, les législations en vigueur sont très variables. Ce que l’on retiendra du tableau ci-dessous, issu des mêmes travaux en 2004, c’est que les pays de l’Union Européenne ayant connu une dictature récente avaient quelques réticences à faire entrer spontanément ce genre de disposition dans leur arsenal juridique… Mais je m’égare.

 

Réglementation des Etats membres de l'Union européenne en matière de rétention des données relatives au trafic des communications en 2004

Réglementation des Etats membres de l’Union européenne en matière de rétention des données relatives au trafic des communications en 2004

Qui dit obligation, dit forcément répression du manquement à ces obligations. Un opérateur qui ne respecterait pas celles-ci se verrait donc puni d’un an d’emprisonnement et de 75 000 euros d’amende au titre du L39-3 du Code des Postes et Communications Electroniques.

Évidemment, les acteurs du numérique vont fort peu goûter ces dispositions, considérées comme liberticides. Et tout au long de ces années, de nombreuses associations vont essayer de s’opposer à cette obligation.

Intérêt et conséquence

Il ne vous aura pas échappé que si la conservation imposée des données ne concerne pas le contenu des conversations (voix, messages), elle impose tout de même un stockage obligatoire pour tous les utilisateurs de ces services (vous, moi…) de leur position géographique au moment de l’appel ou du message, ainsi que l’identité (via le numéro d’appel) de l’interlocuteur. Et ce stockage va bien au-delà de celui que l’opérateur réalise pour son besoin de facturation ou de maintenance technique (cf supra), puisque de nos jours le développement des offres « illimitées » fait que les communications téléphoniques sont de moins en moins facturées (à cet égard, en complément de l’arrêt qui vient d’être rendu par la CJUE, précisons qu’une autre instance, la CEDH, se penchera sur cette question, notamment lorsqu’il s’agit d’imposer à des prestataires de conserver des données de connexion relatives à des appels non facturés).

En judiciaire, les données de trafic peuvent être consultées par la police, la gendarmerie et la douane judiciaire (articles 60-1, 77-1-1 et 99-3 du code de procédure pénale), et de manière plus anecdotique par les assistants spécialisés affectés aux juridictions spécialisées. La Loi de Programmation Militaire de 2013 a également ouvert l’accès à ces informations à la police administrative (On dira avec moins de pudeur qu’elle a encadré une pratique plus ancienne…) et ce, sous le contrôle de la commission nationale de contrôle des interceptions de sécurité (CNCIS).

Pourtant, dès 2014, tirant les conséquences de l’arrêt DigitalRights, le Conseil d’Etat (ok, la section du rapport) préconisait (proposition n°38) de cantonner l’accès aux données de connexion qu’aux seuls « crimes et délits d’une gravité suffisante« .

On peut distinguer trois cas courants où ces informations vont être d’intérêt très concret.

  • Le début de l’enquête : une analyse des données d’une fadette permet de vérifier les points de chutes d’une personne, ses habitudes, estimer si les informations du dossier sont plausible et compatibles avec son mode de vie. Vous obtenez rapidement un environnement, une base de travail qui sera ensuite exploitée et enrichie le cas échéant.
  • En cours d’enquête : vous allez approfondir les éléments que vous avez recueilli, les confronter, identifier de nouveaux contacts, des complicités. Vous pourrez également confirmer des alibis ou encore confondre des fausses victimes…
  • La phase d’interpellation : l’étude du trafic permet de s’assurer de la présence des cibles le jour J. Mais elle va également permettre de refaire un historique assez complet des déplacements de l’intéressé.

Outre le côté pratique et rapide de la chose, ce sont des heures de surveillances, de planques laborieuses qui sont économisées, et une réelle optimisation des moyens humains du service.
Vous comprenez mieux pourquoi l’analyse de ces données est primordiale.

L’arrêt de décembre 2016 de la CJUE, qui ne fait que confirmer celui qu’elle avait rendu en 2014, est donc une remise en cause profonde des méthodes d’enquête de police.
On pourrait arguer du fait qu’il suffirait de « convaincre » les opérateurs qu’ils-n’ont-aucune-obligation-de-le-faire-mais-que-ce-serait-bien-qu’ils-le-fassent-quand-même…
Mais la CJUE est allée plus loin dans son raisonnement et a explicité de manière très claire comment il fallait considérer ces données personnelles et quel était le traitement à leur réserver.
Cette conservation des données permet de tirer des conclusions très précises sur la vie privée des personnes, et en conséquence il est illégitime d’organiser un tel stockage systématique indifférencié. Si la CJUE ne s’oppose pas à une telle conservation, elle doit être motivée, réservée à la criminalité grave et placée sous le contrôle d’une autorité judiciaire ou administrative indépendante.

Très concrètement, pour faire opérer cette conservation, un magistrat devra sans doute désormais, peu ou prou, suivre le régime des interceptions judiciaires : ordonnance motivée d’un juge d’instruction ou passage devant le JLD pour le parquet, durée précise du gel des données, probablement renouvelable dans les mêmes conditions.
Fin du fin, les personnes ayant fait l’objet d’une telle conservation devront en être avisées…


Nervous breakdown

Pour tout vous dire, le citoyen @hpiedcoq est plutôt très heureux de savoir que des instances européennes se soucient un peu des libertés individuelles. Obsédés jusqu’à l’extrême par le terrorisme notamment, poussés par les échéances électorales, les gouvernements de certains pays de l’UE ont laissé passer dans leurs législations, des textes pour le moins intrusifs.
Serions-nous aussi enclin à laisser une trace systématique et indélébile pour un an, à chacun de nos passages au supermarché, ou au bar d’à côté? Probablement pas.
Pourtant, sur les réseaux, c’est notre quotidien depuis plus de dix ans sans que cela n’émeuve vraiment quiconque…
Les abus, les risques? Aucun bien sûr…
Aucun…. Mouais… ça reste à voir. Ces données ont déjà servi à pister des journalistes, des magistrats, des activistes. On en retrouve aussi au domicile d’anciens policiers d’élites reconvertis dans le privé. La « tricoche » n’a pas disparu et ces affaires médiatisées ne sont que la partie visible de l’iceberg.

Et après…

La France n’a pas encore réagi officiellement à cette décision. Juridiquement, menace-t’elle les dossiers en cours?
Il est difficile de répondre en l’état à cette question. Les fadettes sont rarement à elles seules le support nécessaire de mesures coercitives. Mais nul doute que dans des dossiers où le faisceau de présomptions repose pour l’essentiel sur l’étude de la téléphonie, des avocats pourraient être tentés de titiller la justice sur le sujet, pourquoi pas par le biais d’une QPC.

Reste que l’enquêteur @hpiedcoq, lui, est bien emmerdé. Parce qu’il paye un peu les pots cassés et parce qu’il sait ce que ça va impliquer dans son quotidien, en terme d’efficacité.
Le sel de tout cela, c’est que la CJUE est semble-t’il plus accommodante avec les libertés individuelles lorsque des intérêts financiers privés sont en jeu. Elle a ainsi banni le Wi-Fi anonyme de l’espace public au nom du Droit d’Auteur le 16 septembre 2016. Au passage elle s’oppose frontalement à l’ONU qui elle, réclame un droit universel à la connexion anonyme à internet.

J’aimerais bien vous dire en poussant des grands cris révoltés que « on va droit dans le mur!« . Mais en réalité, il n’y a pas de mur.
La police, et la justice s’adapteront. Comme toujours.
Les gens du « rens » ont un mot pour désigner le renseignement électronique : SIGINT. Par opposition à HUMINT. Le SIGINT a pris beaucoup d’importance, au point de devenir un pilier de l’enquête.
Il va sans doute nous falloir replacer l’HUMINT un peu plus au centre du jeu. Cela prendra du temps. et il n’est pas sûr que nous en ayons les moyens financiers et humains en l’état.

Post-Scriptum

Les images de ce billet sont tirées du chef d’œuvre de F.F. Coppola, The Conversation, en résonance avec une ancienne vie.
Sombre, et paranoïaque. Magistral.
Si vous n’avez jamais vu ce film, précipitez-vous.

EDIT : merci à @AlexArchambault pour la relecture attentive.

Shares
Share This