L’assemblée nationale fait le point sur les lois « anti-terrorisme » : pérennité et renforcement sont au programme
Publié le 24/02/2008 par Etienne Wery
La loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers, a été promulguée il y a un peu plus de deux ans. Elle a été adoptée en urgence, à la suite des attentats de Londres du 7 juillet 2005. La commission des Lois a estimé qu’il était aujourd’hui nécessaire de faire le point sur la mise en application de cette loi, dont le calendrier d’adoption avait été particulièrement rapide.
Pour le Parlement, on « ne saurait se contenter d’une évaluation réalisée par le Gouvernement lui-même, telle qu’elle est prévue par l’article 32 de la loi du 23 janvier 2006 qui impose au Gouvernement de remettre chaque année un rapport sur l’application de la présente loi. D’ailleurs, aucun rapport n’a encore été remis au Parlement en application de l’article 32, deux ans après la promulgation de la loi … ».
En outre, un rapport parlementaire apparaissait comme une nécessité car certaines des dispositions les plus novatrices de la loi (articles 3, 6 et 9) n’ont été adoptées qu’à titre temporaire et ne sont applicables que jusqu’au 31 décembre 2008, de sorte que l’assemblée devra de toute façon se pencher prochainement sur le dispositif.
Ce 5 février 2008, la Commission des Lois a donc déposé son rapport d’évaluation.
Nous en résumons quelques grands thèmes.
LES MESURES RELATIVES À LA VIDÉOSURVEILLANCE
1. L’extension de la vidéosurveillance dans les lieux exposés au terrorisme
L’article 10 de la loi du 21 janvier 1995, tel qu’il est issu de la loi du 23 janvier 2006, permet explicitement la prise en compte du risque terroriste comme motif légal d’installation d’un système de vidéosurveillance. En outre, les personnes privées exposées à des actes de terrorisme sont dorénavant autorisées à filmer la voie publique, « pour la protection des abords immédiats de leurs bâtiments et installations ».
Le rapport des parlementaires relève que cette possibilité a cependant eu peu de traductions concrètes au cours de l’année 2006, et que c’est à Paris que l’installation de la vidéosurveillance pour filmer la voie publique aux abords de sites sensibles a trouvé sa traduction la plus large puisque, depuis l’entrée en application de la loi du 23 janvier 2006, onze systèmes de vidéosurveillance « aux fins de lutter contre les risques terroristes » y ont été autorisés. Ces autorisations concernent de grandes entreprises de communication et de transports de voyageurs, des lieux de culte et des bâtiments publics et également le réseau interdépartemental de la SNCF, soit 123 gares équipées à ce jour.
2. L’amélioration de l’utilisation opérationnelle des systèmes de vidéosurveillance
La loi du 23 janvier 2006 a prévu la possibilité d’un accès direct aux images des systèmes de vidéosurveillance appartenant à des tiers (collectivités locales, gestionnaires de transport public…) par les services de police et de gendarmerie nationales. Cette possibilité est cependant très encadrée.
Pour les parlementaires, cette faculté de transmission des images aux forces de l’ordre a été encore peu utilisée. En novembre 2007, sur les 230 communes équipées d’un dispositif de vidéosurveillance dans les zones de compétence de la police nationale, seules 53 avaient organisé le transfert d’images vers les services de police. Ce serait essentiellement une question de coût, qui devrait trouver une solution rapide vu le récent engagement de l’Etat de prendre les frais à sa charge.
LE DISPOSITIF DE RÉQUISITION ADMINISTRATIVE DES DONNÉES TECHNIQUES LIÉES AUX COMMUNICATIONS DES TERRORISTES
1. L’extension du champ d’application de l’obligation de conservation des données de connexion aux cybercafés et bornes wi-fi
La loi du 15 novembre 2001 relative à la sécurité quotidienne a posé le principe de la conservation des données de connexion des abonnés par les opérateurs de communications électroniques (opérateurs de téléphonie fixe et mobile et aux fournisseurs d’accès à Internet) pour les besoins d’une procédure pénale. Ces dispositions, inscrites à l’article L. 34-1 du code des postes et des communications électroniques, ont été modifiées par la loi du 23 janvier 2006, dont l’article 5 a étendu le champ.
En effet, cet article a permis d’allonger la liste des personnes soumises à l’obligation de conservation et de communication à la justice des données techniques. Y sont désormais soumises les « personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit ».
C’est l’une des dispositions les plus controversées de la loi, notamment quant à l’imprécision de champ d‘application, ce qui avait amené de nombreux parlementaires a souhaiter qu’un décret dresse la liste précise des personnes soumises à cette obligation.
Le ministre était à l’époque contre l’obligation de préciser la portée de la loi dans un décret : « Je serai très clair : nous visons d’abord les cybercafés, c’est-à-dire les personnes qui, au titre d’une activité professionnelle principale, offrent au public une connexion au réseau internet. (…) Les mairies, les universités, les bibliothèques ne sont pas concernées en principe, car leur activité ne consiste pas principalement à proposer des connexions Internet au public. Néanmoins, si l’on nous signalait que telle université ou telle bibliothèque devenait une sorte de cybercafé déguisé, alors elle pourrait entrer dans le champ des personnes soumises à cette obligation de conservation de données au titre de leur activité accessoire. (…) La définition proposée par le projet du Gouvernement n’appelle donc pas de précision par décret ».
Finalement, seul la circulaire du 21 juillet 2006 relative à l’application de la loi précise ainsi que « les cybercafés et les bornes wi-fi seront désormais, notamment en ce qui concerne l’obligation de conservation de ces données, assimilés à des opérateurs de communication électronique ».
L’expérience indique aux parlementaires qu’un décret aurait pourtant été bienvenu : « Ainsi, même si la volonté du législateur est claire, il serait sans doute préférable qu’un texte, décret ou circulaire, décrive très précisément les organismes qui relèvent de l’obligation de conservation des données et ceux qui ne sont pas concernés. Il faut par ailleurs rappeler que le non-respect de cette obligation peut entraîner le déclenchement de poursuites pénales ».
2. Les données à conserver
Si l’article 5 de la loi du 23 janvier 2006 était directement applicable, sa mise en œuvre dépendait pourtant indirectement de la publication d’un décret.
La nature des données à conserver et leur durée devaient être fixées par un décret en Conseil d’État, qui n’avait toujours pas été publié au moment de la promulgation de la loi du 23 janvier 2006, alors que plus de quatre ans s’étaient écoulés depuis l’adoption de la loi du 15 novembre 2001.
La clarté a été apportée suite à l’adoption du décret n° 2006-358 du 24 mars 2006 relatif à la conservation des données des communications électroniques.
Les parlementaires le soulignent : « Il est important de préciser que la loi ou le décret n’ont fixé aucune obligation d’identification des clients ayant recours à ces services, ce qui constitue, selon les services de lutte contre le terrorisme, une sérieuse limite à l’utilité de la disposition. Ils considèrent en effet que la conservation des données de connexion des clients des cybercafés est peu utilisable dans la mesure où il n’est pas possible d’identifier ces derniers. Ils soulignent également qu’ils n’existent aucune condition particulière pour proposer de tels services au public, contrairement à la législation italienne qui exige la sollicitation d’une autorisation préalable ainsi que l’identification de l’ensemble des clients. Ainsi, le cybercafé reste un moyen permettant de communiquer avec un risque assez faible d’être identifié ».
Rappelons que des sources concordantes indiquent qu’un nouveau décret est prêt à être adopté, dans le but d’allonger considérablement la liste des données à conserver et leur nature. Certes, le gouvernement assure ne pas vouloir conserver le contenu des communications, mais il reste que la perspective d’un durcissement du régime inquiète de nombreux observateurs.
3. La mise en place d’un régime de réquisition administrative des données de connexion
La loi du 15 novembre 2001, pleinement applicable depuis la publication du décret du 24 mars 2006, faisait obligation aux opérateurs de communications électroniques de conserver un certain nombre de données de connexion afin de les transmettre à la justice, sur réquisition, pour les besoins d’une procédure pénale. L’article 6 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique avait institué une obligation de même nature à la charge des hébergeurs de site Internet, mais toujours dans le cadre d’une procédure pénale.
Les nécessités de la lutte contre le terrorisme justifiaient la mise en œuvre d’une procédure de réquisition administrative des données de connexion, s’ajoutant à la procédure de réquisition judiciaire.
C’est pourquoi l’article 6 de la loi du 23 janvier 2006 a créé un dispositif d’accès de certains agents des services chargés de la prévention du terrorisme aux données conservées par les opérateurs de communication électronique et les hébergeurs de site internet.
Ces dispositions sont désormais pleinement applicables grâce à la publication des textes suivants :
– le décret n° 2006-1651 du 22 décembre 2006 pris pour l’application du I de l’article 6 de la loi n° 2006-64 du 23 janvier 2006 précise par exemple que les demandes de réquisition administrative ne peuvent être effectuées que par des agents habilités, désignés par le chef d’un service de police ou de gendarmerie spécialement chargés des missions de prévention des actes de terrorisme. Il définit les informations à communiquer à l’appui des demandes de communication des données, ainsi que les modalités d’instruction des demandes par la « personnalité qualifiée », de contrôle par la Commission nationale de contrôle des interceptions de sécurité (CNCIS)…
– la décision n° 1/2006 du 28 décembre 2006 portant nomination de la personnalité qualifiée mentionnée à l’article L. 34-1-1 du code des postes et des communications électroniques était le complément indispensable du décret du 22 décembre 2006. Le ministre de l’intérieur a donc présenté, comme la loi lui en fait l’obligation, une liste d’au moins trois noms à la Commission nationale de contrôle des interceptions de sécurité par deux lettres de saisine du 29 novembre et du 15 décembre 2006. La CNCIS a ensuite pu désigner M. François Jaspart, inspecteur général de la police nationale, en qualité de personnalité qualifiée pour une durée de trois ans. Le nouveau dispositif est devenu pleinement opérationnel à partir du 2 mai 2007.
4. Une carence préoccupante du pouvoir règlementaire s’agissant des données destinées à identifier l’origine des contenus mis en ligne
Les parlementaires l’affirment : « Si les dispositions concernant la réquisition des données techniques conservées par les opérateurs de communication électroniques ont connu une entrée en vigueur rapide, tel n’est pas le cas de celles qui devaient permettre l’identification des personnes ayant contribué à la création d’un contenu mis en ligne. Cette obligation de conservation devrait s’appliquer aux hébergeurs de site Internet et aux fournisseurs d’accès Internet (FAI). En effet, le II de l’article 6 de la loi du 23 janvier 2006, modifiant l’article 6 de la loi du 21 juin 2004 pour l’économie numérique, prévoyait un décret en Conseil d’État qui n’a pas encore été publié. Il s’agit d’ailleurs du seul acte réglementaire manquant pour l’application de la loi du 23 janvier 2006 ».
Des projets de décret ont été rédigés, mais aucun consensus n’a été dégagé.
Le dernier projet a été soumis à la CNIL, qui a rendu son avis le 20 décembre 2007. La CNIL soulève un certain nombre de critiques dont l’imprécision de la notion « d’identifiant » que les personnes concernées doivent conserver, l’insuffisance des dispositions sur les modalités de conservation des données, etc.
Ce texte est aussi critiqué par l’Association française des fournisseurs d’accès (AFA) qui considère que le champ des données à fournir était à la fois imprécis et trop étendu, pouvant même concerner des données qui peuvent être considérées comme relevant du contenu des communications (en-tête des messages électroniques).
Les parlementaires se désolent de la situation : « Pour autant, la mise en œuvre rapide de ce décret, attendu depuis bientôt quatre ans est un impératif, compte tenu de l’usage croissant d’Internet par les membres des réseaux terroristes, au détriment des moyens téléphoniques ».
5. Faut-il pérenniser les dispositions de l’article 6 de la loi du 23 janvier 2006 ?
L’article 32 de la loi a prévu que certains des articles de la loi, dont l’article 6, seraient applicables jusqu’au 31 décembre 2008.
Les parlementaires se prononcent pour la continuité.
Ils estiment que « La mise en œuvre très positive de la réquisition administrative des données de connexion des opérateurs de communication plaide incontestablement pour la pérennisation de ces dispositions au-delà du 31 décembre 2008. Quant au dispositif de réquisition des données conservées dans le cadre de la loi sur la confiance dans l’économie numérique, celui-ci n’étant pas encore entré en vigueur, il sera également nécessaire de prolonger son application afin de pouvoir évaluer son efficacité. Par ailleurs, les motivations qui ont justifié la mise en œuvre de ce dispositif, à savoir l’accroissement du risque terroriste, restent malheureusement toujours d’actualité ».