Archives de l’auteur : evematringe

Les avocats perdants avec ALUR

Au départ, un autre terme, moins délicat mais plus précis m’était venu à l’idée à la place de « perdants ».

Pour expliquer un peu le pourquoi des réactions des avocats (CNB, FNUJA), indiquons que les professions du droit et du chiffre ont chacune « leur » secteur d’activité monopolistique, le monopole étant la contrepartie de contraintes professionnelles qui pèsent sur eux (un avocat rémunéré par l’aide juridictionnelle travaille le plus souvent à perte, ce qu’il compense par le reste de son activité). Toucher aux frontières de ces secteurs d’activités a d’importantes conséquences pour les professionnels en question. C’est ce qui vient de se passer avec la loi ALUR, pas sur un énorme secteur, mais néanmoins sur une part non négligeable de l’activité de certains cabinets.

En très résumé, avant la loi ALUR, les avocats pouvaient rédiger les actes de cession de parts de société civile immobilière (SCI). En 1re lecture à l’Assemblée Nationale, cette activité a été réservée aux notaires, en seconde lecture à l’Assemblée Nationale, ladite activité a été partagée entre notaire, avocat et experts-comptables et le texte a été adopté, ce qui fait qu’il est désormais de droit positif, sauf à être censuré par le Conseil constitutionnel que certains sénateurs ont promis de saisir, mais enfin, la LPM a démontré qu’il y a loin des vœux à la réalisation d’une saisine.

Faut-il pour autant jeter la pierre à Duflot ? Las, elle a eu beaucoup de complices, et les avocats pourraient utilement se pencher sur le chemin emprunté par le législateur afin de savoir qui remercier aux prochaines échéances électorales.

La loi ALUR, aka « accès au logement et urbanisme rénové » a commencé par un projet de loi pour l’accès au logement et un urbanisme rénové, n° 1179, déposé le 26 juin 2013 dans lequel il n’est nulle part question des formes de la cession de parts de SCI, ni de l’acte d’avocat. 

L’article 70, qui se scindera par la suite en différents articles, dont le fameux « 70 quater »  est consacré au droit de préemption (koicé ? Quand un propriétaire privé entend vendre son bien, son locataire est prioritaire pour l’acheter (au prix indiqué, il ne s’agit pas de spolier le propriétaire). Ce système permet aux collectivités locales d’acquérir les immeubles dont elles ont besoin pour réaliser leurs projets d’urbanisme, dans l’intérêt général. Outre le locataire, la Commune dispose également d’un droit de préemption). Le rapport avec la choucroute l’acte d’avocat me direz-vous ? 

Au cours des discussions en première lecture devant l’Assemblée nationale (cf. sur l’article 70) un député (lui) a souligné que « une commune ne peut aujourd’hui préempter des parts de société civile immobilière, sauf délibération particulière. Or on sait très bien que les marchands de sommeil, en particulier, contre lesquels nous avons entrepris hier, non sans une certaine efficacité, de lutter, utilisent beaucoup les SCI pour acquérir des biens et les vendre ensuite dans les conditions que l’on connaît. L’idée est donc de permettre aux communes de préempter des parts de SCI – sauf, bien entendu, si elles y renoncent – comme elles peuvent le faire pour les immeubles ».

Cette affirmation n’est pas totalement exacte, comme n’a pas manqué de le relever la rapporteure du texte, mais cette modification permettait d’améliorer l’état du droit, et notamment « de surmonter les obstacles et de lutter contre les moyens de contournement qui existent aujourd’hui, c’est-à-dire de permettre la préemption, et ce pas uniquement quand il s’agit de la totalité ou de la majorité des parts ». La discussion s’est poursuivi sur le point de savoir comment mettre les communes en mesure d’exercer ce droit de préemption, à savoir l’obligation de signaler les cessions de part de SCI, ce qui n’était jusqu’alors pas le cas. La Ministre, Mme Cécile Duflot, relèvera d’ailleurs que « La vente de parts de SCI pouvant se faire sous seing privé – sans formalité obligatoire d’enregistrement –, et en l’absence de déclaration d’intention d’aliéner – DIA –, il est très difficile d’effectuer une préemption. Nous devrons travailler sur cette question pour soumettre les SCI à une forme de réglementation qui s’apparente plus à la réglementation sur la cession des biens immobiliers qu’à la réglementation commerciale ». C’est ce passage qui concerne les avocats, car ils réalisent effectivement des actes de cession de parts de SCI, conformément aux formes de la cession de part de SCI résultant des articles 1861 et suivants du Code civil.

Le projet de loi adoptée en première lecture par l’Assemblée Nationale le 13 septembre 2013 comporte un article 70 quater modifiant l’article 1861 (v. le tableau comparatif des différents textes, p. 837) dont la teneur est la suivante  L’article 1861 du code civil est complété par un alinéa ainsi rédigé : « Toute cession de parts sociales d’une société civile immobilière ou d’une société à prépondérance immobilière est soumise à l’article 710-1», texte qui réserve la possibilité de procéder à la publicité foncière aux seuls actes constatés par acte notarié. A noter que si l’article 9 de loi de 2011 (vous savez, quand l’UMP était aux manettes) ne réservait pas la publicité foncière au seul acte notarié, le projet adopté en 1re lecture à l’Assemblée nationale ne pouvait nuire aux avocats.

Ce projet de loi a été transmis en l’état au sénat et à l’issue des débats sénatoriaux, l’article 70 quater a disparu, pour les raisons exposées par les rapporteurs de la commission des affaires économiques, dans le rapport n°65 des sénateurs Claude Dilain et Claude Bérit-Débat, à savoir que l’article 70 quater visait à imposer une publicités des actes de cession de parts de SCI, afin de prévenir les contournements d’obligations d’information en matière de respect du droit de l’environnement ou visant à empêcher la collectivité publique d’exercer son droit de préemption sur ce type de biens dans un délai raisonnable par défaut d’information. Mais comme le projet de loi modifié instaurait désormais une déclaration d’intention d’aliéner en application de l’article L. 213-2 du code de l’urbanisme, l’article 70 quater devenait inutile (et les avocats pouvaient continuer à instrumenter).

Le projet de loi est ensuite revenu devant l’assemblée nationale, où les députés qui avaient levé le lièvre de la cession de part de SCI ont cherché à inclure les avocats dans le dispositif. C’est ainsi qu’un amendement n°574 présenté par MM. les députés Pupponi, Brottes et Laurent rétablissait l’article 70 quater dans la version suivante « L’article 1861 du code civil est complété par un alinéa ainsi rédigé : « Toute cession de la majorité des parts sociales d’une société civile immobilière, lorsque le patrimoine de cette société est constitué par une unité foncière bâtie ou non, dont la cession est soumise au droit de préemption prévu à l’article L. 211-1 du code de l’urbanisme, doit être constatée par un acte reçu en la forme authentique (NDA donc un acte notarié) ou par un acte sous seing privé contresigné par un avocat ou par un professionnel de l’expertise comptable dans les conditions prévues au chapitre I du titre II de la loi n° 71-1130 du 31 décembre 1971 portant réforme de certaines professions judiciaires et juridiques. Le rédacteur de l’acte met en oeuvre à cet effet les dispositions prévues à l’article L. 213-2 du même code ».

Le Sénat a de nouveau supprimé l’article 70 quater en seconde lecture mais comme le texte de loi a été renvoyé en commission mixte paritaire, l’article 70 quater a été réintroduit, puis adopté conformément à la procédure de l’article 45 III de la constitution. Alors que, comme l’a relevé le Sénat, la publicité sur le projet de vente de parts de SCI est assurée par la déclaration d’intention d’aliéner fiée à l’article L. 213-2 du code de l’urbanisme. 

Du point de vue de l’usager, je ne sais pas si cela va lui coûter plus ou moins cher de passer par un expert-comptable, un notaire ou un avocat. Par contre, de la même façon que les avocats ne sont pas de professionnels du chiffre et ne se mêlent pas de réaliser les comptes sociaux de leurs clients, les experts-comptables ne sont pas des professionnels du droit. Reste à voir si le Conseil constitutionnel sera saisi, et surtout s’il sera sensible à cet argument.

Du maintien frauduleux dans internet: the Bluetouff’s case

  1. L’article 323-1 réprime deux faits distincts, l’accès frauduleux d’une part, le maintien frauduleux d’autre part. Par un arrêt du 5 février 2014, la Cour d’appel de Paris condamne un internaute sur ce second chef, en retenant « qu’il est constant que le système extranet de l’ANSES n’est normalement accessible qu’avec un mot de passe dans le cadre d’une connexion sécurisée, que le prévenu a parfaitement reconnu qu’après être arrivé « par erreur » au cœur de l’extranet de l’ANSES, avoir parcouru l’arborescence des répertoires et être remonté jusqu’à la page d’accueil, il avait constaté la présence de contrôles d’accès et la nécessité d’une authentification par identifiant et mot de passe ; qu’il est ainsi démontré qu’il avait conscience de son maintien irrégulier dans le système de traitement automatisé de données visité où il a réalisé des opérations de téléchargement de données à l’évidence protégées« . La Cour retient ensuite le vol de document informatique, notion brillamment démontée par Maître Eolas, je n’y reviendrai donc pas.
  2. La Cour retient l’existence de l’élément intentionnel de l’infraction de maintien frauduleux dans un STAD en se fondant sur le fait qu’ayant remonté l’architecture du site, un extranet, et constaté l’existence d’un contrôle d’accès, il ne pouvait ignorer la volonté du maître du système d’en interdire l’accès. Dès lors, le  téléchargement de 8 Go de données ne pouvait pas être innocent. Je ne connais pas les moyens du pourvoi, mais je pense qu’il est de l’intérêt de tout internaute (y compris les utilisateurs profanes comme moi) de voir la Cour de cassation censurer pareil raisonnement, pour les raisons ci-dessous exposées (pour ceux qui ne s’intéressent pas à la procédure et à la construction juridique de l’argumentation devant la Cour de cassation, allez directement au §.7).
  3. Précisons que l’affaire en est au stade du pourvoi en cassation, c’est-à-dire que les arguments ne peuvent plus porter sur les faits, qui ont été établis par les constatations des juges du fond (1re instance et appel)1. Précisons également que le très court délai imparti pour se pourvoir en cassation 2 entraîne, comme en l’espèce, le problème d’interjeter un recours sans connaître exactement ses chances de succès puisque les motifs de la décision n’ont été communiqués que par après 3. L’argumentation juridique proprement dite (les « moyens » de cassation) résultera du mémoire, déposé dans les dix jours du pourvoi au greffe de la juridiction ayant rendu la décision attaquée ou au greffe de la Cour de cassation dans le délai d’un mois à compter du dépôt du pourvoi (articles 584 et 585 du CPP).
  4. Le débat est donc exclusivement juridique, sans possibilité de modifier les constatations de fait de la Cour d’appel (mais les faits ne sont pas contestés), comme le soulignent les articles 567 et article 591 du CPP : les décisions pénales « revêtus des formes prescrites par la loi, ne peuvent être cassés que pour violation de la loi« . La violation de la loi peut prendre différentes formes. Ainsi, Maître Eolas relève l’insuffisance de motifs, visé par l’article 593 du CPP: un juge ne peut pas condamner quelqu’un sans expliquer pourquoi et sans que ses motifs ne soient ceux prévus par la loi 4. Comme l’explique un auteur, « Un moyen de cassation est l’application concrète à l’espèce du cas d’ouverture à cassation invoqué par le demandeur : il désigne à la cour régulatrice du droit l’illégalité de la décision attaquée qu’il lui demande de censurer« 5 .
  5. La doctrine classe les cas d’ouverture à cassation en cinq catégories 6 : la constitution irrégulière de la juridiction, la violation des règles de procédure, la violation de l’obligation de motiver (y compris l’insuffisance de motifs soulevée par Me Eolas), la violation des règles de compétence et la violation des règles de fond. Certains moyens découlent directement des éléments du dossier, que je n’ai pas (par ex. le défaut de réponse à conclusion, qui entre dans la catégorie du défaut de motif).
  6. Le cas d’ouverture à cassation de violation de la loi comprend trois formes: la fausse interprétation, la fausse application et le refus d’application. Comme l’indique la doctrine, « Le refus d’application consiste à ne pas appliquer une loi claire et formelle à la situation de fait qu’elle devait régir. La fausse application consiste au contraire à appliquer une loi claire à une situation de fait qu’elle ne devait pas régir. La fausse interprétation, enfin, suppose qu’une loi prêtant à controverse ait été mal interprétée par les juges du fond, qui en ont étendu ou restreint arbitrairement les termes ou la portée« 7. Il me semble que c’est bien sur la deuxième forme de violation de la loi que l’arrêt de la Cour d’appel de Paris est critiquable en ce qu’il déduit l’intention de l’infraction de maintien frauduleux des circonstances de l’espèce. En effet, comme le souligne la doctrine 8, « la fausse qualification des faits constatés est tantôt une fausse interprétation de la loi, lorsque le juge a commis une erreur dans la définition du concept qualificateur, tantôt et plus fréquemment une fausse application, le juge ayant attribué à tort aux faits une qualification qu’ils ne pouvaient pas recevoir« . Contrairement à ce que j’ai pu lire ici ou là, je pense que la loi Godfrain est bien rédigée, de façon abstraite de sorte qu’elle peut s’appliquer même en présence de l’évolution de la technique, mais, de ce fait, elle impose au juge un important travail de concrétisation. Les faits et l’appréciation de leur sens exact doivent donc faire l’objet d’un examen approfondi.
  7. En l’espèce, la Cour d’appel de Paris a considéré que l’intention délictueuse 9 requise pour que soit constituée l’infraction de maintien frauduleux au sens de l’article 323-1 du Code pénal résultait de la connaissance par le prévenu de ce qu’il s’agissait d’un extranet et de l’existence d’un contrôle de l’accès, ce qui  impliquait nécessairement, toujours selon la Cour d’appel, sa conscience de ce que l’ensemble du contenu du serveur aurait dû être protégé. Pour la Cour d’appel, Wikipedia et les ingénieurs en informatique, il y a une différence très nette entre un extranet et un site internet, le premier devant comprendre systématiquement un accès contrôlé, le second comportant une partie privée et une partie en accès public. En pratique, un extranet peut avoir tant une partie privée qu’une partie publique 10.
