Réponse publiée le 25 mars 2014

Antérieurement à l'adoption de la loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale (LPM), l'article L. 34-1-1 du code des postes et des communications électroniques et l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique permettaient à certains agents désignés et habilités du ministère de l'intérieur de demander l'accès, afin de prévenir les actes de terrorisme, aux données de connexion détenues par les opérateurs de communications électroniques, les fournisseurs d'accès et les hébergeurs, sans que soit précisément mentionnée la possibilité de recueillir ces données en temps réel. Or, la localisation en temps réel d'un objet tel qu'un téléphone mobile (géolocalisation) peut s'avérer être un élément déterminant s'agissant en particulier des investigations conduites par les services spécialisés en matière de lutte antiterroriste. En conséquence et compte tenu de la jurisprudence en la matière de la Cour européenne des droits de l'homme[1], il convenait d'adapter le dispositif législatif ci-dessus évoqué en vue de permettre expressément la géolocalisation. L'article 13 du projet de LPM pour les années 2014 à 2019 déposé par le Gouvernement le 2 août 2013 prévoyait ainsi la modification en ce sens de l'article L. 34-1-1 du code des postes et des communications électroniques et de l'article 6 de la loi n° 2004-575 du 21 juin 2004. La rédaction originelle de cet article, très circonscrite, ne comportant aucune disposition relative à la protection des personnes à l'égard des traitements automatisés, explique que la Commission nationale de l'informatique et des libertés (CNIL) n'ait pas été saisie. Cet article 13 du projet de LPM a été profondément remanié à l'initiative du Parlement. Les modifications apportées, marquant la refonte globale du régime de recueil administratif des données de connexion, ont été transcrites dans l'article 20 de la LPM, après consultation de la CNIL par les commissions des lois et de la défense du Sénat. Le Parlement a, de la sorte, adopté un nouveau dispositif juridique qui fixe et encadre strictement les modalités d'accès aux données de connexion, similaire au régime des interceptions de sécurité. Le Gouvernement a pour sa part approuvé les évolutions souhaitées et votées par le Parlement, qui aboutissent à renforcer la sécurité juridique du dispositif encadrant l'accès aux données de connexion et à mieux garantir les droits et les libertés individuelles des citoyens. Dans ce contexte, seuls les services déjà habilités à prendre connaissance du contenu de communications électroniques pourront être autorisés à accéder à des données de connexion, et cela seulement au titre d'au moins l'un des motifs énumérés à l'article L. 241-2 du code de la sécurité intérieure : recherche de renseignements intéressant la sécurité nationale, sauvegarde des éléments essentiels du potentiel scientifique et économique de la France, prévention du terrorisme, de la criminalité ou de la délinquance organisées et de la reconstitution ou du maintien de groupements dissous. Les autorisations d'accès aux données de connexion seront délivrées par une personnalité qualifiée, placée auprès du Premier ministre, sous le contrôle de la Commission nationale de contrôle des interceptions de sécurité (CNCIS), qui désigne cette personnalité. Les conditions requises pour pouvoir procéder à une géolocalisation en temps réel seront encore plus strictes, dans la mesure où elles imposeront une demande d'autorisation écrite et motivée émanant des ministres chargés de la sécurité intérieure, de la défense ou de l'économie et du budget et une réponse écrite du Premier ministre, après avis de la CNCIS. La durée de validité de ce type d'autorisation sera limitée à 30 jours. Elle pourra toutefois être renouvelée selon les mêmes modalités. L'ensemble de ces mesures renforce ou, selon le cas, crée l'encadrement juridique de l'accès à ces différentes données et étend les compétences de la CNCIS. De surcroît, destinées à entrer en vigueur à compter du 1er janvier 2015, elles devront faire l'objet d'un décret d'application pris en Conseil d'État, après avis de la CNIL. [1] CEDH, Uzun C. Allemagne, 2 septembre 2010.