L’accès aux données de trafic des communications électroniques, essentiel, en particulier dans la prévention du terrorisme, recouvre en réalité deux types de procédures. La première, classique, est une procédure de réquisition judiciaire (§1). L’autre, toute récente, est en revanche une procédure de réquisition administrative (§2).

§I/ Une procédure classique de réquisition judiciaire.

En principe, aux termes de l’article L. 34-1 du Code des postes et des communications électroniques, créé par l’article 29 de la loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne, « les opérateurs de communications électroniques, et notamment les personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne, effacent ou rendent anonyme toute donnée relative au trafic ».

Pour autant, le législateur a prévu des exceptions au principe général d’effacement, strictement encadrées par l’article L. 34-1 : tout d’abord, les données conservées par exception au principe posé en l’article 34-1 I portent exclusivement sur l’identification des personnes utilisatrices des services fournis par les opérateurs, sur les caractéristiques techniques des communications assurées par ces derniers et sur la localisation des équipements terminaux.

Elles ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit, dans le cadre de ces communications. La conservation et le traitement de ces données s’effectuent dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Les opérateurs prennent toutes mesures pour empêcher une utilisation de ces données à des fins autres que celles prévues par la loi .

Ces restrictions étant posées, les opérateurs de communication ont tout d’abord le droit d’utiliser, de conserver et, le cas échéant, de transmettre à des tiers concernés directement les données relatives au trafic pour les besoins de la facturation et du paiement des prestations de communications électroniques, jusqu’à la fin de la période au cours de laquelle la facture peut être légalement contestée ou des poursuites engagées pour en obtenir le paiement, soit au maximum un an ;

Ils peuvent en outre réaliser un traitement des données relatives au trafic en vue de commercialiser leurs propres services de communications électroniques ou de fournir des services à valeur ajoutée, à condition que les abonnés y consentent expressément et pour une durée déterminée. Cette durée ne peut, en aucun cas, être supérieure à la période nécessaire pour la fourniture ou la commercialisation de ces services. Ils peuvent également conserver certaines données en vue d’assurer la sécurité de leurs réseaux .

Enfin, l’effacement des données relatives au trafic peut en particulier être différé, pour une durée maximale d’un an, pour les besoins de la recherche, la constatation et la poursuite des infractions pénales. Dans cette hypothèse, les données recueillies doivent être exclusivement mises à disposition de l’autorité judiciaire . Ces données techniques intéressent tout particulièrement la lutte antiterroriste.
Comme l’a fait valoir Marylise Lebranchu, garde des sceaux, lors de l’examen au Sénat en deuxième lecture du projet de loi relatif à la sécurité quotidienne , affirmait :

« Les événements récents ont démontré que l’utilisation des moyens de télécommunications, des réseaux numériques et de l’Internet était au coeur des échanges d’informations entre les membres des réseaux terroristes. [...] De telles enquêtes supposent que puissent être exploitées les données enregistrées par les opérateurs de télécommunications à l’occasion de l’établissement des communications en cause. Ces données sont, en effet, autant de traces laissées par les intéressés dans le monde virtuel, comme le seraient des empreintes ou des indices dans le monde réel. [...] Il est nécessaire que la France se dote, à cet égard, d’un dispositif législatif clair et transparent encadrant strictement la conservation de ces données techniques [...] ».

Les données dont fait état Marylise Lebranchu ne s’identifient pas aux informations d’ordre purement administratif afférentes aux clients, lesquelles répertorient de façon générale les noms prénoms adresse et mode de paiement de l’abonnement au services souscrits. Les données de trafic sont les traces, les informations générées par l’utilisation des réseaux de communications téléphoniques, des services de messages courts ou de messages multimédia, et en particulier du réseau Internet.

Un décret est venu déterminer les catégories de données techniques susceptibles d’être conservées. Sont concernées :
 les informations permettant d’identifier l’utilisateur ;
 les données relatives aux équipements terminaux de communications utilisés ;
 les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ;
 les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;
 les données permettant d’identifier le ou les destinataires de la communication.

Les personnes visées à l’article L. 34-1 du Code des postes et des communications électroniques ne se verront donc astreintes à aucune obligation quant à la révélation tant du contenu des communications, que de celui des courriers électroniques. Son en effet exclusivement concernées les données de trafics autorisant la connaissance de l’heure et la durée d’une connexion Internet, les informations sur les services demandés par l’utilisateur afin de permettre un profilage, ainsi que le numéro de protocole Internet (I.P.) utilisé pendant cette communication.

Il faut encore noter qu’en matière de conservation de données, l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique met à la charge des fournisseurs d’accès et des fournisseurs d’hébergement une obligation de détenir et de conserver les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires.

Quant aux personnes visées par l’obligation de conservation de données, elles sont de deux sortes. Il s’agit tout d’abord des opérateurs de communications électroniques. La définition de la notion d’opérateur de communications électroniques est établie par l’article L. 32 du Code des postes et des communications électroniques. Il s’agit en effet de « toute personne physique ou morale exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communications électroniques ». Cette définition semble s’appliquer uniquement aux opérateurs de téléphonie fixe et mobile et aux fournisseurs d’accès à Internet.

Depuis la loi du 23 janvier 2006, sont d’autre part visées, les « personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit ». A contrario donc, échappent à cette obligation les personnes offrant une connexion en dehors de leur activité professionnelle. Cette notion n’évacue pas toute ambiguïté. Cela étant, sont notamment concernées :

 les personnes dont l’activité a spécifiquement pour objet l’offre d’un service payant de connexion en ligne. Il s’agit donc en pratique des patrons ou gérants de « cybercafés ».

 les personnes qui offrent dans un cadre public une connexion Internet à leurs clients ou à des visiteurs. Il s’agit en particulier des hôtels, des compagnies aériennes, mais aussi des aéroports.

 les fournisseurs d’accès à des réseaux de communications électroniques accessibles via une borne WIFI, souvent au moyen de cartes prépayées autorisant l’accès au réseau.

La prise en compte par le législateur de cette catégorie de personnes doit être approuvée, en ce qu’elle répond à l’adoption de plus en plus systématique par les terroristes de mesures permettant d’assurer leur anonymat. En effet ceux-ci, conscient du fait qu’il est aujourd’hui possible de les retracer à partir d’information découlant de l’utilisation de téléphones fixes et mobiles, voire de celle du réseau Internet par le biais d’un fournisseur d’accès Internet, recourent de plus en plus systématiquement à des parades. De sorte que plutôt que d’utiliser une connexion Internet classique, ils privilégient des accès au réseau propres à garantir leur anonymat.

Cela se traduit par un recours aux connexions dites « Wi-Fi » c’est-à-dire des connexions Internet sans fil, ou l’utilisation d’ordinateurs publics, spécifiquement dans les cybercafés. La loi du 23 janvier 2006, en modifiant l’article 34-1 du Code des postes et des communications électroniques, tirant les conséquences des pratiques émanant des terroristes, a donc comblé une faille importante de la législation.

Pour autant, l’efficacité du système quant à l’identification des terroristes utilisant un « cybercafé » ou connectés au moyen d’un réseau « Wi-Fi » fait problème. Dans les deux cas celle-ci se révèle en effet presque impossible. Concernant la technologie wifi d’une part, son principe même est de créer un intermédiaire entre la borne wifi, media effectif d’accès au réseau, et l’utilisateur final, relié à cette dernière par une simple liaison radio.

On pourrait imaginer d’exiger de la part des personnes se portant acquéreurs de cartes wifi qu’ils soient tenus de justifier de leur identité, cependant la procédure serait lourde, car il faudrait le faire lors de chaque achat. Ceci est peu compatible avec un marché de l’informatique où la majorité des composants peuvent s’acheter directement en ligne par le biais des sites spécialisés de boutiques situées l’étranger, les problèmes de compatibilité en la matière étant mineurs.

Relativement aux cybercafés d’autre part, le principe même d’une connexion offerte au public sur un panel d’ordinateurs identiques, et interchangeables rend a priori possible l’anonymat le plus absolu pour le terroriste. On pourrait imaginer de soumettre les gestionnaires des lieux à une obligation de recueillir l’identité de l’ensemble des utilisateurs clients. Là encore la procédure serait difficile à mettre en œuvre, et les manquements nombreux.

Le décret détermine avec précision le type de données devant faire l’objet d’une conservation par les cybercafés et autres personnes assimilées. En effet, la loi prévoit que le décret devra définir ces obligations « selon l’activité des opérateurs et la nature des communications », ce qui permettra d’instituer des obligations tenant compte des spécificités de chaque type d’opérateur. Cependant, il faut admettre que le stockage de données techniques d’utilisateurs non identifiés invite à nuancer l’efficacité du dispositif envisagé.

Préalablement à la loi du 23 janvier 2006, l’ensemble de ces données techniques ne pouvait être consulté que dans le cadre d’une procédure judiciaire, par la police et la gendarmerie nationale, sur le fondement des articles 60-1, 77-1-1 et 99-3 du Code de procédure pénale, lesquels disposent respectivement que l’officier de police judiciaire au cours d’une enquête de flagrance, le procureur de la République (ou, sur autorisation de celui-ci, l’officier de police judiciaire) au cours de l’enquête préliminaire mais aussi le juge d’instruction (ou l’officier de police judiciaire par lui commis), sont en droit de requérir de toute personne, de tout établissement ou organisme privé ou public ou de toute administration publique susceptibles de détenir des documents intéressant l’enquête ou l’instruction, notamment ceux issus d’un système informatique ou d’un traitement de données nominatives, de leur remettre ces documents.

Ces dispositions trouvent leur application la plus fondamentale dans le cadre de la lutte antiterroriste. En principe elles permettent en effet d’identifier les responsables d’un attentat terroriste autant que de prévenir le cas échéant d’éventuels attentats postérieurs. Le caractère judiciaire de cette procédure garantit le citoyen contre d’éventuelles atteintes à sa vie privée. Néanmoins, pour importantes qu’elles soient, ces mesures ont été dénoncées comme insuffisantes au regard de cette spécificité de la préparation des actes terroristes qu’est leur caractère occulte.

Le terrorisme met en effet en action des agents susceptibles de se fondre parfaitement au sein de la population jusqu’au jour de commission de l’acte, souvent terriblement meurtrier, avant de disparaître à nouveau, lorsqu’il ne s’agit pas d’un attentat suicide. A cet égard, lors du déclenchement de la procédure judiciaire, il souvent déjà trop tard pour chercher à identifier les responsables, les données pertinentes de connexion existant de facto en amont dans le temps, alors que le terroriste planifiait son crime, ce qui de surcroît rend le cas échéant la prévention d’attentats ultérieurs peu aisée. Par ailleurs, les conséquences mortelles potentielles d’un attentat terroristes, de par leur importance, exigent de conférer aux forces de police et de gendarmerie les moyens d’agir dans l’urgence la plus absolue, pour écarter des soupçons ou vérifier des informations tendant à démontrer l’imminence d’un attentat terroriste. Là encore, la procédure judiciaire, trop lente, ne permettait pas de répondre à cet objectif.

Il fallait donc pouvoir en droit récupérer ces données techniques en amont. C’est dans cette perspective que la loi du 23 janvier 2006 a institué une procédure nouvelle de réquisition administrative.

§II/Une procédure nouvelle de réquisition administrative.

L’article 6 de la loi du 23 janvier 2006 a inséré un article L. 34-1-1 nouveau du Code des postes et des communications électroniques visant à instituer, à côté de l’obligation de transmission des données techniques de connexion par les opérateurs de communications électroniques et les hébergeurs de site Internet dans le cadre de la procédure judiciaire, une procédure de réquisition administrative au profit des services chargés de la lutte contre le terrorisme. Sa visée est exclusivement la prévention du terrorisme.

Originellement, le projet de loi prévoyait que ces mesures de réquisition administratives tendaient également à sa répression. Le rapporteur Jean Patrick Courtois, au nom du risque de confusion avec la procédure judiciaire d’interception, avait préconisé une limitation de ce dispositif à la seule prévention du terrorisme .

Le Conseil constitutionnel par une décision n° 2005-532 DC du 19 janvier 2006 , a considéré qu’était contraire à la Constitution le terme « réprimer » figurant aux deuxièmes alinéas du I et du II de l’article 6 de la loi relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers, au motif que « les réquisitions de données permises par les nouvelles dispositions constituent des mesures de police purement administrative ; qu’elles ne sont pas placées sous la direction ou la surveillance de l’autorité judiciaire, mais relèvent de la seule responsabilité du pouvoir exécutif ; qu’elles ne peuvent donc avoir d’autre finalité que de préserver l’ordre public et de prévenir les infractions ; que, dès lors, en indiquant qu’elles visent non seulement à prévenir les actes de terrorisme, mais encore à les réprimer, le législateur a méconnu le principe de la séparation des pouvoirs ».

Relativement à présent au type de données susceptible de faire l’objet de cette réquisition dans un cadre de police administrative, parmi celles que les opérateurs de communications électroniques (en application de l’article L. 34-1 du Code des postes et des communications électroniques) et les hébergeurs de sites Internet (en application de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique) ont l’obligation de conserver pour une durée maximale d’un an, l’article 34-1-1 du Code des postes et des communications électroniques précise qu’il ne s’agit que des « données techniques relatives à l’identification des numéros d’abonnement ou de connexion à des services de communications électroniques, au recensement de l’ensemble des numéros d’abonnement ou de connexion d’une personne désignée, aux données relatives à la localisation des équipements terminaux utilisés ainsi qu’aux données techniques relatives aux communications d’un abonné portant sur la liste des numéros appelés et appelants, la durée et la date des communications ».

En application de ce texte, les services spécialisés dans la lutte antiterroriste peuvent donc se faire communiquer :

 Pour la téléphonie, l’ensemble des données qui ne concernent pas le contenu même de la communication et qui permettent de déterminer l’identité des personnes contactées par un abonné, la date et la durée des communications ainsi que la localisation de tout possesseur d’un téléphone portable allumé.

 Pour les communications Internet, les « logs de connexion », c’est à dire le numéro IP (internet protocol) attribué à l’utilisateur par le fournisseur d’accès, ainsi que la date et la durée de la communication, à l’exclusion de toute donnée portant sur les sites visités.

 De la part des hébergeurs de sites Internet, toute donnée permettant d’identifier l’éditeur d’un site ainsi que toute personne qui enrichit le contenu d’un site Internet.
Le reste des données techniques que les opérateurs sont tenus de conserver, lesquelles seront définitivement fixées par le biais décret en Conseil d’Etat pris après avis de la CNIL, demeure non communicable dans le cadre de cette procédure. Plus spécifiquement, les données portant sur le contenu des communications ou des sites Internet visités ne sont pas non plus visées. Il est intéressant de noter qu’alors que la liste des données techniques à conserver est définie par le pouvoir réglementaire, celle des données qui pourront être transmises aux services de lutte anti-terroriste se voit précisé dans le cadre d’une disposition législative.

Dans la mesure où l’article 34-1-1 du Code des postes et des communications électroniques institue une réquisition administrative d’un type nouveau, par nature attentatoire aux libertés, il semble préférable qu’il incombe au législateur de déterminer avec précision le champ d’application de cette procédure. En effet, aux termes de l’article 34 de la Constitution du 4 octobre 1958, le législateur fixe les règles concernant les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques.

Afin de faciliter la mise en œuvre de la procédure, l’article 34-1-1 prévoit que « les surcoûts identifiables et spécifiques éventuellement exposés par les opérateurs et personnes mentionnés au premier alinéa pour répondre à ces demandes font l’objet d’une compensation financière » . C’est déjà le cas en matière de réquisition judiciaire, en application de l’article L. 34-1 du Code des postes et des communications électroniques. Ce type de compensation est garanti par la Constitution.

En effet, le Conseil constitutionnel a pu considérer, dans une décision du 28 décembre 2000 , que s’il était loisible au législateur, dans le respect des libertés garanties par la Constitution, d’imposer aux opérateurs de réseaux de télécommunications la mise en place ainsi que la mise en oeuvre des dispositifs techniques justifiés par les nécessités de la sécurité publique, en revanche « le concours ainsi apporté à la sauvegarde de l’ordre public, dans l’intérêt général de la population, est étranger à l’exploitation des réseaux de télécommunications » de sorte que les dépenses en résultant ne sauraient se trouver directement à la charge des opérateurs.

A cet égard, on pourrait estimer utile que le pouvoir réglementaire vienne définir par le biais d’un décret les modalités de compensation des réquisitions judiciaire aussi bien qu’administratives, afin de mettre un terme à la fixation unilatérale par les opérateurs de tarifs par ailleurs excessifs. L’examen de l’exposé des motifs des travaux parlementaires relativement à la loi du 23 janvier 2006 fait apparaître que ces frais doivent s’imputer sur le budget de fonctionnement du service demandeur et non sur les frais de justice.

Enfin, la procédure mise en place par l’article 34-1-1 du Code des postes et des communications électroniques, d’autant plus potentiellement attentatoire à la vie privée qu’elle se situe en dehors de toute procédure judiciaire, se trouve pour cette raison même strictement encadrée, afin de prémunir les citoyens contre l’arbitraire. En effet, le dispositif de l’article 34-1-1 ne crée en aucune façon un droit d’accès souverain des agents de lutte anti-terroriste aux données techniques relatives à l’ensemble de la population française.
Tout d’abord, il ne peut être recouru à l’article 34-1-1 du Code des postes et des communications électroniques qu’afin « de prévenir les actes de terrorisme ».

Nul autre motif ne saurait justifier le recours à ces dispositions. D’autre part, les personnes susceptibles de faire une telle demande sont elles aussi clairement identifiées : il s’agit uniquement « des agents individuellement désignés et dûment habilités des services de police et de gendarmerie nationales spécialement chargés de ces missions » Les agents concernés devront donc appartenir à certains services spécialisés dans la prévention du terrorisme. En outre, au sein de ces services, seuls certains agents nommément désignés auront accès à ces données.

En surplus, les demandes d’interception de données techniques sont en principe dépourvues de tout caractère arbitraire. En effet, l’article L. 34-1-1 alinéa 3 du Code des postes et des communications électroniques prévoit que les « demandes des agents sont motivées ». C’est-à-dire que le législateur exige qu’elles s’inscrivent dans le strict cadre de la prévention du terrorisme. Cette exigence permet d’instituer une véritable responsabilisation les agents de police et de gendarmerie, lesquels sont tenus de justifier les raisons propre à rendre nécessaires du point de vue de la prévention du terrorisme la communication des données techniques relatives à un individu.

En effet, les travaux parlementaires relatifs à la loi du 23 janvier 2006 établissent qu’il a été estimé que ces données seraient centralisées par l’unité de coordination de la lutte anti-terroriste, dans l’objectif de se soumettre à l’obligation d’enregistrement des demandes définie par l’alinéa 3 de l’article L. 34-1-1 du Code des postes et des communications électroniques .

Enfin, l’article L. 34-1-1 met en place deux instances de contrôle, une personnalité qualifiée placée auprès du ministre de l’intérieur, ainsi que la Commission nationale de contrôle des interceptions de sécurité. Le texte dispose donc que : « Les demandes des agents sont…soumises à la décision d’une personnalité qualifiée, placée auprès du ministre de l’intérieur. Cette personnalité est désignée pour une durée de trois ans renouvelable par la Commission nationale de contrôle des interceptions de sécurité sur proposition du ministre de l’intérieur qui lui présente une liste d’au moins trois noms. Des adjoints pouvant la suppléer sont désignés dans les mêmes conditions. La personnalité qualifiée établit un rapport d’activité annuel adressé à la Commission nationale de contrôle des interceptions de sécurité. Les demandes, accompagnées de leur motif, font l’objet d’un enregistrement et sont communiquées à la Commission nationale de contrôle des interceptions de sécurité.

Cette instance peut à tout moment procéder à des contrôles relatifs aux opérations de communication des données techniques. Lorsqu’elle constate un manquement aux règles définies par le présent article ou une atteinte aux droits et libertés, elle saisit le ministre de l’intérieur d’une recommandation. Celui-ci lui fait connaître dans un délai de quinze jours les mesures qu’il a prises pour remédier aux manquements constatés.

Les modalités d’application des dispositions du présent article sont fixées par décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés et de la Commission nationale de contrôle des interceptions de sécurité, qui précise notamment la procédure de suivi des demandes et les conditions et durée de conservation des données transmises ».

Les demandes d’interception de données techniques doivent donc obtenir l’aval d’une personnalité qualifiée, placée auprès du ministre de l’intérieur. Ses caractéristiques en font une instance fiable. Tout d’abord, son mode de désignation par la commission nationale de contrôle des interceptions de sécurité sur proposition du ministère de l’intérieur garantit à la fois une relative indépendance décisionnelle autant que de hautes compétences techniques.
Conformément au projet de loi initial, cette personnalité devait être désignée par le ministre de l’intérieur après avis rendu public de la commission nationale de contrôle des interceptions de sécurité .

Mais ce mode de désignation, jugé insuffisamment garant de l’indépendance de la personnalité qualifiée relativement au pouvoir politique, a été abandonné. