Note relative au projet de loi relatif à la géolocalisation

Le 23 décembre 2013, le Gouvernement a déposé sur le Bureau du Sénat, un projet de loi relatif à la géolocalisation. Ce texte est destiné à corriger les conséquences de plusieurs arrêts de la Cour de cassation.

Créée en décembre 2007, l’ASIC est la première organisation française qui regroupe des intermédiaires du web 2.0 – moteurs de recherche, plateformes de transactions, sites de partage de contenus, réseaux sociaux, etc.. L’ASIC (Association des Services Internet Communautaires) reconnaît le légitime besoin de sécuriser le cadre applicable à la lutte contre la criminalité, mais estime que le texte actuel dépasse fortement le périmètre décrit dans l’exposé des motifs. En visant notamment la possibilité de procéder à la géolocalisation de toute personne et de tout objet, son champ d’application devient très vaste à l’ère des objets connectés. De même, l’intervention d’un magistrat uniquement pour pérenniser une mesure de surveillance au-delà d’un délai de 15 jours, ne semble pas répondre aux attentes de la Cour de cassation exiger une mesure “sous contrôle d’un juge”.

*

*           *

Comme le décrit l’exposé des motifs du projet de loi, il existe deux techniques de géolocalisation en temps réel lors d’une enquête :

  • le suivi dynamique, en temps réel, d’un terminal de télécommunication permet, par la mise en oeuvre d’une procédure spécifique, de localiser notamment un téléphone portable ;

  • l’utilisation d’un dispositif dédié (une balise), installé sur un objet ou un moyen de transport, permet de déterminer, en temps réel, la position d’un objet (véhicule, container) ou d’un individu.

Par deux arrêts en date du 22 octobre 2013, la Cour de cassation – au visa de l’article 8 de la Convention européenne de sauvegarde des droits de l’homme – a estimé que “la technique dite de  » géolocalisation  » constitue une ingérence dans la vie privée dont la gravité nécessite qu’elle soit exécutée sous le contrôle d’un juge”.

En effet, les services de police avaient recours à la voie de la réquisition judiciaire prévue au Code du procédure pénale qui place cet accès sous le seul contrôle du Procureur de la République.

Le 19 novembre 2013, la Cour de cassation est allée plus loin en affirmant que “les dispositions légales invoquées, relatives aux activités exercées par la police judiciaire sous la direction du procureur de la République, ne confèrent pas le pouvoir de mettre en oeuvre la mesure technique dite de « géolocalisation « , laquelle, en raison de sa gravité, ne peut être réalisée que sous le contrôle d’un juge”.

Le Gouvernement a donc déposé un projet de loi destiné à corriger les conséquences de ces décisions et à renforcer le cadre juridique autour de la géolocalisation.

1 – Les principales mesures proposées par le Gouvernement

Le projet de loi est destiné à permettre la géolocalisation en temps réel dans les enquêtes et informations judiciaires portant sur une infraction punie d’une peine d’emprisonnement supérieure ou égale à trois ans ainsi que pour les enquêtes en recherche des causes de la mort, en recherche des causes de la disparition et en recherche d’une personne en fuite

Le dispositif retenu prévoit l’intervention d’un juge, non pas immédiatement, mais à l’issue d’un délai maximum de quinze jours. Ainsi, lors d’une enquête dirigée par le parquet, le procureur de la République pourra autoriser une mesure de géolocalisation en temps réel pour une durée de quinze jours. A l’issue de cette durée, la poursuite des opérations devra être prescrite par décision du juge des libertés et de la détention, sur requête du procureur de la République.

Par exception, “en cas d’urgence résultant d’un risque imminent de dépérissement des preuves ou d’un risque imminent d’atteinte grave aux personnes ou aux biens”, l’autorisation du magistrat compétent pourra être donnée par tout moyen.

Afin d’harmoniser les dispositifs relatifs à la géolocalisation en temps réel et aux interceptions téléphoniques, il a été choisi que la durée de l’autorisation délivrée par le juge des libertés et de la détention sur requête du procureur de la République, serait d’un mois, et de quatre mois lorsqu’elle est délivrée par le juge d’instruction.

Enfin, et par dérogation, le texte permet de continuer à ordonner les mesures de géolocalisation en temps réel des terminaux de télécommunication détenues par les victimes en application des règles classiques, sur simple réquisition d’un procureur sans contrôle par un magistrat.

 

2 – Un besoin de précision et un nécessaire renforcement de la protection des libertés

 

A – Une intervention tardive d’un magistrat même en l’absence d’urgence ou de flagrance

Alors que la Cour de cassation, au visa de la Convention européenne des droits de l’homme, avait estimé que la géolocalisation ”en raison de sa gravité, ne peut être réalisée que sous le contrôle d’un juge”, le projet de loi met en place un mécanisme selon lequel cette mesure peut être mise en oeuvre, pendant un délai de 15 jours, sans aucun contrôle du juge.

En effet, c’est uniquement au terme de ce délai de 15 jours qu’un juge sera appelé à intervenir afin d’autoriser la poursuite des mesures de géolocalisation pendant 1 à 4 mois.

L’absence d’éléments complémentaire sur la durée moyenne des opérations de géolocalisation ne permet pas hélas d’apprécier si les garanties requises par la Convention européenne des droits de l’homme sont respectées. Mais la lecture de certains décisions rendues par la Cour de cassation démontre que de nombreuses mesures sont ordonnées sur un très bref délai, inférieur dans certains cas à 15 jours.

Dans ces conditions, et au regard des exigences posées par la Cour de cassation au visa de la Convention européenne des droits de l’homme, il nous semble que l’intervention d’un juge doit avoir lieu dès la mise en oeuvre de la géolocalisation et non au terme du délai de 15 jours.

Si des mécanismes spécifiques peuvent être prévus en matière de flagrance ou d’urgence, une absence de contrôle préalable par un juge ne se justifie pas en cas d’ouverture d’une enquête ordinaire.

Dans ces conditions, l’ASIC propose de rédiger ainsi le 1° et d’ajouter un 1°bis à l’article L. 230-33 nouveau du Code de procédure pénale :

1° Dans le cadre d’une enquête de flagrance, d’une enquête préliminaire ou d’une procédure prévue par les articles 74 à 74-2, par le procureur de la République, pour une durée maximum de quinze jours. A l’issue de ce délai de quinze jours, ces opérations sont autorisées par le juge des libertés et de la détention à la requête du procureur de la République, pour une durée maximum d’un mois renouvelable dans les mêmes conditions de forme et de durée ;

1°bis  Dans le cadre d’une enquête préliminaire par le juge des libertés et de la détention à la requête du procureur de la République, pour une durée maximum d’un mois renouvelable dans les mêmes conditions de forme et de durée ;

 

B – Un capacité offerte de géolocalisation qui dépasse très largement la simple géolocalisation de téléphones ou de véhicules et qui vise tout “objet connecté”

Même si l’exposé des motifs ne vise que les cas de localisation des téléphones mobiles, des véhicules voire des containers, le texte même du projet de loi étend très largement les méthodes de géolocalisation offertes aux autorités.

En effet, le texte vise “tout moyen technique destiné à la localisation en temps réel, sur l’ensemble du territoire national, d’une personne à l’insu de celle-ci, d’un véhicule ou de tout autre objet sans le consentement de son propriétaire ou de son possesseur”.

Ainsi, la loi ouvre la voie à une géolocalisation en temps réel :

  • de toute personne ;

  • de tout véhicule

  • ou de tout autre objet.

La référence à “tout autre objet” demeure très vaste surtout à l’heure des objets connectés. Grâce à la technologie IPv6, l’ensemble des objets sont en voie de devenir des objets connectés. Au travers d’une connexion Wi-Fi ou de données GPS, ces objets peuvent interagir avec un réseau de communication permettant ainsi leur localisation.

Ainsi, peut-on imaginer demain une localisation d’un individu au travers de sa “montre connectée”, de sa “brosse à dents connectée” ou d’un simple “bracelet connecté” calculant le nombre de kilomètres réalisé en une journée.

Surtout, le texte demeure également très flou sur les moyens utilisés pour procéder à cette géolocalisation. Si l’exposé des motifs ne vise que les cas d’accès aux données de géolocalisation auprès des opérateurs de télécommunications ou la pose de balise sur des véhicules, le texte lui-même par sa rédaction floue peut ainsi permettre l’intrusion d’un logiciel espion dans tout objet connecté avec pour finalité de procéder à son traçage à distance.

Cela reviendrait également à tout innovateur et/ou développeur d’une application d’avoir l’obligation de prévoir un porte dérobée dans ses outils pour permettre une telle localisation.

Il semble que cette formulation, en l’état actuel des technologies et au regard de l’incertitude sur la manière dont les services souhaiteraient faire usage de ces moyens, est trop large. Il nous semble important de mieux définir l’application de ce texte en visant plus spécifiquement les modes de géolocalisation.

En outre, et en ce qui concerne la localisation au travers des données techniques de l’internet, l’ASIC s’interroge sur la raison pour laquelle le texte vise explicitement les hébergeurs (à savoir les personnes mentionnées à l’article 6-I-2 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique) comme devant fournir de telles données de localisation alors, qu’en application du cadre actuel, ces données ne font pas partie de la liste des données techniques devant être conservées par les hébergeurs. En matière de localisation de personnes sur la base de leur téléphone mobile, cette obtention s’opère auprès des seuls opérateurs de communications électroniques visés à l’article L.34-1 du Code des postes et communications électroniques.

En conséquence, l’ASIC demande une réécriture du texte visant :

– à circonscrire précisément les méthodes de géolocalisation ;

– à circonscrire précisément les personnes devant remettre ces données lorsque celles-ci sont habituellement conservées par elles.

L’ASIC propose ainsi de modifier l’article L. 230-32 nouveau du Code de procédure pénale inséré par l’article 1er du projet de loi :

Art. 230-32. – Si les nécessités de l’enquête ou de l’instruction relative à un crime ou un délit puni d’une peine d’emprisonnement d’une durée égale ou supérieure à trois ans ou à des procédures prévues par les articles 74 à 74-2 et 80-4 l’exigent, tout moyen technique destiné à la localisation en temps réel, sur l’ensemble du territoire national, d’une personne à l’insu de celle-ci, d’un véhicule ou de tout moyen de transport de marchandises de tout autre objet sans le consentement de son propriétaire ou de son possesseur, peut être mis en place par l’officier de police judiciaire, ou sous sa responsabilité par l’agent de police judiciaire, ou prescrit sur réquisitions de l’officier de police judiciaire, dans les conditions et selon les modalités prévues par le présent chapitre.

Pour les besoins et dans les conditions mentionnées au précédent alinéa, il peut être procédé à la localisation d’une personne à l’insu de celle-ci au moyen de données obtenues auprès des opérateurs de communications électroniques et des personnes mentionnées à l’article L. 34-1 du code des postes et des communications électroniques.

De même, il convient de réécrire ainsi l’article 230-38 nouveau, car seules les opérateurs mentionnés à l’article L.34-1 du CPCE sont en mesure de conserver les données de localisation d’un équipement terminal de communication d’une victime dès lors que cette localisation repose sur les données des réseaux de téléphone mobile :

Art. 230-38. – Les dispositions du présent chapitre ne sont pas applicables lorsque la géolocalisation se fait à partir de données obtenues auprès des opérateurs de communications électroniques et des personnes mentionnées à l’article L. 34-1 du code des postes et des communications électroniques ainsi que des prestataires mentionnés aux 1 et 2 du I de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique et qu’elles sont relatives à la localisation d’un équipement terminal de communication électronique détenu par la victime de l’infraction.

C – Le besoin de mettre en oeuvre un suivi du dispositif et d’information du Parlement sur les nouvelles pratiques

Comme indiqué précédemment, les technologies évoluent fortement et les objets connectés vont de plus en plus se développer. Il est important que les méthodes d’enquêtes soient compatibles avec l’évolution des technologies et que le Parlement soit informé de ces évolutions.

Une tentative – infructueuse – avait eu lieu dans la loi sur la sécurité quotidienne du 15 novembre 2001 suite à l’instauration du premier cadre juridique relatif à l’obtention des données conservées par les intermédiaires de l’Internet. En effet, son article 41 ouvrait la voie à une information régulière du Parlement. Selon cet article, “le Gouvernement remet chaque année au Parlement un rapport décrivant les mesures prises au niveau international et européen pour lutter contre les crimes et délits se produisant à l’aide ou sur les réseaux numériques. Ce rapport décrit, notamment, les efforts entrepris pour aboutir à l’élaboration d’une convention réprimant ou prévenant de tels agissements”. Cet article n’est plus en vigueur aujourd’hui.

Il nous semble dorénavant important que cette information régulière ait lieu. En particulier, le Parlement doit être informé des méthodes mises en oeuvre, du volume que cela représente, des garanties offertes et du respect de ces dernières.

Cette information permettra ainsi au Parlement, dûment informé, d’apprécier l’opportunité de faire évoluer le cadre juridique applicable.

En conséquence, l’ASIC invite le Parlement à ajouté un nouvel article ainsi rédigé :

Après l’article 2, il est ajouté un article 2bis ainsi rédigé :

Le Gouvernement remet chaque année au Parlement un rapport décrivant les mesures prises au niveau national pour lutter contre les crimes et délits commis ou utilisant la voie électronique. Ce rapport décrit, notamment, les moyens utilisés par les services d’enquête et leur efficacité. Il donne des éléments chiffrés sur le nombre de demandes adressées aux opérateurs de communications électroniques mentionnés à l’article L.34-1 du Code des postes et communications électroniques et aux personnes mentionnées aux 1 et 2 du I de l’article 6 de la loi n°2004-575 pour la confiance dans l’économique numérique. Il propose des pistes d’évolution garantissant les droits et libertés des individus.

> Note au format PDF