  8. Pour qu’un délit soit constitué (et donc punissable), il faut que soient réunis trois éléments: un texte pénal (ici, 323-1), un élément matériel, ici les faits sont établis et d’ailleurs non contestés, et un élément intentionnel, la « volonté  de commettre un acte que l’on sait interdit ou, autrement dit, (…) l’intention de violer la loi pénale« 11. Il faut donc ici que soit démontrée l’intention de l’internaute de se maintenir dans un STAD dont il sait l’accès normalement interdit.
  9. La charge de la preuve de cette intention délictuelle incombe au Ministère public. Cependant, la commission de certains actes peut faire présumer cette volonté délictuelle, à charge alors pour le prévenu de démontrer que son intention était tout autre. La Cour d’appel de Paris procède ainsi puisqu’elle retient les éléments de fait que sont l’accès à un extranet et la connaissance de l’existence de contrôle d’accès pour en déduire la conscience du caractère frauduleux du maintien dans le système. Il est possible de déduire l’intention délictuelle « de la nature même du comportement matériel, lorsque celui-ci ne présente pas d’équivoque » 12.
  10. Toutefois, en l’espèce, ce comportement tel qu’il est caractérisé par la Cour d’appel est équivoque et ne peut suffire à caractériser l’intention de se maintenir frauduleusement dans le système. En effet, si un extranet n’est pas tout-à-fait la même chose qu’un site internet, il n’en demeure pas moins qu’il est accessible depuis internet, parfois sans aucun contrôle, et parfois avec une partie en accès restreint et une partie en accès public. La seule qualification d’extranet ne suffit donc pas à déterminer si l’accès doit ou non en être contrôlé, ni dans quelle mesure13. De la même façon, l’existence d’un contrôle d’accès sur une partie du serveur ne permet pas de conclure que l’ensemble du site est privé ou alors, quittez vite ce site, car il comporte 2-3 pages en accès privé. L’accès à l’interface d’administration de ce blog est soumis à identification et à fourniture d’un mot de passe, il n’en demeure pas moins que les billets sont quasiment tous publics et accessibles à l’ensemble d’internet. Le fait que l’exigence d’une authentification figure sur la page d’accueil n’implique pas que l’ensemble du site ou de l’extranet est en accès restreint, comme le montre l’exemple de l’extranet du CSA cité plus haut. Cette  réalité technique explique le cyber tollé qui a accueilli la diffusion de l’arrêt de la Cour d’appel de Paris.
  11. Un autre élément de fait non visé aux motifs mais qui a pu peser sur le délibéré de la Cour d’appel est le volume de documents téléchargé (8 Go) ainsi que le recours à un logiciel gestionnaire de téléchargement14. Cependant, là encore, ces seuls éléments ne sont pas suffisants pour caractériser une intention frauduleuse. Lorsque j’effectue une recherche, il m’arrive de faire en parallèle d’autres choses, et de remettre à plus tard l’examen des documents trouvés. Il est alors plus simple pour moi de placer ces documents sur mon disque dur, où ils seront indexés par mon système d’exploitation, que de conserver la trace de ma recherche par l’intermédiaire du moteur de recherche. Les mots-clefs ayant conduits à ce résultat font l’objet d’un traitement par les algorithmes du moteur de recherche, ce qui induit une variabilité du résultat d’un jour à l’autre. Donc, pour avoir déjà essayé vainement à plusieurs reprises de retrouver LE document vu la veille et disparu dans les méandres d’internet, je préfère aujourd’hui télécharger ce que je trouve, quitte à vider régulièrement mon dossier de téléchargement. Il est vrai que le volume de données peut interroger, toutefois, dès lors qu’un téléchargeur comme wget collecte tout ce que le serveur accepte de lui donner et tourne en tâche de fond sans qu’il soit nécessaire de cliquer sur les différents liens, il est facile de télécharger une masse considérable de documents. Internet et les capacités de stockage des ordinateurs permettent de se constituer une bibliothèque sur son disque dur, accessible même en l’absence de connexion, et le droit reconnaît le droit de copie privée.
  12. Par ailleurs, d’un point de vue plus large, si la Cour de cassation décidait de ne pas censurer cet arrêt sur ce point, cela reviendrait à faire peser sur tout internaute l’obligation de deviner à tout moment l’intention du maître du système, y compris lorsqu’il utilise un moteur de recherche comme Google pour y accéder et y compris lorsque les documents ne comportent pas d’indication quant à leur confidentialité. Dès lors comment user d’internet sans risquer les foudres de la justice? Ce, alors qu’internet est conçu pour permettre l’échange d’informations, outil si essentiel à notre société moderne et à l’exercice de nos libertés que le Conseil constitutionnel a érigé le droit d’accès au réseau au rang de liberté fondamentale? (clic)15. Comment un internaute pourrait-il exercer cette liberté fondamentale s’il est sous la menace de poursuite arbitraire pour n’avoir pas su deviner l’intention réelle du maître du système, nonobstant la configuration inappropriée des droits d’accès?
  13. En principe, un litige est l’affaire des parties, de sorte qu’il n’appartient pas au juge d’en modifier les termes 16. Toutefois, en présence de moyen d’ordre public, à condition qu’il s’agisse également d’un moyen de pur droit, la Cour de cassation a la faculté de le soulever d’office17. La fausse application de la loi pénale est un moyen d’ordre public 18. Encore faut-il qu’il s’agisse d’un moyen de pur droit, c’est-à-dire qu’il ne fait appel à aucun fait qui ne soit constaté par la décision attaquée ou les conclusions des parties. En l’espèce, peut-être y avait-il dans le dossier des éléments factuels qui auraient pu justifier la position de la Cour d’appel, mais ceux mentionnés dans l’arrêt n’y suffisent pas et c’est justement cela qui est critiqué: la mauvaise qualification des faits retenus par la Cour d’appel, qui en tire une conséquence erronée.

Ce billet a été modifié le 13 février 2014, pour ajouter des précisions sur la notion d’extranet et les conclusions factuelles qu’il est possible d’en tirer, ainsi que sur la faculté de la Cour de cassation de soulever un moyen de pur droit.

Au fait, qu’est-ce qu’une donnée personnelle?

Répondre à cette question permet de savoir si vous relevez ou non du champ d’application du droit des données personnelles, avec son cortège d’obligations et d’interdictions, pénalement sanctionnées. 

La Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données indique en son article 2, qu’aux fins de la présente directive, on entend par : a) « données à caractère personnel » : toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale… ». 

