Réaction de la CNIL et du CLUSIF à la Loi de programmation militaire

 

Promulgation de la loi de programmation militaire : la CNIL fait part de sa position

20 décembre 2013

Réunie le 19 décembre 2013 en séance plénière, la Commission a souhaité faire part de sa position à la suite de la promulgation de la loi de programmation militaire, notamment son article 20. Elle regrette de ne pas avoir été saisie de ces dispositions par le Gouvernement lors de l’examen du projet de loi qui lui a été soumis ; à ce titre, elle souhaite à l’avenir être systématiquement consultée pour tous les textes législatifs ou réglementaires concernant les données personnelles. Elle déplore que la rédaction définitive du texte semble autoriser un accès aux données de contenu et non seulement aux données de connexion. Elle sera très vigilante sur la rédaction des décrets d’application de la loi qui devront lui être soumis.

 

 

La Commission Nationale de l'Informatique et des Libertés, réunie le 19 décembre 2013, a souhaité faire part de sa position à la suite de la promulgation de la loi de programmation militaire et notamment son article 20 (cf Texte ci-dessous).

Elle a d'abord à nouveau regretté de ne pas avoir été saisie sur cet article lors de l'examen du projet de loi. Elle a rappelé que la saisine de la CNIL est nécessaire et systématique sur tous les projets de loi et de décrets concernant les données à caractère personnel. Elle a par ailleurs formulé le souhait d'élargir à l'avenir cette consultation aux propositions de loi portant sur le même objet.

Elle a ensuite souligné que le recours à la notion très vague "d'informations et documents " traités ou conservés par les réseaux ou services de communications électroniques, semble permettre aux services de renseignement d'avoir accès aux données de contenu, et non pas seulement aux données de connexion (contrairement à ce qu'indique le titre du chapitre du Code de la sécurité intérieure créé par ces dispositions). Elle considère qu'une telle extension, réalisée dans le cadre du régime administratif du recueil des données de connexion, risque d'entraîner une atteinte disproportionnée au respect de la vie privée.

Elle relève ensuite que la rédaction du nouvel article L. 246-3 du Code de la sécurité intérieure, qui prévoit que ces " informations et documents " peuvent être recueillis " sur sollicitation du réseau " et transmis en temps réel par les opérateurs de communication électronique aux services de renseignement  limite, heureusement, toute possibilité d'aspiration massive et directe des données par les services de renseignement, dans la mesure où l'intervention sur les réseaux concernés est réalisée par les opérateurs de communication eux-mêmes. Dans le même esprit, elle prend acte des déclarations du président de la Commission des Lois du Sénat selon lesquelles ces mêmes dispositions ne peuvent être utilisées qu'à des fins de géolocalisation en temps réel. Elle observe également que ces opérations de géolocalisation bénéficient des mêmes garanties que celles accordées par le régime des interceptions de sécurité.

Au regard de l'émoi suscité par ces dispositions, dans le contexte particulier de l'affaire Prism, des préoccupations croissantes exprimées par les consommateurs des services offerts par les grandes sociétés de l'internet, la CNIL pense qu'il est d'intérêt général de susciter un débat public sur la mise en place d'une " société de surveillance ". Celui-ci permettra d'éclairer l'opinion, les autorités publiques et les acteurs privés sur les enjeux en cause et les garanties à apporter, en termes de transparence, de maitrise par le citoyen et de contrôle, afin de concilier les impératifs de sécurité et la dynamique de l'innovation avec la nécessaire protection des libertés individuelles et de la vie privée.

Source: http://www.cnil.fr/nc/linstitution/actualite/article/article/promulgation-de-la-loi-de-programmation-militaire-la-cnil-fait-part-de-sa-position/

 

 Le point de vue du CLUSIF sur la captation de données informatiques par des services de l'Etat:

 Pointe-de-vue-du-CLUSIF-sur-la-LPM

 

 Pour accéder au contenu complet: Abonnez-vous 



Article 20
 


I. ― Le livre II du même code est ainsi modifié : 
1° L'intitulé du titre IV est complété par les mots : « et accès administratif aux données de connexion » ; 
2° Il est ajouté un chapitre VI ainsi rédigé :


« Chapitre VI


« Accès administratif aux données de connexion


« Art. L. 246-1.-Pour les finalités énumérées à l'article L. 241-2, peut être autorisé le recueil, auprès des opérateurs de communications électroniques et des personnes mentionnées à l'article L. 34-1 du code des postes et des communications électroniques ainsi que des personnes mentionnées aux 1 et 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, des informations ou documents traités ou conservés par leurs réseaux ou services de communications électroniques, y compris les données techniques relatives à l'identification des numéros d'abonnement ou de connexion à des services de communications électroniques, au recensement de l'ensemble des numéros d'abonnement ou de connexion d'une personne désignée, à la localisation des équipements terminaux utilisés ainsi qu'aux communications d'un abonné portant sur la liste des numéros appelés et appelants, la durée et la date des communications. 
« Art. L. 246-2.-I. ― Les informations ou documents mentionnés à l'article L. 246-1 sont sollicités par les agents individuellement désignés et dûment habilités des services relevant des ministres chargés de la sécurité intérieure, de la défense, de l'économie et du budget, chargés des missions prévues à l'article L. 241-2. 
« II. ― Les demandes des agents sont motivées et soumises à la décision d'une personnalité qualifiée placée auprès du Premier ministre. Cette personnalité est désignée pour une durée de trois ans renouvelable par la Commission nationale de contrôle des interceptions de sécurité, sur proposition du Premier ministre qui lui présente une liste d'au moins trois noms. Des adjoints pouvant la suppléer sont désignés dans les mêmes conditions. La personnalité qualifiée établit un rapport d'activité annuel adressé à la Commission nationale de contrôle des interceptions de sécurité. Ces décisions, accompagnées de leur motif, font l'objet d'un enregistrement et sont communiquées à la Commission nationale de contrôle des interceptions de sécurité. 
« Art. L. 246-3.-Pour les finalités énumérées à l'article L. 241-2, les informations ou documents mentionnés à l'article L. 246-1 peuvent être recueillis sur sollicitation du réseau et transmis en temps réel par les opérateurs aux agents mentionnés au I de l'article L. 246-2. 
« L'autorisation de recueil de ces informations ou documents est accordée, sur demande écrite et motivée des ministres de la sécurité intérieure, de la défense, de l'économie et du budget ou des personnes que chacun d'eux a spécialement désignées, par décision écrite du Premier ministre ou des personnes spécialement désignées par lui, pour une durée maximale de trente jours. Elle peut être renouvelée, dans les mêmes conditions de forme et de durée. Elle est communiquée dans un délai de quarante-huit heures au président de la Commission nationale de contrôle des interceptions de sécurité. 
« Si celui-ci estime que la légalité de cette autorisation au regard des dispositions du présent titre n'est pas certaine, il réunit la commission, qui statue dans les sept jours suivant la réception par son président de la communication mentionnée au deuxième alinéa. 
« Au cas où la commission estime que le recueil d'une donnée de connexion a été autorisé en méconnaissance des dispositions du présent titre, elle adresse au Premier ministre une recommandation tendant à ce qu'il y soit mis fin. 
« Elle porte également cette recommandation à la connaissance du ministre ayant proposé le recueil de ces données et du ministre chargé des communications électroniques. 
« Art. L. 246-4.-La Commission nationale de contrôle des interceptions de sécurité dispose d'un accès permanent au dispositif de recueil des informations ou documents mis en œuvre en vertu du présent chapitre, afin de procéder à des contrôles visant à s'assurer du respect des conditions fixées aux articles L. 246-1 à L. 246-3. En cas de manquement, elle adresse une recommandation au Premier ministre. Celui-ci fait connaître à la commission, dans un délai de quinze jours, les mesures prises pour remédier au manquement constaté. 
« Les modalités d'application du présent article sont fixées par décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés et de la Commission nationale de contrôle des interceptions de sécurité, qui précise notamment la procédure de suivi des demandes et les conditions et durée de conservation des informations ou documents transmis. 
« Art. L. 246-5.-Les surcoûts identifiables et spécifiques éventuellement exposés par les opérateurs et personnes mentionnées à l'article L. 246-1 pour répondre à ces demandes font l'objet d'une compensation financière de la part de l'Etat. » ; 
3° Les articles L. 222-2, L. 222-3 et L. 243-12 sont abrogés ; 
4° A la première phrase du premier alinéa de l'article L. 243-7, les mots : « de l'article L. 243-8 et au ministre de l'intérieur en application de l'article L. 34-1-1 du code des postes et des communications électroniques et de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique » sont remplacés par les références : « des articles L. 243-8, L. 246-3 et L. 246-4 » ; 
5° A l'article L. 245-3, après le mot : « violation », sont insérées les références : « des articles L. 246-1 à L. 246-3 et ». 
II. ― L'article L. 34-1-1 du code des postes et des communications électroniques est abrogé. 
III. ― Le II bis de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique est abrogé. 
IV. ― Le présent article entre en vigueur le 1er janvier 2015.

 Source: http://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=E393819BC568D83CBC3B194D6900E41C.tpdjo06v_3?idArticle=JORFARTI000028338886&cidTexte=JORFTEXT000028338825&dateTexte=29990101&categorieLien=id

  

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires