La police peut-elle frapper à la porte de votre système d’information ?

Publié le 18/04/2017 - CIO Online - E. Papin

Pour lire l’article d’Etienne Papin du 18 avril 2017 pour CIO Online.

C’était peut-être en fouillant dans des armoires remplies de dossiers que les enquêteurs du XXème siècle recherchaient les informations « nécessaires à la manifestation de la vérité ». C’est aujourd’hui dans les données des systèmes informatiques qu’il faut enquêter.

Le système d’information d’une entreprise permet de lire à livre ouvert dans l’activité de celle-ci. Ses produits, ses salariés, ses clients, ses finances, ses avoirs, etc. tout y figure sous une forme ou une autre. C’est donc devenu un enjeu majeur de protection. Si le DSI doit pourvoir à la sécurité de son système d’information contre les intrusions extérieures et contre les détournements internes, il est rarement en droit de s’opposer aux « intrusions » en provenance des autorités publiques. Voici, sous forme d’inventaire non exhaustif, les principaux textes à connaître.

Dans le cadre des enquêtes pénales

Même si l’entreprise, ses dirigeants ou salariés n’ont pas participé eux-mêmes à la commission d’une infraction pénale, son système informatique peut contenir des informations qui intéresseront les autorités de police dans le cadre de leurs enquêtes. Il en est ainsi lorsque l’entreprise a fourni des services à une personne soupçonnée d’un crime ou d’un délit. C’est particulièrement vrai pour les banques, les organismes sociaux ou encore les opérateurs de communications électroniques qui sont abondamment mis à contribution dans le cadre des enquêtes de police judiciaire.

Ce n’est que depuis deux lois de 2003 et 2004, pris dans le cadre du renforcement de la lutte anti-terroriste post 11 septembre 2001, qu’a été mis en place le système dit des « réquisitions » judiciaires.

L’article 60-1 du code de procédure pénale fait obligation à toute entreprise de mettre à la disposition du procureur de la République ou des officiers de police judiciaire les informations intéressant l’enquête issues de leur système informatique. Un régime spécifique s’applique cependant pour les entreprises de presse, les professions judiciaires et médicales afin de garantir le secret professionnel.

Il ne s’agit pas à proprement parler de laisser les autorités de police accéder aux systèmes d’information mais de leur fournir, sur leur requête, les informations qui s’y trouvent et qui les intéressent. Le fait de s’abstenir de répondre dans les meilleurs délais à cette réquisition est puni d’une amende de 3 750 euros (montant multiplié par cinq s’agissant d’une personne morale).

L’article 60-2 du code de procédure pénale complète ce dispositif général pour certaines entreprises (principalement, dans le secteur privé, les banques, assurances et opérateurs de télécommunications) qui, compte tenu de la récurrence des demandes dont elles font l’objet de la part de la police judiciaire, doivent pouvoir répondre avec plus de célérité en fournissant directement les données requises « soit dans un fichier spécifique, soit par un accès temporaire et limité à la base de données ».

Lorsque l’entreprise est, en revanche, directement soupçonnée de la commission d’une infraction pénale, les pouvoirs « classiques » de la perquisition prévue à l’article 57-1 du code de procédure pénale s’appliquent. Dans ce cadre, les OPJ peuvent accéder directement aux données intéressant l’enquête stockées dans le système informatique perquisitionné ou dans un autre système informatique, dès lors que ces données sont accessibles à partir du système perquisitionné.

Dans le cadre des enquêtes administratives

Il est d’autres cas où l’entreprise sera soupçonnée d’avoir agi en contravention de la loi, et sans que cela présente toujours le caractère d’une infraction pénale, le manquement en question peut aboutir à des sanctions prononcées par des autorités administratives comme l’autorité de la concurrence, l’autorité des marchés financiers ou la CNIL par exemple.

Chacune de ces autorités administratives indépendantes dispose, dans le cadre des enquêtes qu’elles diligentent, d’un pouvoir de perquisition et de saisie des informations figurant sur les systèmes d’information de l’entreprise.

Il faut déplorer qu’il n’existe pas une procédure unifiée qui puisse s’appliquer à toutes les investigations opérées par ces autorités administratives. Chacune voit ses pouvoirs prévus par des dispositions légales spécifiques qui précisent, souvent de manière similaire, mais pas toujours identique, le déroulement des opérations. Il faut également déplorer le manque de clarté de ces textes qui posent pourtant des restrictions aux libertés fondamentales et au droit de propriété.

Ainsi, l’article L450-3 du code de commerce prévoit que les agents de l’autorité de la concurrence « peuvent exiger la communication des livres, factures et autres documents professionnels et obtenir ou prendre copie de ces documents par tout moyen et sur tout support », ils ne peuvent donc agir directement dans le système d’information. En revanche, au titre de l’article L450-4 du même code, sur autorisation préalable du juge des libertés et de la détention, ils peuvent « saisir » « tout support d’information », et donc procéder eux-mêmes à la copie des données depuis le système d’information de l’entreprise faisant l’objet de l’enquête. La distinction entre les deux textes est subtile d’autant plus que le dernier alinéa de l’article L450-3 précise que les agents « ont accès aux logiciels et aux données stockées »…

Si l’on regard du côté de l’autorité des marchés financiers, qui dispose peu ou prou des mêmes pouvoirs de saisie des données informatiques une fois ses agents autorisés par le juge des libertés et de la détention (L621-12 du code monétaire et financier), on s’aperçoit que ceux-ci peuvent également se faire communiquer les données conservées et traitées par les opérateurs de communications électroniques et en obtenir la copie, pouvoir dont ne disposent pas les agents de l’autorité de la concurrence…

La plus grande confusion règne dans ces textes et une remise à plat s’impose. La France fait régulièrement l’objet de condamnations par la Cour Européenne des Droits de l’Homme sur la question des saisies informatiques opérées par les agents relevant aujourd’hui de l’autorité de la concurrence, dont la dernière en date remonte au 2 avril 2015.

Dans le cadre des contrôles fiscaux

Les agents du fisc sont, pour le moment, encore tenus à la porte d’entrée du système d’information de l’entreprise. En effet, s’agissant du système comptable, l’article 47A du livre des procédures fiscales offre un choix à l’entreprise qui fait l’objet d’un contrôle fiscal.

L’agent de l’administration fiscale doit indiquer par écrit au contribuable la nature des investigations souhaitées sur ses données comptables. Le contribuable devra formaliser par écrit son choix parmi l’une des options suivantes :

  • soit laisser les agents effectuer la vérification « sur le matériel utilisé par le contribuable » ;
  • soit effectuer lui-même les traitements informatiques qui lui auront été précisés par écrit par l’administration avec le délai accordé pour les effectuer. Cependant, l’administration conserve le droit de demander la copie des données pour procéder elle-même aux traitements nécessaires à la vérification ;
  • soit fournir les données pour que l’administration procède aux traitements.

Lorsqu’elles sont remises à l’administration, les données doivent l’être sous forme de fichier répondant à des caractéristiques techniques précises prévues à l’article A47 A-1 du livre des procédures fiscales.

Quid des tiers ?

Au-delà des pouvoirs publics, dans les litiges de droit privé, le système d’information est également une source d’intérêts.

Au fondement de l’article 145 du code de procédure civile, « s’il existe un motif légitime de conserver ou d’établir avant tout procès la preuve de faits », il est possible d’obtenir du juge, saisi sur requête, une ordonnance autorisant à rechercher sur le système d’information de son adversaire les données nécessaires aux succès de ses prétentions.

Missionnés en application de cet article, un huissier de justice épaulé d’un expert judiciaire pourront, dans les limites fixées par le juge dans son ordonnance, accéder aux applicatifs et aux données et réaliser la copie des informations pertinentes aux regards de la mission fixée par le juge.

Ces opérations, qui sont assez fréquentes et qui donnent naissance à un contentieux nourri, sont toujours très déstabilisatrices pour l’entreprise qui les subit. Celle-ci dispose d’une voie de recours devant le juge des référés pour s’opposer, a posteriori,  à la mesure dont elle a été l’objet et tenter de voir annuler les opérations.

Quid des espions ?

Bien sûr, on ne peut éluder le fait que certaines entreprises peuvent voir les informations présentes sur leur système d’information convoitées par des services de renseignements.

En 2015, dans le cadre de la loi relative au renseignement, la France a consacré la légalité d’une pratique qui consisterait pour les agences de renseignement françaises à s’introduire dans le système d’information d’une personne physique ou morale.

L’article L853-2 du code de la sécurité intérieure autorise, moyennant le respect d’une procédure d’autorisation par le Premier ministre, l’utilisation par des agents du renseignement de dispositifs techniques permettant « d’accéder à des données informatiques stockées dans un système informatique, de les enregistrer, de les conserver et de les transmettre ». Mais les entreprises ne sont pas censées découvrir qu’elles font l’objet d’une telle intrusion…

Autres publications