Ce texte mérite d’être mentionné car même si son champ d’application est limité à celui du droit européen (art.3 al.2), il permet, dans ce cadre, de contrer une disposition nationale incompatible. La Cour de justice des Communautés européennes a en effet jugé que ce texte était directement invocable devant les juridictions nationales (CJCE, 20 mai 2003, C-465/00, C-138/01 et C-139/01, Österreichischer Rundfunk). Les traitements de données personnelles réalisés par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques ne sont pas concernés, vous pouvez donc librement remplir tant votre agenda que votre carnet d’adresses, y compris sur support informatique. Il semble que la publication de données personnelles sur un site internet suffise à ôter tout caractère privé au traitement ainsi effectué. C’est en tout cas la solution retenue par la Cour de justice des communautés européennes (CJCE, 6 novembre 2003 Aff. C-101/01, demande de décision préjudicielle, formée par le Göta hovrätt (Suède), Recueil de jurisprudence 2003 page I-12971 et s. Cons. 47).

Lorsque le droit européen n’est pas applicable, la situation est régie par les définitions du droit français des données personnelles. La loi n°78-17 dite « Informatique et Libertés » du 6 janvier 1978 indique, en son article 2, alinéa 2, que « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ».

En conséquence, tout ensemble d’informations permettant de distinguer une personne au sein d’une population tels que, par exemple, des données de géolocalisation, l’IP, les coockies, l’historique, le modèle d’ordinateur, l’heure, le navigateur et l’adresse mail utilisée peuvent constituer des données personnelles dès lors que l’ensemble permet de cibler une personne déterminée. Il peut en effet s’agir d’informations qui ne sont pas associées au nom d’une personne mais qui permettent aisément de l’identifier, voire de connaître ses habitudes ou ses goûts.

Le droit des données personnelles ne protège que les personnes physiques. Par conséquent, un fichier de noms de sociétés n’est pas concerné. En revanche, dès le moment où ce fichier d’entreprises contient des noms de personnes physiques comme le nom du dirigeant social, le cadre légal du droit des données personnelles trouve à s’appliquer.

Rappelons que les droits et obligations résultant du droit des données personnelles sont pénalement sanctionnées, et a minima, entraînent l’intervention de la CNIL. De plus, le traitement de certaines données personnelles est strictement interdit (référence à des condamnations pénales, état de santé, opinion politique ou syndicale). Or il est fréquent que des fichiers licites dans leur principe se trouvent « complétés » par les utilisateurs, notamment à des fins de relation clientèle (affaire Acadomia). Il est également fréquent qu’un fichier soit réalisé, sans que les auteurs aient conscience de l’illégalité de leurs actes et de l’éventuelle responsabilité pénale encourue (par ex. un cadre d’une entreprise affiche en salle de pause des cadres une liste de noms de salariés mentionnant leur affinité syndicale).

Appel à proposition : RMLL 2014

Les RMLL (Rencontre Mondiale du Logiciel Libre) lancent leur appel à communication (ici). Vous avez jusqu’au 31 mars 2014 pour soumettre votre conférence. Un responsable de thème prendra contact avec vous pour vous informer de l’acceptation de votre conférence avant le 1er mai 2014. A noter, les RMLL de cette année auront lieu à Montpellier. Consultez la liste des thèmes (il y a aussi du droit) de cette édition 2014 avant de faire votre proposition de conférence. Concernant les modalités des conférences, voir ici.

A quel barreau s’inscrit le collaborateur exerçant en bureau secondaire

Certains camarades sont confrontés au problème suivant: ils sont collaborateurs d’avocats inscrits à un barreau donné, mais exercent eux-mêmes en réalité au sein du bureau secondaire du cabinet, dans le ressort d’un autre barreau. Leur pratique professionnelle les conduisant à exercer principalement dans ce deuxième barreau, peuvent-ils s’y inscrire ou est-il obligatoire pour eux de s’inscrire au même barreau que celui auquel est inscrit l’avocat avec qui ils ont conclu une collaboration?

Quelques menus problèmes pratiques peuvent se poser, il est notamment nécessaire d’envisager dès le départ le montant de la rétrocession minimum ainsi que le fait qu’un différend relatif à la collaboration nécessitera l’arbitrage du bâtonnier dans le cadre de la procédure inter-barreau 1.

Sur le fond du droit, et nonobstant les menus détails pratiques ci-dessus exposés, il a déjà été jugé qu’un avocat stagiaire (à l’époque) ne devait pas forcément se trouver dans les mêmes bureaux que son patron, ni nécessairement appartenir au même barreau (CA Amiens, 4 juillet 1983, GP 1983 II 612, note A.D.; résumé jurisdata n°1983-601001; référence citée par le Code de l’avocat, éd. 2013, p.57, n°2, ss article 8-1 de la loi de 1971; Damien & Ader, Règles de la profession d’avocat, 2013-2014, p.614, n°50.15). Les auteurs soulignent d’ailleurs ce point en page 620, n°50-26, en indiquant si l’avocat salarié doit obligatoirement être inscrit au même barreau que son employeur (Cass. civ. 3e, 7 nov. 2001, n°99-12383, Bull. n°120), « a contrario on peut donc admettre que les avocats collaborateurs peuvent être inscrits à un barreau différent de celui avec lequel ils collaborent« . 

En tout état de cause, la décision d’inscription est prise par le Conseil de l’Ordre conformément aux règles habituelles de forme et de délais et est susceptible de recours dans les conditions de l’article 16 et des articles 102 et s. du Décret de 1991.

Article 20 LPM, ce qu’on vous dit, ce qu’on vous cache

Je vais vous parler de ce fameux article 13, devenu article 20 de la LPM. Sous couvert de représenter un progrès en terme de libertés publiques, il vise à dissimuler les manquements passés de nos services et à éviter d’apporter à l’état du droit les améliorations nécessaires à la protection de nos libertés. Ce texte devrait même permettre à la France de « gagner » une nouvelle condamnation par la CEDH, puisqu’il constitue l’aveu d’une pratique illégale de la part de l’Etat français. 

Le droit français des interceptions de sécurité résulte de la loi du 10 juillet 1991 relative au secret des correspondance émises par voie des communications électroniques 1, aujourd’hui codifiées aux articles L. 241-1 et s. du Code de la sécurité intérieure. Ces dispositions permettent déjà aux services de renseignement d’intercepter la correspondance par voie électronique dans le cadre de la procédure dite des interceptions de sécurité (cy-après IDS) (Loi de 1991, article 3).

La loi prévoit la possibilité pour certains agents nommément identifiés de solliciter du premier Ministre l’autorisation de procéder à l’interception des communications électroniques d’une personne précise. L’article 20 LPM fait entrer dans ce cadre l’accès administratif aux données de connexion. Il ne s’agit donc pas ici de « sniffer » tout le trafic d’internet, même s’il est évident que cela conduira indirectement les personnes en contact avec la cible à voir leur vie privée sacrifiée sur l’autel de la raison d’Etat. Ceci dit, on vit très bien sans vie privée, comme le démontre l’exemple de notre Président. La question de l’encadrement juridique des IDS n’a en réalité que peu à voir avec la protection de la vie privée, mais tout à voir avec la liberté d’expression, d’opinion et de pluralisme démocratique (billet à venir).

Ce recueil de données peut être effectué auprès de différents prestataires :

  • opérateurs de communications électroniques, y compris téléphonique ;
  • personnes qui fournissent au public des services de communications électroniques (art.34-1 CPCE),
  • hébergeurs.

En d’autres termes, tous les intermédiaires qui permettent d’accéder et d’utiliser internet.

A lire la LPM, cet accès semble ne porter pas porter uniquement sur les données de connexion. En effet, l’article 20 autorise un accès à « des informations ou documents traités ou conservés par leurs réseaux ou services de communications électroniques, y compris les données techniques » de connexion (qui, quoi, où, quand, avec qui, combien de temps, avec quel appareil, etc.). Ces données ne sont donc pas uniquement celles visées à l’article 34-1 du CPCE et que les fournisseurs de prestation de communication électronique ont l’obligation de stocker, à savoir les données de connexion. Cette analyse est confortée par les dispositions mêmes de l’article 20 in fine : « Art. L. 246-3.-Pour les finalités énumérées à l’article L. 241-2, les informations ou documents mentionnés à l’article L. 246-1 peuvent être recueillis sur sollicitation du réseau et transmis en temps réel par les opérateurs aux agents mentionnés au I de l’article L. 246-2 ».

Il s’agit donc de collecter l’ensemble des échanges d’une personne par quelque moyen de communication que ce soit, y compris par internet, et en soumettant à la procédure des IDS la collecte des données de connexion comme l’était déjà l’interception du contenu de la correspondance électronique. Précisons que le texte ne prévoit pas un espionnage intégral de l’ensemble d’internet (au demeurant, le contingentement des interceptions de sécurité l’interdit puisqu’il ne permet « que » quelques milliers d’interceptions de sécurité par an, au moins pour les opérations qui ont été effectuées dans le respect du cadre légal) (CNIS, 20e rapport d’activité 2011-2012, p. 50) 2 .

Le seul apport de la LPM serait d’encadrer et de soumettre à autorisation, outre l’interception de correspondance proprement dit, l’interception des données de connexion ou méta-datas, tirant la conséquence de l’affaire des « fadettes » et autres plaisanteries de nos services et de nos politiques qui n’ont pas encore eu les honneur de la presse nationale. A priori, comme celui qui peut le plus (interception de l’intégralité de la correspondance) peut le moins (les données de connexion figurent dans la correspondance échangée et d’ores et déjà interceptée), ce texte n’apporte rien à l’état du droit. Cependant, la lecture du 20e rapport de la CNIS montre qu’elle considère que les données de connexion ne relèvent pas de la procédure des interceptions de sécurité (rapport précité p.26).

A contrario, (mais peut-être fais-je preuve de mauvais esprit), cela laisse penser que les services de renseignement ont considéré, suivis en cela par certains parlementaires férus de légistique, qu’ils avaient toute liberté d’intercepter les données de connexion jusqu’à présent, et qu’ils considèrent qu’ils le pourront encore jusqu’au 1er janvier 2015, date de l’entrée en vigueur de l’article 20 de la LPM. Et comme ils pouvaient intercepter ces données de connexion sans aucun contrôle, rien n’interdit non plus de penser qu’ils aient pu ainsi « traiter » l’ensemble du réseau, sans se limiter l’interception aux correspondances d’une personne déterminée (coucou, amis Libyens et Syriens, sachez que les logiciels d’interception massives de données vendus à vos dictateurs ont sans doute d’abord été testés sur du mouton français).

La seule limite à ce type de procédés serait économique : les fournisseurs de prestation électronique facturent la prestation, de sorte que les interceptions « légitimes », c’est-à-dire faites dans le cadre de vraies opérations de renseignement et non les barbouzeries mêlées de politique, ont fait l’objet d’une facturation à l’Etat. Ce chef de dépense devrait apparaître par la différence entre les sommes allouées au titre des interceptions de sécurité autorisées par le Premier Ministre, et le montant payé en définitive par l’Etat. Au passage, il est possible que les finances publiques se portent mieux après la mise sous contrôle effectif de ce type de collectes.

En réalité, soit le député Urvoas n’a rien compris ce qui interroge quand même sur les compétences à contrôler quoi que ce soit des membres de la CNIS, soit c’est un maître du sophisme. Il n’a pas tout-à-fait tort lorsqu’il affirme que l’article 20 constitue un progrès du droit, mais il oublie de préciser que ce « progrès » a été rendu nécessaire par une pratique dévoyée, et à mon sens, parfaitement illégale, des services français et des politiques alors aux commandes. L’ultime forfaiture se trouve à la lecture de la date d’entrée en vigueur de l’article 20, repoussée au 1er janvier 2015, laissant ainsi entendre qu’en attendant, c’est openbar et que c’est légal.

Il n’était pas nécessaire d’ajouter aux textes existants. Il suffisait de préciser que les données de connexion SONT évidemment un élément de la correspondance, devant, en tant que tel, bénéficier de la procédure des IDS (une circulaire du Premier Ministre eût fait l’affaire, d’autant qu’on circularise beaucoup ces derniers temps). 

Ce n’est pas parce que la CNIS a une interprétation passéiste des textes en raison de l’âge vénérable des membres qui la compose et d’un manque de rigueur juridique imputable à sa composition essentiellement politique (si les politiques faisaient du bon droit, on aurait de meilleures lois et cela se saurait) que cela fait l’état du droit. Il est vrai que la CNIS semble pouvoir se prévaloir de la position de la jurisprudence judiciaire (Cass. Crim. 27 juin 2001, n° 01-82578, cité par le rapport de la CNIS, p. 26.) et administrative.

Mais les éléments cités dans son rapport montrent que les juridictions n’ont pas été saisies d’un dossier où l’intégralité des données de connexion d’une personne avaient été interceptées, analysées et utilisées. Au vu de ce que peuvent trahir les données de connexion (pour un exemple v. ici), il est vraisemblable que le juge judiciaire, défenseur de la liberté individuelle, reconsidère rapidement sa position pour tirer toutes les conséquences de l’évolution de la technologie. 

