La captation des données informatiques : enjeux et conséquences pour les entreprises de la LOPPSI 2
Avec "l'écoute informatique" introduite par la LOPPSI 2, les RSSI ne risquent-ils pas d'être poursuivis s'ils neutralisent un spyware déposé par les forces de l'ordre dans un SI ?
PublicitéParmi les nombreuses dispositions qui doivent venir modifier notre code de procédure pénale, figure dans la LOPPSI 2 en cours de discussion (loi d'orientation et de programmation pour la performance de la sécurité intérieure) un article relatif à la « captation des données informatiques ».
Cet article introduit la possibilité pour un juge d'instruction, dans le cadre de la lutte contre la criminalité et la délinquance organisées, d'autoriser les officiers et agents de police judiciaire à « mettre en place un dispositif technique ayant pour objet, sans le consentement des intéressés, d'accéder, en tous lieux, à des données informatiques, de les enregistrer, les conserver et les transmettre, telles qu'elles s'affichent sur un écran pour l'utilisateur d'un système de traitement automatisé de données ou telles qu'il les y introduit par saisie de caractères. »
Il s'agirait donc d'une nouvelle possibilité pour la police judiciaire d'avoir accès à des données informatiques dans le cadre de ses enquêtes. Les enquêteurs disposent déjà d'un certain nombre de prérogatives en la matière. L'actuel article 60-2 du code de procédure pénal (CPP) autorise, dans le cadre d'une enquête de flagrance, les OPJ à « requérir » l'accès aux données contenues dans des « systèmes informatiques ou traitements de données nominatives » de certains organismes tels que des administrations ou les opérateurs de communications électroniques. De manière plus directe, les OPJ peuvent, au cours d'une perquisition, accéder aux données intéressant l'enquête stockées dans sur un système informatique (article 57-1 CPP).
Il s'agit avec la LOPPSI 2 d'aller plus loin : la captation des données se fera « en direct » et à l'insu des personnes à l'origine de ces données. C'est ce que le projet de loi appelle la « captation des données informatiques ».
Cet article est en fait calqué sur celui relatif aux « captations d'images et de sons », prévu à l'article 706-96 du code de procédure pénal, introduit par la du 9 mars 2004 portant adaptation de la justice aux évolutions de la criminalité. A côté de la possibilité pour les enquêteurs d'enregistrer « clandestinement » l'image et les paroles de malfaiteurs présumés, l'arsenal du code de procédure pénal va donc se voir doté d'une possibilité de capter « en direct » les données informatiques d'une personne.
L'objectif recherché par le législateur est de permettre aux enquêteurs de recueillir des informations « à la source » et surtout avant qu'elles aient pu être encryptées ou stockées sur un dispositif amovible comme une clé USB.
Comment cette captation va-t-elle s'opérer ?
La logique du texte est clairement de permettre l'utilisation de dispositifs techniques matériels assurant la captation des données. Ainsi, le projet de texte prévoit-il qu'en vue de mettre en place le dispositif technique le juge d'instruction peut autoriser l'introduction dans un véhicule ou dans un lieu privé à l'insu ou sans le consentement du propriétaire ou du possesseur du véhicule ou de l'occupant des lieux et ce à toute heure du jour ou de la nuit. Il s'agit donc pour les enquêteurs d'avoir un accès physique au système informatique pour installer « le mouchard » électronique.
Publicité
Mais le projet précise qu'en vue de mettre en place le dispositif technique, le juge d'instruction peut également autoriser la transmission par un réseau de communications électroniques de ce dispositif. Sous réserve de faisabilité technique, le mouchard pourra donc être introduit dans le système à « espionner » à distance, par une intrusion dans l'ordinateur relié à l'internet.
On peut d'ailleurs faire le parallèle avec le régime instauré pour l'acquisition et la détention d'appareils permettant l'enregistrement de conversations téléphoniques. La détention de tels appareils est soumise à une autorisation ministérielle. D'abord conçu pour les dispositifs matériels, ce régime a été étendu aux logiciels qui permettent de procéder à de tels enregistrements. Le projet de LOPPSI 2 prévoit ainsi d'inclure dans la liste des matériels dont la détention, l'importation, la fabrication ou la commercialisation nécessite une autorisation ministérielle ces « mouchards » destinés à capter les données informatiques.
Les entreprises sont-elles concernées ?
Les entreprises sont-elles concernées ?
Ces dispositions de la LOPPSI 2 sont spécifiques à la lutte contre la délinquance et la criminalité organisée. La grande majorité des entreprises ne devrait donc pas être concernée par ce texte qui est destiné à permettre de capter en temps réel les échanges informatiques entre membres d'une organisation criminelle ou terroriste.
Cependant, si un salarié est soupçonné de se livrer à une telle activité en utilisant les moyens informatiques de son employeur, le système informatique de l'entreprise se verrait alors l'objet d'une telle mesure « d'espionnage ». On peut penser que dans une telle hypothèse, les enquêteurs agiraient en concertation avec l'employeur. Mais si une discrétion totale devait s'imposer, le texte dote les enquêteurs de la possibilité de placer les dispositifs de captation sur le réseau de l'entreprise sans informer ses responsables.
Qu'ils s'agissent de dispositifs de captation de l'image, de la voix ou des données informatiques, leur efficacité est bien sûr subordonnée au fait qu'ils ne soient pas découverts et neutralisés.
En matière de protection de leur système informatique, les entreprises luttent de manière constante pour que leur réseau soit à l'abri de toutes intrusions. On peut donc se demander ce qu'il adviendra du « spyware policier » s'il était découvert et neutralisé par le RSSI, à l'instar de n'importe quel autre virus ou cheval de Troie.
La question n'a pas été envisagée au cours des débats parlementaires. L'article 434-4 du code pénal punit de trois ans d'emprisonnement et de 45 000 € d'amende le fait, en vue de faire obstacle à la manifestation de la vérité, de détruire, soustraire, receler ou altérer un objet de nature à faciliter la découverte d'un crime ou d'un délit, la recherche des preuves ou la condamnation des coupables.
Mais la commission de cette infraction requiert l'intention délictuelle : il faut que la personne détruisant ou neutralisant le dispositif agisse avec le dessein de faire obstacle à la manifestation de la vérité. Dans une entreprise, il ne pourra en être ainsi que si la personne chargée de la sécurité du système à la connaissance du fait que le dispositif détecté a été placé par l'autorité judiciaire et le neutralise en connaissance de cause. Or on peut penser que les « spyware policier » n'iront pas jusqu'à montrer leur carte de police...
Les garanties procédurales envisagées
Les opérations seront effectuées sous l'autorité et le contrôle du juge d'instruction. À peine de nullité, la décision du juge d'instruction devra préciser l'infraction qui motive le recours à ces dispositifs, la localisation exacte ou la description détaillée du système informatique concerné ainsi que la durée des opérations. Ces opérations de captation pourront être prises pour une durée maximale de quatre mois, prorogeables si les nécessités de l'instruction l'exigent. Le juge d'instruction pourra, à tout moment, ordonner l'interruption de l'opération.
Il faut souligner que le texte prévoit que le fait que ces opérations révèlent des infractions autres que celles visées dans la décision du juge d'instruction ayant autorisé les opérations ne constituera pas une cause de nullité des procédures incidentes. Les infractions révélées par le « mouchard », même sans rapport avec la criminalité organisée, pourront donc faire l'objet de poursuites.
La captation serait interdite dans le véhicule, le bureau ou le domicile d'un parlementaire, d'un avocat ou d'un magistrat, dans les locaux d'une entreprise de presse ou de communication audiovisuelle ainsi que dans le cabinet d'un médecin, d'un notaire, d'un avoué ou d'un huissier.
Les enregistrements des données informatiques seront placés sous scellés fermés et seront retranscrites, dans un procès-verbal versé au dossier, les données qui seront utiles à la manifestation de la vérité. Aucune séquence relative à la vie privée étrangère aux infractions visées dans les décisions autorisant la mesure ne pourra être conservée dans le dossier de la procédure.
La LOPPSI 2 sera examinée en deuxième lecture par l'Assemblée Nationale en octobre.
Article rédigé par
Etienne Papin, Avocat associé du cabinet Feral-Schuhl / Sainte-Marie
Avocat au Barreau de Paris, Etienne Papin exerce dans les domaines du droit de l'informatique, de l'internet et des médias. Il conseille des SSII, éditeurs de logiciels, grandes entreprises et personnes publiques pour la rédaction et la négociation de leurs contrats informatiques. Il assiste également ces entreprises lors de procédures judiciaires. Il est associé du cabinet Feral-Schuhl / Sainte-Marie.
Suivez l'auteur sur Google+, Linked In, Twitter
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire