Observations de la CNIL sur le projet de loi renforçant la sécurité intérieure et la lutte contre le terrorisme

11 July 2017

La CNIL n’a pas été saisie du projet de loi renforçant la sécurité intérieure et la lutte contre le terrorisme. Réunie en formation plénière ce jeudi 6 juillet 2017, elle insiste sur la vigilance tant de méthode que de fond qu’exige la préparation des lois affectant les données personnelles des citoyens.

Le projet de loi renforçant la sécurité intérieure et la lutte contre le terrorisme présenté le 22 juin dernier devant le Parlement modifie profondément les moyens de lutte contre le terrorisme en dehors du cadre de l’état d’urgence. Plusieurs de ces mesures, dans le prolongement d’autres textes récents, conduisent à l’élargissement des cas de collecte et d’exploitation des données personnelles.

L’exigence de consultation de la CNIL

Les citoyens attendent que la lutte contre le terrorisme soit efficace, mais aussi qu’elle se fasse dans le respect dû à la protection de leur vie privée et de leurs données. C’est une condition de respect de l’Etat de droit, d’acceptabilité sociale et de légitimité des politiques de sécurité. La CNIL a précisément reçu du législateur la mission de veiller à cet équilibre.

Cette mission ne peut toutefois s’exercer pleinement que si la CNIL est consultée, au préalable, sur les projets de loi ayant, comme celui-ci, une forte incidence sur le traitement et la protection de données personnelles. C’était d’ailleurs le souhait du législateur, par l’adoption de la loi du 7 octobre 2016 pour une République numérique, que d’élargir les cas de consultation de la CNIL, en particulier à tous les textes créant des règles nouvelles encadrant la collecte et le traitement de certaines données. Or, le projet de loi soumis au Parlement comporte plusieurs dispositions de cette nature. C’est le cas par exemple des dispositions relatives aux données d’enregistrement et de réservation des passagers aériens, de celles régissant l'interception et à l'exploitation des communications électroniques empruntant exclusivement la voie hertzienne, ou de celles fixant les conditions de traitement des données PNR (Passenger Name Record) des personnes voyageant à bord de navires. Ces articles modifient d’ailleurs des dispositions existantes sur lesquelles la CNIL avait à l’origine été consultée.

En tout état de cause, et indépendamment de l’obligation juridique de recueillir l’avis de la CNIL, l’importance des questions soulevées par diverses dispositions, du point de vue du droit au respect de la vie privée et à la protection des données personnelles aurait dû, par elle-même, justifier la consultation de la CNIL. Il en va ainsi de la localisation des personnes sous surveillance électronique mobile, de l’obligation de déclarer les numéros d'abonnement et identifiants techniques ou de la saisie de données informatiques.

Le calendrier resserré de présentation du texte au Parlement ne faisait nullement obstacle à la consultation de la CNIL. La Commission a démontré par le passé qu’elle avait la capacité de rendre son avis dans des délais très courts. Elle s’est ainsi prononcée en urgence sur une soixantaine de textes en 2016. La CNIL peut également être consultée au cours des travaux parlementaires sur d’éventuels amendements, comme elle l’a déjà fait, par exemple, dans le cadre des travaux préparatoires à la loi relative au renseignement du 24 juillet 2015.

Les points de vigilance de la CNIL sur le projet de loi

Sur le fond, la CNIL suit toujours, dans l’examen des textes en matière de sécurité, une démarche constructive recherchant une juste conciliation entre la prévention des atteintes à l’ordre public et le droit au respect de la protection des données personnelles.

A cet égard, une vigilance particulière s’impose sur les mesures du projet de loi qui affectent le droit de chacun à la protection de ses données personnelles. Si la Commission relève que des garanties sont prévues pour encadrer les mesures les plus intrusives, en ce qui concerne en particulier les conditions de placement sous surveillance électronique, les modalités de saisie et d’exploitation de données informatiques dans le cadre des visites ou la surveillance des communications hertziennes, elle estime que ces garanties devraient être renforcées.

Tout d’abord, sur l’obligation de déclarer les numéros d’abonnement et les identifiants des moyens de communication électronique prévue dans certaines hypothèses. A la demande du Conseil d’Etat, les mots de passe ont été exclus de la liste des éléments à déclarer. Cependant, la Commission relève que cette obligation est susceptible de concerner un champ très large de services de communication, tels que la téléphonie fixe ou mobile, la transmission vocale sur internet, les SMS, les courriels, les messageries instantanées, etc. Ce champ n’est pas précisé ni limité par le projet de loi. Le texte ne prévoit pas davantage les finalités et les conditions d’utilisation de ces numéros et identifiants. Des précisions devront être apportées sur ce point pour clarifier les finalités et garantir la proportionnalité de telles mesures.

Une grande vigilance devra par ailleurs être observée sur les données PNR (Passenger Name Record). Il s’agit là d’un type de traitement de grande ampleur, susceptible d’avoir une incidence majeure sur le droit au respect de la vie privée. Le projet de loi supprime le caractère expérimental de celui-ci conformément à la directive européenne n° 2016/681. Pour autant, cette pérennisation n’ôte rien à l’exigence d’évaluation. La CNIL rappelle que la directive prévoit une clause de réexamen de l’ensemble du dispositif, sur la base des informations communiquées par les États membres. Le traitement mis en œuvre au niveau national est en outre plus étendu que ce que prévoit la directive, dans la mesure où il peut être utilisé, par les services de renseignement, à des fins de prévention des atteintes aux intérêts fondamentaux de la nation. Il faudra donc, dans les conditions fixées par la loi et le règlement, prévoir une rigoureuse évaluation du dispositif national, et notamment de l’effectivité des garanties prévues pour les personnes concernées.

D’autres dispositions du projet de loi peuvent appeler des remarques plus techniques. C’est le cas des dispositions relatives à la saisie de données informatiques dans le cadre de visites. La Commission estime que l’exploitation des données saisies ainsi que les opérations de destruction de ces données pourraient faire l’objet de procès-verbaux afin d’assurer un meilleur contrôle par les personnes concernées et l’autorité judiciaire sur ces opérations.

Le nécessaire contrôle des fichiers de renseignement

Le projet de loi renforce en outre, par plusieurs de ses dispositions, le rôle et le contenu des fichiers des services de renseignement. En effet, d’une part, les mesures individuelles de surveillance que le ministre peut prescrire ou les visites et saisies auxquelles le préfet peut faire procéder reposeront nécessairement sur l’identification préalable, au sein des fichiers mis en œuvre ou utilisés par les services de renseignement, des personnes remplissant certains critères. D’autre part, le projet prévoit et encadre, à la suite de la censure par le Conseil constitutionnel d’une partie d’un précédent texte, l'interception des communications électroniques par voie hertzienne.

Le texte s’inscrit ainsi dans la continuité des dispositions issues de la loi relative au renseignement de 2015, qui avait déjà massivement élargi les possibilités de collecte de données par les services compétents, par le biais notamment de mesures intrusives de contrôle et de surveillance des personnes. Plus généralement, dans les années récentes, le législateur a, soit décidé la création de nouveaux fichiers en lien avec la lutte contre le terrorisme, soit étendu les cas d’enregistrement de données dans ces fichiers, ces deux tendances appelant des garanties fortes pour les citoyens.

Si ces garanties ont considérablement progressé, il leur manque selon la Commission une composante essentielle : un contrôle indépendant et global de la gestion de ces fichiers.

Certes, le code de la sécurité intérieure prévoit un encadrement strict de la collecte de données par des techniques intrusives mises en œuvre par les services de renseignement, seulement après intervention de la Commission nationale de contrôle des techniques de renseignement (CNCTR) et autorisation du Premier ministre. Le législateur a par ailleurs prévu un « droit d’accès indirect », par lequel une personne peut obtenir qu’un membre de la CNIL s’assure de la régularité des données enregistrées, le cas échéant, dans l’un de ces fichiers. De même, la formation spécialisée du Conseil d’Etat est compétente pour connaître de requêtes individuelles concernant le recours aux techniques de recueil de renseignement ou le droit d’accès indirect aux fichiers mis en œuvre par les services spécialisés.

Cependant, au-delà de ces contrôles ponctuels, à la demande d’une personne, il n’existe pas aujourd’hui de dispositif de contrôle global des fichiers de renseignement eux-mêmes. Les textes qui les ont créés les ont en effet soustraits, dans la plupart des cas, au contrôle a posteriori de la CNIL. Il en résulte une situation paradoxale : les fichiers constitués à partir des données ainsi collectées sont pleinement soumis aux principes de la loi Informatique et Libertés (principe de finalité, proportionnalité des données collectées, exigence d’exactitude et de mise à jour, etc.), mais aucun contrôleur externe n’est désigné pour en assurer, de manière générale, le respect.

Comme la Commission l’a déjà indiqué, pour être acceptable d’un point de vue juridique, éthique et sociétal, le déplacement éventuel du curseur vers des mesures de sécurité plus intrusives doit nécessairement s’accompagner d’un renforcement des garanties qui encadrent l’action des services de sécurité. Prévoir un tel contrôle est une garantie qu’appelle l’état de droit.

Le chiffrement, élément clé de la sécurité des données

Enfin, et bien que ce sujet ne soit pas traité par le projet de loi, il est pour la CNIL essentiel de rappeler, dans le contexte des débats qui peuvent se faire jour actuellement, que la question du chiffrement doit être abordée à travers la même grille d’analyse qui vise à répondre aux exigences de citoyens légitimement aussi inquiets de leur sécurité qu’ils sont attentifs au respect de leurs données personnelles.

Le chiffrement est un élément essentiel de la résilience de nos sociétés numériques et du patrimoine informationnel des entreprises comme du secteur public. Il ne doit pas être affaibli. En effet, les solutions de chiffrement permettent non seulement de préserver la confidentialité de données transmises par Internet, mais aussi d’en assurer l’intégrité, contre une cybercriminalité qui vise tout autant à accéder à des informations confidentielles ou sensibles qu’à les modifier, les copier ou les supprimer. Le chiffrement participe donc de la cybersécurité, qui est vecteur de confiance pour les utilisateurs, particuliers ou professionnels, et gage d’innovation pour les industriels.

Ces objectifs de protection de la vie privée et de sécurité du patrimoine informationnel des acteurs publics et privés doivent évidemment être conciliés avec la nécessité pour les autorités publiques d’accéder aux informations qui leur sont nécessaires. L’accès, par les autorités judiciaires ou les services de renseignement, à des données informatiques, qui peuvent être chiffrées, fait ainsi l’objet de nombreuses dispositions spécifiques dans le droit national. L’ensemble des outils susceptibles d’être mobilisés pour accéder à des données chiffrées ou contourner les dispositifs de chiffrement, qui ne peuvent être mis en œuvre que dans certaines conditions précises, forment un arsenal juridique solide. Le cadre juridique de ces différents outils est en outre régulièrement modifié afin de mieux les adapter à l’état des technologies.

D’éventuelles adaptations du cadre juridique ne suscitent naturellement aucune objection de principe de la part de la CNIL. Cependant, la Commission entend réaffirmer, comme l’avait fait l’ANSSI (Agence Nationale de la sécurité des systèmes d’information), que la mise en place de portes dérobées (« backdoors ») dans les systèmes de chiffrement et de « clés maitres », ou encore l’interdiction pour le grand public d’utiliser des techniques de chiffrement des données à la main des utilisateurs, mettraient en péril le principe même de fonctionnement des technologies actuelles de chiffrement, qui reposent précisément sur l’interdiction d’accès, par des tiers, aux données ainsi protégées. Elles créeraient un risque collectif d’affaissement du niveau de sécurité des personnes et des institutions, et renforceraient leur exposition à de graves préjudices économiques, politiques ou de sécurité publique. 

Keywords associated to this article