Saisine n° 06005780
La Commission nationale de l'informatique et des libertés,
Saisie pour avis par le ministère de la justice d'un projet de décret en Conseil d'Etat modifiant le code de procédure pénale et relatif aux réquisitions télématiques ou informatiques (dans sa version transmise le 9 mai 2006) ;
Vu la convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive n° 95/46/CE du Parlement européen et du Conseil en date du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel ;
Vu le code de procédure pénale, notamment son article 60-2 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;
Après avoir entendu M. Patrick Delnatte, commissaire, en son rapport, et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
L'article 60-2 du code de procédure pénale prévoit notamment que « sur demande de l'officier de police judiciaire, intervenant par voie télématique ou informatique, les organismes publics ou les personnes morales de droit privé, à l'exception de ceux visés au deuxième alinéa du 3° du II de l'article 8 et au 2° de l'article 67 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, mettent à sa disposition les informations utiles à la manifestation de la vérité, à l'exception de celles protégées par un secret prévu par la loi, contenues dans le ou les systèmes informatiques ou traitements de données nominatives qu'ils administrent ».
Conformément à cet article, le ministère de la justice a saisi pour avis la Commission du projet de décret d'application de ces dispositions législatives. Ce projet de décret doit déterminer les catégories d'organismes visés par les réquisitions télématiques ou informatiques ainsi que les modalités d'interrogation, de transmission et de traitement des informations requises.
De façon liminaire, la Commission observe que le législateur a eu pour intention de permettre aux services de police judiciaire d'oeuvrer plus efficacement grâce, d'une part, aux moyens de communication électronique existants et, d'autre part, à une obligation expresse de réponse « dans les meilleurs délais » aux réquisitions télématiques ou informatiques.
En contrepartie, il a prévu des garanties particulières aux réquisitions télématiques ou informatiques :
- ces réquisitions s'inscrivent dans une logique de « mise à disposition des données », sur demande de l'officier de police judiciaire (c'est-à-dire d'un tiers autorisé à connaître ponctuellement de certaines données) ;
- la mise à disposition est limitée aux seules données utiles à la manifestation de la vérité, conformément aux principes de proportionnalité et de pertinence des données traitées ;
- la remise de données protégées par un secret prévu par la loi est interdite ;
- les associations ou organismes à but non lucratif et à caractère religieux, philosophique, politique ou syndical, ainsi que les organismes de presse ne sont pas soumis aux réquisitions électroniques ;
- seul le refus de répondre aux réquisitions sans motif légitime, qui sera apprécié au cas par cas par le juge, le cas échéant, est passible de sanctions pénales ;
- enfin, la CNIL doit intervenir dans la détermination des garanties nécessaires à l'équilibre de ce dispositif.
Sur les organismes concernés par les réquisitions télématiques ou informatiques :
Le projet d'article R. 15-33-62 énumère les catégories d'organismes publics ou privés susceptibles de faire l'objet de réquisitions électroniques :
« 1° Les opérateurs de communications électroniques tels que définis à l'article L. 34-1 du code des postes et communications électroniques, ainsi que les personnes morales prestataires techniques visés par la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique ;
2° Les établissements financiers, bancaires et de crédit ;
3° Le Groupement des cartes bancaires "CB ;
4° Les organismes sociaux tels que définis par le code de la sécurité sociale ;
5° Les compagnies d'assurance ;
6° Les organismes publics ou privés gestionnaires de logements sociaux ou à caractère social ;
7° Les services des administrations publiques gestionnaires des fichiers fiscaux, bancaires et administratifs ;
8° Les entreprises de transport collectif de voyageurs ;
9° Les opérateurs de distribution de l'énergie. »
La Commission observe que les réquisitions électroniques pourraient ainsi concerner un éventail très large de traitements de données à caractère personnel, touchant à l'ensemble des activités sociales et économiques. C'est pourquoi elle a demandé des précisions sur les modalités d'élaboration de cette liste, sur le nombre de réquisitions actuellement réalisées par type d'organisme et sur la nature des difficultés rencontrées nécessitant la mise en place de réquisitions électroniques en sus des réquisitions classiques déjà rendues possibles par la loi.
Le ministère de la justice a précisé que la liste des organismes susceptibles de faire l'objet de réquisitions électroniques avait été établie par le ministère de l'intérieur, « en fonction des besoins habituels et des réquisitions déjà fréquemment réalisées », de façon volontairement large « dans le souci de préserver l'avenir ». La Commission a également été informée qu'il n'existe pas à l'heure actuelle de statistiques sur le nombre et le type de réquisitions effectuées par les officiers de police judiciaire.
Au vu des éléments qui lui ont été communiqué, la Commission émet une réserve sur la liste des organismes publics ou privés susceptibles de faire l'objet de réquisitions télématiques ou informatiques. Elle estime en effet que la démonstration ne lui a pas été faite, pour chaque type d'organisme, du caractère adéquat et proportionné du recours à de tels moyens de réquisition au regard des objectifs invoqués de plus grande rapidité d'accès à l'information et de réduction des frais judiciaires.
En tout état de cause, la Commission relève que l'article 60-2 du code de procédure pénale vise essentiellement, comme le montrent les travaux parlementaires, les opérateurs de télécommunications et exclut du champ des réquisitions électroniques les données couvertes par le secret professionnel, ce qui n'est pas sans soulever d'interrogations sur le fait que le projet de décret vise, entre autres, les administrations et les organismes de sécurité sociale, qui gèrent précisément des données protégées par le secret professionnel.
Sur la définition des modalités de traitement des données par voie de protocole :
Le projet d'article R. 15-33-63 prévoit que les réquisitions télématiques ou informatiques ne peuvent être adressées à un organisme public ou privé que lorsque ce dernier a signé un protocole avec le ministère de la justice et, selon le cas, le ministère de l'intérieur, le ministère de la défense ou le ministère chargé du budget. Le projet d'article R. 15-33-67 en fixe le contenu.
La Commission s'interroge sur le fait que le projet de décret renvoie à des protocoles le soin de fixer les modalités précises d'interrogation, de transmission et de traitement des informations requises. Ces garanties semblent en effet relever directement du projet de décret, conformément à l'article 60-2, dernier alinéa, du code de procédure pénale.
Si la définition par voie réglementaire de ces modalités devait finalement être retenue, la Commission demande à être à nouveau saisie pour avis. Si, en revanche, était confirmé le renvoi au protocole des éléments aussi importants que la définition des traitements automatisés de données à caractère personnel concernés, la nature des données auxquelles il peut être accédé, les modalités techniques d'accès aux données et les mesures de sécurité envisagées, la Commission considère que le projet de protocole, et non sa copie déjà signée, devrait lui être soumis pour avis en même temps que le dossier de formalités préalables afférent. Elle demande que le projet d'article R. 15-33-68 soit modifié en conséquence.
Sur la nature des données soumises à réquisition télématique ou informatique :
La Commission relève que l'article 60-2 du code de procédure pénale comporte une double garantie touchant à la nature des données personnelles susceptibles d'être mises à la disposition des officiers de police judiciaire par voie électronique : ces données ne peuvent être communiquées que si elles sont utiles à la manifestation de la vérité et si elles ne sont pas protégées par un secret prévu par la loi.
Elle rappelle qu'elle devra être consultée, pour chaque organisme public ou privé concerné, sur la nature des données nominatives auxquelles il peut être accédé par voie électronique ainsi que sur les garanties permettant de limiter l'accès du requérant aux seules informations requises.
Par ailleurs, la Commission observe que l'article 60-2 du code de procédure pénale définit un cadre juridique propre aux réquisitions électroniques, avec des garanties spécifiques à ce type de réquisitions. Au titre de ces garanties, le législateur a entendu ne pas permettre la mise à disposition de données protégées par un secret prévu par la loi et en particulier celles protégées par le secret professionnel.
Sur les modalités d'accès aux données :
Le projet de décret prévoit deux modalités de mise à disposition des données personnelles par voie électronique (article R. 15-33-64) :
« Les requisitions mentionnées à l'article R. 15-33-61 permettent à l'officier de police judiciaire d'accéder directement, par la voie d'un réseau de communication télématique ou informatique, aux informations utiles à la manifestation de la vérité qui sont contenues dans le ou les systèmes informatiques ou traitements de données à caractère personnel administrés par l'organisme ou la personne morale faisant l'objet de la réquisition.
Selon la nature des informations requises et l'objet du traitement concerné, l'accès direct porte sur l'ensemble des informations de même nature contenues dans le traitement, sous réserve de celles protégées par un secret prévu par la loi, ou, sous la même réserve, sur une partie de ces informations préalablement mises à disposition du requérant par l'organisme ou la personne morale au sein d'un fichier dédié ou spécifiquement mis en place à cette fin. »
Selon le rapport au Premier ministre, la première hypothèse pourrait ainsi concerner des requisitions destinées à identifier une personne, découvrir son adresse ou obtenir le relevé des mouvements effectués sur son compte bancaire ; la seconde hypothèse pourrait concerner les requisitions portant sur une série de données plus complexes correspondant à une même personne et figurant dans des traitements mis en oeuvre par des opérateurs de communications électroniques.
Cependant, la Commision relève que la notion d'accès direct aux données n'est pas mentionnée dans la loi. L'article 60-2 du code de procédure pénale ne vise en effet que la mise à disposition de ces informations par le responsable du traitement. Ce principe de mise à disposition traduit la volonté du législateur de rechercher, lorsqu'il a rendu possibles les réquisitions par voie électronique, un équilibre préservant à la fois l'intérêt public et les libertés publiques.
A la différence d'un accès direct aux fichiers, le principe de mise à disposition des données défini par la loi suppose que, sur demande de l'officier de police judiciaire, c'est-à-dire d'un tiers autorisé à en connaître de façon ponctuelle et motivée, le responsable du traitement de données personnelles ne communique à celui-ci que les seules données nécessaires à son action. Le quatrième alinéa de l'article 60-2 du code de procédure pénale, qui prévoit de sanctionner pénalement le refus de répondre aux réquisitions électroniques en l'absence de motif légitime, s'inscrit dans cette logique de mise à disposition des données.
Ainsi, la Commission estime que permettre un accès direct et permanent des officiers de police judiciaire à des fichiers de données à caractère personnel d'envergure nationale (ou à leur duplication dans le cadre de « bases miroirs »), qui plus est sans contrôle préalable du juge s'agissant des enquêtes de flagrance, serait disproportionné.
En revanche, la Commision estime qu'un accès non permanent à des extraits de bases de données personnelles dédiées et préalablement définies, en fonction de types de réquisitions prédifinis en concertation entre les services de police judiciaire et les organismes visés par les projets de décret, complété par un dispositif de contrôle des interrogations ainsi opérées, s'inscrit dans l'équilibre recherché par le législateur. Elle demande que le projet d'article R. 15-33-64 soit modifié en conséquence.
La Commission estime également que, afin d'éviter tout accès aux données par un tiers non autorisé et garantir la pertinence des données transmise en fonction de la demande formulée par les officiers de police judiciaire, le projet de décret devrait définir le formalisme des réquisitions télématiques ou informatiques, en prévoyant notamment que les demandes précisent la nature des données requises et comportent les informations nécessaires à l'identification et l'authentification des officiers de police judiciaire demandeurs.
Sur le traitement des données mises à disposition par les officiers de police judiciaire :
Selon le projet d'article R.15-33-69, l'officier de police judiciaire procède soit à l'impression des données numériques requises sur un document papier, soit à leur sauvegarde intégrale sur un support numérique conforme aux standards techniques en vigueur au moment de la transmission.
Le projet d'article R.15-33-70 prévoit également que « les données à caractère personnel recueillies en exécution d'une réquisition prévue au premier alinéa de l'article 60-2 du code de procédure pénale ne peuvent faire l'objet d'aucun traitement automatisé à l'exception de ceux nécessaires à leur exploitation dans le cadre de procédures judiciaires pénales ».
La Commission prend acte de ces dispositions.
Source : Journal officiel n° 251 du 28 octobre 2007