La Commission nationale de l'informatique et des libertés,
Saisie pour avis par le ministre de la justice d'un projet d'arrêté portant création d'un traitement automatisé de données à caractère personnel dénommé « Centre de gestion des interceptions judiciaires » (CGIJ) ;
Vu la Convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive n° 95/46/CE du Parlement européen et du Conseil en date du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code pénal, notamment ses articles 226-15 et 432-9 ;
Vu le code de procédure pénale, notamment ses articles 12, 14 à 16, 28-1, 74-2, 80-4, 100 à 100-7, 706-95 ;
Vu le code des postes et des communications électroniques ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004, relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel ;
Vu la loi n° 91-646 du 10 juillet 1991 relative au secret des correspondances émises par la voie des communications électroniques ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;
Vu le projet d'arrêté portant création d'un traitement automatisé de données à caractère personnel dénommé « Centre de gestion des interceptions judiciaires » (CGIJ) ;
Après avoir entendu M. Patrick Delnatte, commissaire, en son rapport et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
Le ministre de la justice a saisi pour avis la Commission nationale de l'informatique et des libertés, le 18 novembre 2006, d'un projet d'arrêté portant création d'un traitement automatisé de données à caractère personnel dénommé « Centre de gestion des interceptions judiciaires » (CGIJ).
Le CGIJ a pour finalité de permettre aux magistrats, aux officiers de police judiciaire et, sous leur responsabilité, aux agents de police judiciaire et aux agents des douanes habilités à effectuer des enquêtes judiciaires, qui procèdent, conformément aux dispositions des articles 74-2, 80-4, 100 à 100-7 et 706-95 du code de procédure pénale, à des interceptions de correspondances émises par la voie de communications électroniques, d'exploiter les comptes rendus techniques de ces interceptions. Ces comptes rendus comprennent, d'une part, les données de trafic relatives à ces correspondances interceptées et, d'autre part, les contenus des mini-messages de type SMS (short messaging service) et MMS (multimedia messaging service) envoyés d'un numéro de téléphone ou reçus par un numéro de téléphone dont la ligne est interceptée.
Le CGIJ ne traite pas des autres contenus des correspondances émises par la voie de communications électroniques interceptées, notamment de la voix, qui sont directement transmis par les opérateurs de communications électroniques aux magistrats, officiers de police judiciaire et agents des douanes habilités à effectuer des enquêtes judiciaires. Le CGIJ traitera exclusivement des contenus des SMS et MMS et des données techniques qui y sont associées et des seules données techniques associées aux contenus des communications téléphoniques ou par internet (interceptions phoniques).
La commission estime que, nonobstant le fait que les données feront l'objet d'un chiffrement, les contenus des SMS et des MMS qui seront traités par le CGIJ sont susceptibles de comporter des données relevant de l'article 8-I de la loi du 6 janvier 1978 modifiée, dans la mesure où ils pourront faire apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou être relatives à la santé ou à la vie sexuelle des personnes.
Dans ces conditions, la commission estime que la mise en oeuvre de ce traitement relève d'un décret en Conseil d'Etat, en application du II de l'article 26 de la loi du 6 janvier 1978 modifiée. Dès lors, elle demande à être saisie d'un projet de décret en Conseil d'Etat.
Le CGIJ sera implanté sur deux sites protégés du ministère de la justice. Ce centre sera placé sous le contrôle d'un magistrat du siège hors hiérarchie nommé par le ministère de la justice pour trois ans et assisté d'un comité composé de trois membres nommés dans les mêmes conditions.
Le responsable du CGIJ sera le secrétaire général du ministère de la justice, et son gestionnaire, le magistrat chef de la délégation aux interceptions judiciaires.
L'enquêteur habilité à procéder à une interception judiciaire par une ordonnance judiciaire créera un dossier en se connectant par intranet au CGIJ afin d'obtenir un numéro d'identifiant unique de mise sous interception. L'accès par intranet au CGIJ sera contrôlé au moyen d'un serveur d'accès d'authentification et d'autorisation mis en oeuvre par les administrations compétentes (justice, intérieur, défense, économie et finances).
La réquisition de mise sous interception judiciaire sera adressée directement par l'enquêteur à l'opérateur titulaire de la ligne à surveiller. L'opérateur activera l'interception pour la durée fixée par le magistrat mandant dans son ordonnance puis renverra, d'une part, directement vers l'enquêteur les voix des communications écoutées et, d'autre part, vers le CGIJ le contenu des SMS et MMS et les informations techniques de trafic décrivant ces communications, sous forme chiffrée.
Le CGIJ convertira le contenu des SMS, des MMS et des données techniques de trafic qui y sont associées, reçus codés de l'opérateur titulaire de la ligne à surveiller, puis les transférera vers l'enquêteur par un réseau sécurisé, directement sur leurs postes informatiques (postes dédiés) ou via des équipements d'écoute.
La commission observe que le CGIJ ne traitera, dans ces conditions, que des données codées relatives aux personnes dont la ligne est surveillée, sa fonction principale consistant à acheminer les données interceptées par l'opérateur vers l'enquêteur.
Les catégories de données ainsi traitées par le CGIJ seront, s'agissant des personnes dont la ligne est surveillée, les données relatives au trafic définies par la normalisation ETSI, notamment, pour chaque communication, le code de l'opérateur, les numéros de téléphone appelé et appelant, la date, l'heure et la durée de l'appel, les adresses de messagerie des appelés et des appelants, le code des cellules activées, les contenus des messages courts (SMS et MMS) émis et reçus.
S'agissant des personnes ayant accédé au CGIJ, les données traitées seront le numéro d'identification unique attribué à la demande d'interception, les adresses électroniques des destinataires, les numéros de téléphone des équipements de réception des destinataires.
La commission prend acte que les seuls destinataires des données techniques relatives au trafic et des contenus des messages courts (SMS et MMS) seront les magistrats qui prescrivent les mesures d'interception dans le cadre des procédures judiciaires, dont ils sont saisis, les officiers de police judiciaire et les agents de police judiciaire, placés sous leur responsabilité, ainsi que les agents de la douane judiciaire commis ou requis par un magistrat ou affectés dans un service dont le chef a été commis ou requis par un magistrat aux fins d'une interception judiciaire de correspondances émises par la voie des communications électroniques.
Les données personnelles relatives aux personnes faisant l'objet d'une interception judiciaire seront conservées par le CGIJ le temps nécessaire à leur transmission effective aux destinataires, sans excéder le délai de trente jours à compter de leur envoi, délai à l'issue duquel elles seront automatiquement effacées.
La commission prend acte de ce que ce délai de trente jours a pour objet de permettre aux enquêteurs de procéder, le cas échéant, à une retranscription lisible du texte des messages courts, voire à sa traduction s'il n'est pas rédigé en langue française.
Les données personnelles relatives aux utilisateurs du CGIJ seront conservées par le CGIG pendant une durée de trois ans à compter de leur réception, délai à l'issue duquel elles seront automatiquement effacées.
Compte tenu de la finalité du traitement, les droits d'information et d'opposition, prévus respectivement par les articles 32 et 38 de la loi du 6 janvier 1978 modifiée, ne s'appliquent pas aux personnes faisant l'objet d'une interception judiciaire.
En outre, les droits d'accès et de rectification des personnes faisant l'objet d'une interception judiciaire, prévus respectivement par les articles 39 et 40 de la loi du 6 janvier 1978 modifiée, s'exercent de manière indirecte selon les modalités fixées par les articles 41 et 42 de la loi.
Les informations traitées par le CGIJ pourront faire l'objet d'un envoi vers un pays hors de la Communauté européenne dans le cadre d'une procédure judiciaire régulière. Ces échanges ne pourront avoir lieu qu'en vertu des articles 694 et suivants du code de procédure pénale relatifs aux règles établies en matière d'entraide judiciaire et donc uniquement avec les Etats présentant un niveau de protection suffisant.