Captation de données informatiques pour les besoins d'une procédure pénale (fr)
France > Droit privé > Droit pénal > Procédure pénale
Thierry Vallat, avocat au barreau de Paris
Janvier 2020
Publication au journal officiel du 3 janvier 2020 du Décret n° 2019-1602 du 31 décembre 2019 modifiant le décret n° 2015-1700 du 18 décembre 2015 relatif à la mise en œuvre de traitements de données informatiques captées en application de l'article 706-102-1 du code de procédure pénale [1]
Ce décret modifiant le décret n° 2015-1700 du 18 décembre 2015 [2] relatif à la mise en œuvre de traitements de données informatiques captées en application de l'article 706-102-1 du code de procédure pénale [3] (CPP).
Rappelons que cet article prévoit qu' "Il peut être recouru à la mise en place d'un dispositif technique ayant pour objet, sans le consentement des intéressés, d'accéder, en tous lieux, à des données informatiques, de les enregistrer, de les conserver et de les transmettre, telles qu'elles sont stockées dans un système informatique, telles qu'elles s'affichent sur un écran pour l'utilisateur d'un système de traitement automatisé de données, telles qu'il les y introduit par saisie de caractères ou telles qu'elles sont reçues et émises par des périphériques."
Ces traitements, sur lesquels la CNIL s'était déjà prononcée dans son avis n° 2015- 109 du 2 avril 2015, ont pour finalité « la constatation des crimes et délits entrant dans le champ d'application des articles 706-73 et 706-73-1 du [CPP], le rassemblement des preuves de ces infractions et l'identification de leurs auteurs » au moyen de « la collecte, l'enregistrement et la conservation de données informatiques captées ».
Dans la mesure où les traitements concernés sont mis en œuvre à des fins de prévention, de détection des infractions pénales, d'enquête et de poursuites en la matière, et que des données sensibles, au sens de l'article de l'article 6 de la loi du 6 janvier 1978 modifiée sont susceptibles d'être collectées et enregistrées, leur modification devait faire l'objet d'un décret en Conseil d'Etat, pris après avis motivé et publié de la Commission.
C'est donc désormais chose faite avec le décret du 31 décembre 2019 qui a été validé par la CNIL dans sa Délibération n° 2019-119 du 26 septembre 2019 valant avis, puisqu'il résulte de l'évolution du cadre juridique relatif à la protection des données à caractère personnel visant notamment à tenir compte des dispositions de la directive (UE) 2016/680 du 27 avril 2016 , que le décret soumis à la CNIl devait faire l'objet d'un examen au regard de ces dispositions, et plus particulièrement des articles 87 et suivants de la loi du 6 janvier 1978 modifiée, avec une analyse d'impact relative à la protection des données (AIPD).
La captation de données informatiques dans le cadre d'informations judiciaires relatives à des infractions de délinquance et de criminalité organisées a été introduite aux articles 706-102-1 et suivants du CPP par la loi n° 2011- 267 du 14 mars 2011 susvisée. Le périmètre de cette captation a ensuite été élargi par la loi n° 2014-1353 du 13 novembre 2014 [4] renforçant les dispositions relatives à la lutte contre le terrorisme.
Les traitements mis en œuvre sur le fondement de l'article 706-102-1 du CPP doivent ainsi permettre d'appréhender et de collecter des données informatiques telles qu'elles s'affichent à l'écran pour l'utilisateur (copies-écran), telles qu'elles sont saisies sur le clavier (frappes-clavier) ou telles qu'elles sont reçues et émises par des périphériques audiovisuels (captation du son et de l'image reçus et émis lors de l'utilisation d'un service audiovisuel en ligne).
Le décret vise à tenir compte des évolutions de la loi n° 2016-731 du 3 juin 2016 [5] , qui a d'une part, étendu le périmètre des mesures de captation, aux données stockées dans un système informatique, et a, d'autre part, autorisé le recours à cette technique, jusqu'alors limitée à l'instruction, à l'enquête de flagrance ou préliminaire sur autorisation du juge des libertés et de la détention (JLD) à la requête du procureur de la République.
