Le 28 janvier dernier dans le cadre du projet de loi pour la sécurité intérieure¹, les députés ont voté en première lecture des amendements qui réintroduisent une disposition de l’avant projet de loi permettant à la police judiciaire de réquisitionner par voie électronique les logs de connexion des internautes conservés par leurs fournisseurs d’accès internet (FAI), en application de leurs obligations issues de la loi du 1er août 2000 et de la loi sécurité quotidienne du 15 novembre 2001.
Cette mesure, annoncée en août 2002 dans l’annexe de la loi d’Orientation et de programmation de la sécurité intérieure (LOPSI), vise à renforcer l’efficacité des investigations policières mises à mal par « l’incapacité des institutions publiques ou privées (établissements financiers, opérateurs de téléphonie, administrations…) à répondre dans des délais raisonnables aux réquisitions effectuées par les officiers de police judiciaire à la demande de l’autorité judiciaire². » (cf. article : Les nouvelles obligations des prestataires de services internet – 19/08/2002).
C’est pour cette raison que les députés ont repris la disposition de l’avant projet de loi permettant « aux officiers de police judiciaire, agissant dans le cadre d’une enquête judiciaire, sur autorisation d’un magistrat, d’accéder directement à des fichiers informatiques et de saisir à distance par la voie télématique ou informatique, les renseignements qui paraîtraient nécessaires à la manifestation de la vérité ».
Dans un avenir proche, ils pourront donc intervenir « sur réquisition du Procureur de la République préalablement autorisé par ordonnance du juge des libertés et de la détention », pour requérir des FAI qu’ils prennent « sans délai, toutes mesures propres à assurer la préservation, pour une durée ne pouvant excéder un an, du contenu des informations consultées » par leurs abonnés (article 8 ter).
Ils devront ensuite remettre aux autorités compétentes ces informations par voie télématique ou informatique dans les meilleurs délais sous peine d’une amende de 3 750 €.
La procédure sera même allégée en cas de flagrant délit, puisque la commission mixte paritaire³, dans son rapport déposé le 5 février dernier, a proposé de supprimer l’autorisation préalable du Procureur de la République pour les enquêtes de flagrance !
Cette commission parlementaire mixte a été formée après une seule lecture du texte devant les deux chambres, ce que permet la procédure d’urgence. L’adoption de ce texte de compromis a pour conséquence de limiter la discussion du projet de loi au vote des amendements proposés par la commission.
Les 12 et 13 février derniers, les modifications apportées par la commission ont été définitivement adoptées par l’assemblée et le sénat en seconde lecture⁴.
Après promulgation de la loi, resteront à définir les modalités d’interrogation, de transmission et de traitement des informations requises par un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés (CNIL).
Selon Jean-Christophe Le Toquin, délégué général de l’Association des fournisseurs d’accès (AFA), « la réponse aux réquisitions ne se fera pas par accès des OPJ à des serveurs sur lesquels nous aurons mis nos réponses, mais par transmission classique, par exemple par mail crypté⁵ ».
Accepter de mettre en oeuvre un accès direct et en ligne aux serveurs des FAI afin de recueillir le contenu des informations consultées par leurs abonnés, serait effectivement un risque disproportionné dans une société démocratique par rapport aux éventuelles atteintes à la vie privée des citoyens.
La solution adoptée par décret devra donc suivre strictement l’avis de la CNIL. Il est donc souhaitable que la réforme relative à l’extension de ses pouvoirs d’investigation, d’injonction et de sanction, dans le cadre de la transposition de la directive européenne du 24 octobre 1995⁶, soit rapidement votée par le Parlement afin d’assurer une protection juridique efficace des citoyens face aux solutions techniques qui seront retenues.
Il est regrettable que l’on ait pas choisi de mettre en œuvre la procédure d’urgence dans de telle circonstance, au risque de voir son adoption définitive encore repoussée.
La France a pourtant déjà été condamnée deux fois par la CJCE pour manquement à son obligation de transposition des directives 95/46/CE (arrêt du 14 février 2001⁷ ) et 97/66/CE (arrêt du 18 janvier 2001⁸).
Enfin, comme l’a fort justement remarqué le sénateur Alex TÜRK, vice président de la CNIL, l’article 9 bis du projet de loi aurait du être débattu lors du prochain débat parlementaire portant sur la réforme du droit des traitements des données personnelles (transposition de la directive du 24 octobre 1995).
Il réforme en effet les modalités d’exercice du droit d’accès des personnes fichées par les services de police et de gendarmerie et donc modifie l’article 39 de la loi informatique et liberté⁹.
On peut s’alarmer de ce que ces dernières années ont été déposés par les gouvernements successifs des projets de loi « fourre tout » au détriment d’une transparence législative, pourtant nécessaire dans une société soucieuse du respect des droits de chacun. Nul n’est censé ignorer la loi certes, mais encore faut-il ne pas se perdre dans ce « maquis législatif ».

¹ http://www.assemblee-nationale.fr/12/ta/ta0079.asp
² LOI n° 2002-1094 du 29 août 2002 d’orientation et de programmation pour la sécurité intérieure, J.O n° 202 du 30 août 2002 page 14398.
³ Procédure de conciliation réunissant 7 députés et 7 sénateurs.
⁴ http://www.senat.fr/Extense/bin/nph-cgi_view.cgi?file=%2Fappl2%2Fusers%2Fmcweb%2Fdoc%2Fdossierleg%2Fpjl02-030.html&words=s%E9curit%E9+int%E9rieure&base=http%3A%2F%2Fwww.senat.fr%2Fdossierleg%2Fpjl02-030.html#marker
⁵ Propos recueillis par Estelle DUMOUT, Réquisition des logs à distance : les FAI vigilants sur les amendements de la loi de Sarkozy, 6 février 2003, ZDNet, http://news.zdnet.fr/story/0,,t118-s2129954,00.html
⁶ Directive 95/46/CE du Parlement européen et du Conseil relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.
⁷ CJCE, affaire C-219/99, 14 février 2001 (non transposition de la Directive 95/46/CE du Parlement européen et du Conseil relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données).
⁸ CJCE, affaire C-151/00, 18 janvier 2001 (non transposition de la directive 97/66/CE du Parlement européen et du Conseil, du 15 décembre 1997, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications).
⁹ Loi n° 78-17 du 6 janvier 1978.