Lutte contre le terrorisme : quelles obligations pour les entreprises ?

Publié le 14/12/2015 - CIO Online - C. Féral-Schuhl

Pour lire l’article de Christiane Féral-Schuhl et Etienne Papin du 14 décembre 2015 pour CIO Online.

Lutte contre le terrorisme : quelles obligations pour les entreprises ?

Les acteurs privés, principalement dans le secteur de l’internet, sont appelés à jouer un rôle de plus en plus actif dans la lutte contre le terrorisme. Les moyens informatiques et internet se trouvent au centre de la recherche des individus soupçonnés d’entreprise terroriste. Fait rarissime dans l’histoire de nos institutions, la France vit jusqu’au 26 février 2015 sous le régime de l’état d’urgence. Ce dispositif juridique particulier a principalement pour conséquences de doter le pouvoir exécutif, représenté sur l’ensemble du territoire par les préfets, de pouvoirs d’investigation exceptionnels. A ce titre, et en application de l’article 11 de loi du 3 avril 1955 relative à l’état d’urgence, le ministre de l’intérieur et les préfets peuvent opérer des perquisitions qui sont normalement réservées à la police judiciaire, sous l’autorité et le contrôle des magistrats du Parquet, ou au juge d’instruction.

Le gouvernement a profité de la réactivation de l’état d’urgence pour toiletter le régime juridique datant de 1955 par la loi du 21 novembre 2015 qui institue l’état d’urgence pour trois mois. Les moyens informatiques on fait l’objet d’une attention particulière. Ainsi, lors d’une perquisition diligentée dans le cadre de la loi du 3 avril 1955, il est aujourd’hui précisé qu’il peut être accédé, par un système informatique ou un équipement terminal présent sur les lieux où se déroule la perquisition, à des données stockées dans ledit système ou équipement ou dans un autre système informatique ou équipement terminal, dès lors que ces données sont accessibles à partir du système initial ou disponibles pour le système initial. Les données auxquelles il aura été possible d’accéder dans les conditions prévues au présent article peuvent être copiées sur tout support.

Au-delà de ce régime d’exception, qui n’a pas vocation à concerner les entreprises sauf celles qui abriteraient sans le savoir des personnes soupçonnées de terrorisme, ces quinze dernières années ont vu se construire un régime juridique particulièrement complexe qui associe les sociétés à la lutte contre le terrorisme. Au nombre des obligations, on identifie :

Une obligation de signalement.

Depuis la loi pour la confiance dans l’économie numérique du 21 juin 2004 (LCEN), si les fournisseurs d’accès internet (FAI) et les hébergeurs ne sont tenus à aucune obligation générale de surveillance des informations qu’ils transmettent ou qu’ils stockent, c’est « sans préjudice de toute activité de surveillance ciblée et temporaire demandée par l’autorité judiciaire ».

Cette règle, enrichie par la loi du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme, a prévu qu’ils doivent concourir à la répression de la provocation à la commission d’actes de terrorisme et de leur apologie. C’est au titre de cette obligation qu’ils sont tenus de mettre en place ces liens de signalement que l’on trouve sur les espaces communautaires — tels que forums de discussion, « chats », salons –, sur les pages d’accueil des sites ou encore sur les pages de listes de réponses des moteurs de recherche. Ils ont également l’obligation d’une part, d’informer promptement les autorités publiques compétentes de toutes activités illicites qui leur seraient signalées et qu’exerceraient les destinataires de leurs services et, d’autre part, de rendre publics les moyens consacrés à cette lutte. Tout manquement à ces obligations les expose à des peines de prison (un an) et à une amende (75 000 €).

Par ailleurs, il convient de rappeler que les Opérateurs d’Importance Vitale (OIV) et leurs sous-traitants (soit environ 200 entreprises concernées) sont tenus à des obligations de sécurité spécifiques fixées par le Premier ministre sous peine de sanctions pénales à l’encontre du dirigeant (C. défense, art. L. 1332-6-1 et L. 1332-7 ; CP., art. 131-38). Ils ont l’obligation d’informer sans délai le Premier ministre des incidents affectant le fonctionnement ou la sécurité de leurs systèmes d’information (C. défense, art. L. 1332-6-2).

Cette obligation pourrait être généralisée avec le projet de directive Cybersecurité – encore en discussion. En effet, le texte prévoit que les entreprises, tenues à des contraintes de sécurité, se verraient tenues de notifier aux autorités les incidents majeurs de cybersécurité. A priori, les PME et TPE ne seraient pas concernées. Mais seraient visées les principaux acteurs de l’internet, notamment les grandes plateformes comme Amazon ou eBay et les moteurs de recherche, ainsi que les entreprises dans les secteurs sensibles tels que l’énergie, la santé et le transport.

Une obligation de conservation des données de connexion.

Cette obligation vise à permettre aux autorités chargées d’enquête d’accéder aux données, notamment dans le cadre des interceptions judiciaires et administratives prévues par une succession de textes, dont la loi du 13 novembre 2014 et la loi du 24 juillet 2015 relative au renseignement.

Pour permettre cette collecte, les FAI sont tenus de conserver les données de connexion. En effet, ils ont l’obligation de (i) détenir et conserver les « données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont (ils) sont prestataires » et de (ii) communiquer ces données à l’autorité judiciaire, sur demande de cette dernière (art. 6-II).

Pour les besoins de la lutte contre le terrorisme, cette obligation a été étendue par la loi du 23 janvier 2006 aux opérateurs de communication électroniques ainsi qu’aux « personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit ». Cette dernière catégorie vise les propriétaires des cybercafés — c’est-à-dire des personnes dont l’activité est d’offrir un service payant de connexion en ligne — ainsi que les « personnes qui offrent à leurs clients, dans un cadre public, ou à des visiteurs une connexion en ligne, tels les hôtels, les compagnies aériennes… » et les « fournisseurs d’accès à des réseaux de communications électroniques accessibles via une borne Wi-Fi » que ce soit à titre payant ou non. Les « agents individuellement désignés et dûment habilités des services de police et de gendarmerie » en charge de la lutte antiterroriste peuvent obtenir la communication de ces données techniques, sans autorisation judiciaire préalable.

Le décret du 26 octobre 2007[1] a, quant à lui, prévu qu’un officier de police judiciaire peut, au cours de l’enquête de flagrance, de l’enquête préliminaire ou de l’instruction, demander la mise à disposition de ces données par voie électronique, soit dans « un fichier spécifique », soit « par un accès temporaire et limité » à leur base de données. Il en est de même pour certaines entreprises publiques ou privées telles que les établissements financiers, bancaires et de crédit, les organismes sociaux, les entreprises d’assurances, les organismes publics ou privés gestionnaires de logements, les services des administrations publiques gestionnaires de fichiers administratifs, les entreprises de transport collectif de voyageurs, les opérateurs de distribution de l’énergie…

S’agissant des données à conserver, celles-ci visent toutes les informations permettant d’identifier l’origine et la localisation de la communication (données relatives aux équipements terminaux de communication utilisés, caractéristiques techniques, date, horaire et durée de chaque communication, données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs, données permettant d’identifier le ou les destinataires de la communication[2]). Ce périmètre a été récemment élargi pour y inclure « toutes les données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne » (D. n°2011-219 du 25 février 2011[3]). Le délai de conservation de ces données a été fixé à un an.

Le non-respect de cette obligation de conservation des données expose à des sanctions pénales (un an d’emprisonnement et 75 000 euros d’amende pour une personne physique, le quintuple pour des personnes morales). Il peut également constituer une faute civile au sens des articles 1382 et 1383 du Code civil.

Il convient désormais de compter avec la loi du 24 juillet 2015 qui, au titre de la sécurité nationale, de la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France ou de la prévention du terrorisme, de la criminalité et de la délinquance organisées et de la reconstitution ou du maintien de groupements dissous, autorise les services de renseignement à recourir à des techniques qui étaient précédemment permises uniquement dans un cadre strictement judiciaire. Qu’il s’agisse du balisage de véhicules,  de la sonorisation de lieux privés (micros), de la captation d’images dans des lieux privés,  de la captation de données informatiques, de l’accès aux réseaux des opérateurs de télécommunications pour le suivi d’individus identifiés comme présentant une menace terroriste… . La surveillance électronique est désormais possible en introduisant, par exemple, dans un véhicule, un lieu privé ou un système automatisé de traitement de données, des appareils à l’effet d’opérer la collecte de données en temps réel.

Une obligation de détection des suspects, de blocage et de retrait des contenus.

La loi du 13 novembre 2014, complétée par un décret du 5 février 2015, prévoit que l’autorité administrative peut demander aux éditeurs de sites ou hébergeurs le retrait des contenus contrevenant à l’art. 421-2-5 CP (délits de provocation à des actes terroristes et d’apologie du terrorisme) ; elle doit en informer simultanément les FAI. A défaut de retrait dans les 24h, les FAI, auxquels a été notifiée la liste des adresses électroniques des sites, doivent alors procéder au blocage sans délai. L’autorité administrative peut faire directement la demande de blocage à l’éditeur du site si celui-ci n’a pas mis à disposition les informations permettant son identification ni celle de l’hébergeur. Par ailleurs, l’autorité administrative peut également notifier cette liste aux moteurs de recherche et annuaires qui doivent alors prendre toute mesure utile de déréférencement. Tout manquement à ces obligations expose aux mêmes sanctions que précédemment : 1 an de prison et 75 000 € d’amende.

Avec la loi du 24 juillet 2015 sur le renseignement, l’autorité administrative, pour les seuls besoins de la prévention terroriste, peut également imposer aux opérateurs de communication la mise en place de dispositifs permettant de détecter les comportements « suspects », grâce à des algorithmes dans lesquels auront été intégrés des « schémas typiques ».

Conclusion

En marge des obligations légales contraignantes évoquées ci-dessus, il convient de signaler les initiatives en partenariat public/privé qui se mettent actuellement en place pour développer des outils d’identification des contenus liés au terrorisme, avec le concours d’experts et de développeurs issus du secteur privé.

[1] Décr. no 2007-1538, 26 oct. 2007, relatif aux demandes de mise à disposition de données par voie électronique et modifiant le Code de procédure pénale (deuxième partie : Décrets en Conseil d’État); http://www.legifrance.gouv.fr/WAspad/UnTexteDeJorf ?numjo=JUSD0761048D%22%20\t%20%22_blankhttp://www.legifrance.gouv.fr/WAspad/UnTexte DeJorf ? numjo=JUSD0761048D

[2] CPCE, art. R. 10-12 à R. 10-14; créés par décr. 24 mars 2006, art. 1.

[3] Décret du 25 février 2011, http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000023646013&categorieLien=id

Autres publications