Le ministère a également entendu tenir compte des évolutions apportées par la loi n° 2019-222 du 23 mars 2019 [6] susvisée, qui a harmonisé les dispositions applicables aux techniques spéciales d'enquête, à savoir le recueil de données techniques de connexion, la sonorisation et la captation d'images ainsi que la captation de données informatiques.
L'article 1er du décret prévoit que les traitements envisagés permettent « sous l'autorité et le contrôle du juge des libertés et de la détention ou du juge d'instruction, la collecte, l'enregistrement et la conservation de données informatiques captées selon les modalités fixées aux articles 706-95-11 [7] et suivants et 706-102-1 [8] et suivants du code de procédure pénale ».
L'article 2 du décret a pour objet de permettre la captation de données « telles que stockées dans un système informatique ».
Cette extension concernera l'ensemble des données d'un système informatique, sans distinction et, à ce titre, peuvent notamment être visées des informations enregistrées sur un disque dur, sur des courriers électroniques qui n'auraient pas été ouverts par l'utilisateur ou encore, sur l'intégralité d'un fichier qui n'aurait été que partiellement visualisé par la personne à laquelle il est destiné.
L'article 3 du décret prévoit que:
"- Les données à caractère personnel et informations exploitées par les traitements mentionnés à l'article 1er ne peuvent provenir que de dispositifs techniques autorisés conformément à l'article R. 226-3 du code pénal [9] et mis en place dans le cadre :
« 1° D'investigations conduites en flagrance ou en préliminaire, sur ordonnance écrite et motivée du juge des libertés et de la détention, à la requête du procureur de la République ;
« 2° D'information judiciaire, sur ordonnance écrite et motivée du juge d'instruction, après avis du procureur de la République, sauf en cas d'urgence résultant d'un risque imminent de dépérissement des preuves ou d'atteinte grave aux personnes ou aux biens".
L'article 6 du décret prévoit que « toute opération de collecte, de modification, de consultation, de transfert et de suppression des données à caractère personnel et informations fait l'objet d'un enregistrement comprenant l'identification de l'auteur, la date, l'heure et la nature de l'opération. Ces informations sont conservées pendant une durée de six ans »,
Seules les directions générales de la police nationale (DGPN), de la gendarmerie nationale (DGGN), de la sécurité intérieure (DGSI), ainsi que des douanes et droits indirects (DGDDI) sont susceptibles de mettre en œuvre de tels traitements.
Enfin, l'article 7 du décret dispose que " Le droit d'opposition prévu à l'article 110 de la loi du 6 janvier 1978 susvisée ne s'applique pas aux présents traitements" et que "Conformément aux articles 104 à 106 de la même loi, les droits d'information, d'accès, de rectification, d'effacement et à la limitation s'exercent directement auprès du responsable du traitement.
Afin d'éviter de gêner des enquêtes, des recherches ou des procédures judiciaires ou d'éviter de nuire à la prévention ou à la détection d'infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l'exécution de sanctions pénales, de protéger la sécurité publique ou de protéger la sécurité nationale, les droits mentionnés à l'alinéa précédent peuvent faire l'objet de restrictions en application des II et III de l'article 107 de la même loi."
Dans sa Délibération n° 2019-119 du 26 septembre 2019 [10], la CNIl a relevé que le contrôle à distance du système informatique était exclu (par exemple, le déclenchement forcé de la webcam), et que si des images ainsi que des sons pourraint faire l'objet d'une collecte, aucun mécanisme de reconnaissance faciale ou vocale ni d'analyse comportementale des dynamiques des frappes au clavier ne seront mis en œuvre.
La Commission rappelle que si de telles techniques devaient à l'avenir être développées, elle devra être saisie dans les conditions prévues à l'article 33 de la loi du 6 janvier 1978 modifiée.
Rappelons que l'article 706-95-18 du CPP prévoit que « l'officier de police judiciaire ou l'agent de police judiciaire agissant sous sa responsabilité décrit ou transcrit, dans un procès-verbal qui est versé au dossier, les données enregistrées qui sont utiles à la manifestation de la vérité. Aucune séquence relative à la vie privée étrangère aux infractions visées dans les ordonnances autorisant la mesure ne peut être conservée dans le dossier de la procédure ».
Une attention particulière devra donc être portée au caractère strictement nécessaire des données enregistrées.