De plus, l’interprétation de la CNIS est juridiquement contestable au regard du cadre légal pré-existant. Lorsque le législateur a voulu soustraire certaines interceptions à la procédure des IDS, il a adopté un texte dérogatoire (par ex. l’actuel article L. 241-3 du CSI). A contrario, une interception de données ne faisant pas l’objet d’un texte dérogatoire devrait respecter les formes prévues par la loi (et les services qui auraient passé outre ces dernières années ont commis une faute, reste à voir si elle leur est imputable ou s’ils ont été instrumentalisé par le politique et surtout, si la preuve peut en être apportée. Il y a en tout cas clairement matière à enquête et à sanction). De la même façon, lorsque le législateur a voulu permettre l’accès aux données de connexion, que ce soit dans le cadre de la lutte contre le terrorisme (article L. 34-1-1 CPCE avant son abrogation) ou pour la mise en place des IDS, il l’a indiqué par un texte spécifique. Ainsi, l’article L. 244-2 du CSI, anciennement article 22 de la loi de 1991, dispose en effet, que « Les juridictions compétentes pour ordonner des interceptions en application du code de procédure pénale ainsi que le Premier ministre ou, en ce qui concerne l’exécution des mesures prévues à l’article L. 241-3 [NDA, aka les interceptions de sécurité], le ministre de la défense ou le ministre de l’intérieur peuvent recueillir, auprès des personnes physiques ou morales exploitant des réseaux de communications électroniques ou fournisseurs de services de communications électroniques, les informations ou documents qui leur sont nécessaires, chacun en ce qui le concerne, pour la réalisation et l’exploitation des interceptions autorisées par la loi ». On voit donc que le législateur n’a pas expressément soumis les données de connexion à la procédure des IDS, mais il ne l’a pas expressément exclu. Or les restrictions aux libertés individuelles que constituent les interceptions de quelque sorte qu’elles soient doivent être autorisées par la loi (CEDH, article 8), la collecte de données de connexion par un service ou une entreprise en dehors de ce cadre est parfaitement illégale.

S’agissant des garanties données par la procédure des IDS, le CSI, et avant lui, la loi de 1991, précise qu’un relevé de chacune des opérations d’interception mentionnant date et heure de début et de fin est dressé (article L242-4), et que seuls les renseignements en relation avec l’un des objectifs comme le terrorisme ou la sûreté de l’Etat prévus par l’article L. 241-2 peuvent faire l’objet d’une transcription par les personnels habilités. L’article L. 242-6 exige que l’enregistrement soit détruit à l’expiration d’un délai de dix jours au plus tard à compter de la date à laquelle il a été effectué, destruction dont il est dressé procès-verbal. De la même façon, les retranscriptions doivent être détruites dès qu’elles ne sont plus utiles (art. L. 242-7). Sauf l’obligation résultant de l’article 40 du Code de procédure pénale qui impose aux fonctionnaires de dénoncer les délits et les crimes dont ils auraient connaissance dans l’exercice de leur fonction, les renseignements recueillis par le moyen de ces interceptions de sécurité ne peuvent être utilisés à d’autres fins que celles limitativement énumérées par l’article L.241-2 du CSI (article L. 242-8).

Le petit souci de ces dispositions est qu’elles ne prévoient aucun contrôle sérieux de leur mise en œuvre effective si ce n’est pas l’intermédiaire de la CNIS, dont on a pu constater la rigueur juridique comme le souci de protéger nos libertés publiques. De plus, sauf à se moquer du monde, qui peut sérieusement soutenir que trois personnes vont contrôler quelques milliers de mesures d’IDS (dixit la CNIS elle-même : 6341 interceptions de sécurité qui ont effectivement été pratiquées au cours de l’année 2011, voir aussi l’article de Numerama sur le rapport 2013), sans compter les collectes de métadata sauvages qui n’ont bien évidemment pas été soumises à la CNIS.

Avant comme après la LPM, la décision d’autorisation de procéder à une interception de communication électronique est prise par le Premier Ministre, statuant sur une demande écrite et motivée, comme sous l’empire de la loi de 1991. Elle est prise pour une durée de trente jours et peut être renouvelée dans les mêmes conditions, sans limite. De ce point de vue, la LPM réduit la durée de validité de l’autorisation de 4 mois à 30 jours, mais ne remet pas en cause la possibilité de renouvellement ad libitum.

Quel est le contrôle exercé sur cette décision tant dans son principe que dans son exécution ? Et bien il n’y en a pas. Je veux dire, la décision du Premier Ministre est transmise au président de la CNIS, qui peut la transmettre à la CNIS s’il l’estime nécessaire, laquelle peut, si nécessaire, adresser au Premier Ministre une recommandation. Cette recommandation n’est pas publique, elle est seulement adressée pour information au Ministre dont les services ont demandé la mise en place de la mesure d’interception et au Ministre des télécommunications. Si le président de la CNIS ne la saisit pas, elle dispose néanmoins d’un accès permanent au dispositif de recueil des informations ou documents mis en œuvre et peut adresser une recommandation au Premier Ministre, qui doit lui répondre dans les 15 jours.

En très résumé, le Premier Ministre a carte blanche et aucun contre-pouvoir puisque par définition, la majorité parlementaire qui a choisi ledit Ministre, dont fait également partie le Président de la République chargé de désigner le président de la CNIS parmi quatre noms proposés conjointement par le Premier président de la Cour de cassation et par le vice-président du Conseil d’Etat. La CNIS comprend, en outre, un député désigné pour la durée de la législature par le président de l’Assemblée nationale (depuis 2012, Monsieur le député Urvoas) et un sénateur désigné après chaque renouvellement partiel du Sénat par le président du Sénat (depuis 2012, Monsieur Jean-Jacques Hyest). Quelle que soit la majorité au pouvoir, cela pose un sérieux problème de contre-pouvoir. A noter, le président de la CNIS relève dans le rapport 2012 à propos de la désignation des parlementaires que « La sagesse des présidents [du Sénat et de l'Assemblée Nationale] successifs a fait en sorte que les deux parlementaires soient issus, l’un de la majorité, l’autre de l’opposition ». On peut supposer donc que les parlementaires sont très contents d’eux-mêmes et sauront faire respecter leurs libertés à défaut des nôtres. 

Cette composition laisse présager une combativité sans faille pour la défense de nos libertés… ce, d’autant plus qu’il n’existe aucun recours, ni aucun contrôle juridictionnel de l’action de la CNIS ou de son effectivité. Tout au plus celle-ci publie-t-elle un rapport annuel, où elle explique que tout va bien dans le meilleur des mondes, et qui comporte les recommandations adressées au Premier Ministre, rapport qui est rendu public. Par différence, les décisions judiciaires relatives à des interceptions de correspondance peuvent faire l’objet d’un débat contradictoire  par les personnes concernées et faire l’objet d’un recours juridictionnel.

Ceci étant posé, que peut faire le citoyen pour d’une part savoir si ses données de connexion ont fait l’objet d’une collecte illégale, d’autre part faire sanctionner les responsables de ces pratiques? 

A suivre… 

EDIT, 31 janvier 2014: à lire iciFrédéric ForsterEdouard Lemoalle, Actes terroristes, cybersurveillance et interceptions de sécurité.

La chasse aux backdoors est ouverte

La récente modification de l’article 122-6-1 III du Code de la propriété intellectuelle par l’article 25 de la LPM a pour effet d’ajouter la sécurité informatique parmi les motifs justifiant qu’un utilisateur légitime étudie le fonctionnement d’un logiciel. Plus précisément, l’art.122-6-1 CPI III dispose désormais que « La personne ayant le droit d’utiliser le logiciel peut sans l’autorisation de l’auteur observer, étudier ou tester le fonctionnement « ou la sécurité » de ce logiciel afin de déterminer les idées et principes qui sont à la base de n’importe quel élément du logiciel lorsqu’elle effectue toute opération de chargement, d’affichage, d’exécution, de transmission ou de stockage du logiciel qu’elle est en droit d’effectuer ». Cet ajout vient poser une nouvelle restriction au monopole du droit d’auteur et corrélativement confère un droit nouveau aux utilisateurs de logiciels.

L’article 122-6-1 III du CPI réserve cette possibilité à la personne ayant le droit d’utiliser le logiciel et la limite au cadre des opérations qu’elle est en droit d’effectuer, l’utilisation « normale » dudit logiciel, à l’exclusion donc du démontage d’un produit téléchargé sur un site de warez et qui serait ensuite revendu. L’indication de ce que l’auteur du logiciel ne peut s’y opposer signifie que l’auteur du logiciel ou son ayant-droit ne peut interdire à l’utilisateur de vérifier la sécurité dudit logiciel. En conséquence, la chasse aux portes dérobées commence, c’est-à-dire que tout utilisateur légitime d’un logiciel est désormais en droit de vérifier qu’il ne comporte pas des failles de sécurité, des accès officieux laissés volontairement ou non dans les différents logiciels. Il est même probable qu’un opérateur d’importance stratégique qui ne procèderait pas à une telle vérification courrait le risque de voir sa responsabilité engagée.

Concrètement, cela signifie que les backdoors imposées par le droit américain à tout éditeur local de logiciel vont connaître une triste fin sur le territoire français, à condition évidemment que les experts informatiques français s’emparent de cette possibilité, ajoutant ainsi une nouvelle ligne sur les devis des services offerts à leurs clients. Il est également très vraisemblable qu’une série d’appels d’offre soit émise très prochainement afin de « nettoyer » les logiciels utilisés par l’Etat français et les entreprises d’intérêt national.

Cette règle, semble-t-il ajoutée à l’instigation de l’ANSSI (ici), constitue un élément de plus dans la construction d’une souveraineté numérique française et européenne de nature à contrer les mauvaises manières de la NSA et autres agences étrangères à la curiosité sans borne.

Oui mais non

Selon un auteur, la LPM, en son article 25, permettrait dorénavant de tester la sécurité des sites internet sans risquer les foudres pénales du parquet le plus proche.

Il est exact que la loi modifie l’article 323-3-1 du Code pénal afin de permettre la diffusion de faille et des descriptifs des moyens de les exploiter, à des fins « notamment de recherche ou de sécurité informatique ». Dans la mesure où il s’agissait de modifier un texte du Code pénal, le législateur n’a cependant pas envisagé la conséquence de l’éventuelle responsabilité civile en raison du dommage causé par la publication imprudente de 0-Day, encore que cette question se règlera vraisemblablement assez rapidement par l’ajout d’une clause dans les contrats d’assurance RC pro des experts en sécurité informatique.

Par contre, l’auteur analyse la modification de l’article L. 122-6-1 du code de la propriété intellectuelle comme autorisant « purement et simplement de tester la sécurité informatique de sites web (y compris gouvernementaux, diplomatiques, militaires, les systèmes de santé, bref il n’y a aucune limites !), de même que tout logiciel en fonctionnement et cela quel qu’il soit ».

Il est tard et je ne suis pas sûre d’avoir les idées très claires (et je veux bien un éclairage technique si besoin), néanmoins, j’estime devoir contredire cette opinion. En effet, la modification du CPI a pour seul effet d’ajouter la sécurité informatique parmi les motifs justifiant qu’un utilisateur légitime étudie le fonctionnement d’un logiciel, ce, notamment, afin de permettre l’interopérabilité entre logiciels 1.

L’art.122-6-1 CPI III dispose que « La personne ayant le droit d’utiliser le logiciel peut sans l’autorisation de l’auteur observer, étudier ou tester le fonctionnement « ou la sécurité » de ce logiciel afin de déterminer les idées et principes qui sont à la base de n’importe quel élément du logiciel lorsqu’elle effectue toute opération de chargement, d’affichage, d’exécution, de transmission ou de stockage du logiciel qu’elle est en droit d’effectuer ».

Il est à mon sens audacieux de conclure de ce texte que cela permettrait à tout un chacun de tester la sécurité des sites internet gouvernementaux (acte visé à l’article 323-1 et s. du Code pénal). En effet, l’article 122-6-1 III du CPI réserve cette possibilité à la personne ayant le droit d’utiliser le logiciel et la limite au cadre des opérations qu’elle est en droit d’effectuer. L’indication de ce que l’auteur du logiciel ne peut s’y opposer ne me semble pas devoir être entendue comme la licence de passer outre l’opposition du maître du système. Or par définition, le maître du système n’est pas celui qui teste la sécurité d’un site internet à la sauvage. D’autant qu’un test de CMS ou de serveur n’a pas besoin de porter directement sur un site internet précis et peut s’exécuter en local.

Ce texte est donc un progrès sur la voie de l’interopérabilité entre logiciels et de la sécurité informatique, mais certainement pas un permis de pirater.

Ineffectivité du contrôle de l’accès à certains fichiers de police

La collecte de données personnelles et leur mise en fichier impliquent normalement, a minima, l’existence d’un dispositif qui permette de savoir qui y a accédé. Les textes le prévoient. Mais sont-ils appliqués? Et surtout, est-ce que la réalité de l’existence d’un dispositif de traçage des accès fait l’objet d’une vérification par les pouvoirs publics?

La question peut surprendre mais il semble qu’au-delà des règles posées par les textes imposant la traçabilité des accès, l’Administration ne dispose pas des outils nécessaires pour mettre en œuvre ces dispositions, et surtout, ne s’en préoccupe aucunement.

Un cas réel montre que les textes imposant une traçabilité des accès restent parfois lettre morte. Ainsi, le Défenseur des droits a-t-il constaté une pratique de falsification de procès-verbaux et l’absence de disposition de contrôle des accès dans le FPR (fichier des personnes recherchées) (décision du DDD, MDS 2010-79 du 25 septembre 2012). Saisi par une association de défense des droits des étrangers, il a voulu vérifier la correspondance entre l’heure de consultation du FPR et l’heure du contrôle d’identité et de l’interpellation des personnes étrangères, notées dans la procédure. Sur les douze procédures examinées, seules trois d’entre-elles présentent une correspondance valide entre l’heure inscrite sur la fiche de consultation du FPR et l’heure du contrôle d’identité et de l’interpellation relatée dans les procès-verbaux. Pour les autres procédures, la règle de la traçabilité de l’accès n’était pas observée, en violation de l’article 8 du décret n°2010-569 du 28 mai 2010 relatif au fichier des personnes recherchées.

Ce qui est préoccupant est les réponses données par l’Administration au Défenseur des droits: « Alors que la consultation de cette traçabilité obligatoire était le seul moyen de déterminer l’heure exacte de l’interpellation et donc de la privation de liberté, la Direction des libertés publiques et des affaires juridiques du Ministère de l’intérieur (DLPAJ) a fait savoir, le 26 juin 2012, qu’elle était dans l’impossibilité de donner suite à ces recherches dans la mesure où la traçabilité des consultations de ce fichier, n’est à ce jour pas mise en œuvre. Pour justifier son impossibilité, la DLPAJ a indiqué, sans plus de détails, que l’obsolescence de l’architecture technique du FPR n’avait pu rendre possible le respect des obligations découlant de l’article 8 du décret du 28 mai 2010. Enfin, la DLPAJ a fait savoir que la traçabilité des consultations de ce fichier devrait intervenir « à l’horizon 2013« , sans toutefois indiquer les diligences accomplies à cette fin depuis 2010, ni donner un quelconque gage de certitude quant à cette date« .

Il est à noter que l’inscription dans ce fichier est assez disparate, ce que relevait déjà en 2010 le professeur Geneviève Koubi, situation qui a été encore renforcée par l’extension des motifs d’inscription au fichier des personnes recherchées par le décret n°2013-745 du 14 août 2013.  Ce texte a aussi étendu la liste des personnes pouvant accéder aux données contenues dans le fichier et des destinataires de ces données. En particulier, l’accès est désormais autorisé non plus seulement aux agents des forces de police, mais également aux fonctionnaires des affaires étrangères et, dans certains cas, aux agents de police municipale.

Compte tenu de ces différents éléments, on peut légitimement s’interroger sur l’effectivité des dispositions édictant un contrôle des accès ainsi que sur l’opportunité d’étendre le champ des ces fichiers sans s’être assuré au préalable de la conformité des dispositifs existant au cadre règlementaire déjà en place. Avant de vouloir contrôler la population et le Ninternet, il serait judicieux que l’Etat se soucie au préalable de contrôler ses procédures de contrôle et d’en justifier devant l’opinion publique?

L’impératif de traçabilité des accès aux fichiers de police

Les agents de l’Etat habilités à accéder aux différents traitements de données personnelles relevant de la justice, de l’intérieur ou de la défense sont tenus au secret professionnel. Néanmoins, la jurisprudence comporte différents cas d’abus de leurs prérogatives, ce qui démontre le caractère indispensable de dispositif permettant de retracer les consultations des bases de données personnelles réalisées par l’Etat sur la base des investigations indiquées.

Ainsi, un arrêt de la chambre criminelle (Cass. crim., 20 juin 2006, n°05-86.491) retient que « Alain Y… a reconnu avoir abusé de sa fonction de policier en consultant les fichiers informatiques STIC et FPR pour rechercher des informations sur des francs-maçons ou des candidats franc-maçons, mais a affirmé en dernier lieu l’avoir fait de sa propre initiative et n’avoir rien révélé à quiconque des informations ainsi recueillies ; que, cependant, comme l’ont relevé les premiers juges, Alain Y… a reconnu avoir consulté à de nombreuses reprises le fichier STIC et le fichier FPR et avoir communiqué verbalement le contenu des informations ainsi découvertes lors de son audition par les services de police ; que ses déclarations, faites au cours de trois auditions, sont confortées par la découverte à son domicile d’une fiche informatique issue du fichier FPR concernant André A…, et par la concordance soulignée par les premiers juges entre les recherches opérées par Alain Y… dans les fichiers informatiques sur des personnes précises comme Gouverneur et B… et les investigations menées sur ces personnes par la GLNF au niveau provincial et établissent la réalité de la divulgation de ces informations ; que les policiers sont soumis au secret professionnel et que ce secret couvre toutes les informations parvenues à leur connaissance dans l’exercice (y compris abusif) de leurs fonctions ou à l’occasion de ces fonctions ; qu’il faut souligner le caractère renouvelé des déclarations faites par Alain Y… en enquête préliminaire, s’agissant d’un policier ayant déjà une longue professionnelle et ayant nécessairement conscience de la portée de ses déclarations dans le cadre d’une procédure de police judiciaire ; qu’il convient pour ces motifs de déclarer Alain Y… coupable détournement d’informations de leur finalité par l’usage des informations obtenues consultation des fichiers STIC… ».

Dans un autre arrêt, (Cass. crim., 5 février 2013, n°12-80.573), il est indiqué que « M. X…, gardien de la paix aux renseignements généraux du Var, chargé notamment de rechercher des informations sur des données à caractère personnel figurant dans le système de traitement des infractions constatées (STIC) et dans le fichier national automobile (FNA), est poursuivi pour avoir détourné ces informations de leur finalité en les exploitant à des fins personnelles ou en les communiquant à Mme Y…, dirigeant de fait, malgré une interdiction de gérer, de sociétés dans le domaine de l’immobilier, et poursuivie pour recel d’informations nominatives provenant de ce délit ».

S’agissant des affaires impliquant IKEA, les procès n’ont pas encore eu lieu. En revanche, une affaire impliquant un Disneyland montre comment un employeur a pu, pendant des années, obtenir des informations tirées de fichiers de police (TGI Meaux, 3ème, 27-06-2013, n° 04000019243, n° Lexbase A3436KM9. Pour une évocation des faits, v. Cass. crim., 4 novembre 2009, n°09-80.074, la Cour de cassation n’étant alors saisie que de la question de la recevabilité de la constitution de partie civile du salarié licencié sur la base des informations illégalement obtenues par son employeur.

Ces affaires peuvent être analysées de deux façons: soit il ne s’agit là que d’exceptions ayant échappées à la vigilance de services telle l’IGPN, les autres cas aboutissant à des sanctions disciplinaires ne faisant pas l’objet de publication, soit les fuites de données sont hors de tout contrôle et ces quelques cas n’ont été détectés qu’en raison de l’alerte donnée par les victimes. Cependant, le nombre d’accès illicites admis par les agents ainsi que la durée de ces agissements dans l’affaire Disney  tendrait plutôt à valider la seconde hypothèse.

En se basant sur ce postulat, on peut supposer qu’il n’y a actuellement pas de croisement automatique entre les accès aux fichiers et les enquêtes menées par les agents de l’Etat, mesure qui permettrait de déceler les consultations anormales, au moins du point de vue statistique. Pourtant, l’Etat se doit, comme tout responsable de traitement de données personnelles, de mettre en place des règles assurant à la fois la sécurité des données et la détection des ruptures de confidentialité.

Ces exemples sont d’autant plus préoccupants qu’ils ne concernent que les données intégrées dans les fichiers, alors que les mesures d’investigation portent sur un ensemble, au sein duquel les enquêteurs vont effectuer un tri. Seules les données sélectionnées seront intégrées dans les fichiers, les autres étant connues, et donc susceptibles de diffusion illicite, mais sans qu’ils soient possible d’exercer le moindre contrôle à partir de l’utilisation qui est faite des fichiers constitués. La solution ne semble pas devoir être l’intégration de la totalité des données collectées dans les fichiers, mais bien le recours à des techniques comparables à celle du « client mystère ». L’absence de mise en oeuvre de ce type de mesure de détection montre le peu de souci de l’Etat à assurer la confidentialité des données qu’il collecte sur les citoyens, négligence à mettre en parallèle par exemple avec la frilosité des parlementaires sur la révélation de leur patrimoine. Libre service des données personnelles des premiers mais droit à la vie privée pour les seconds ?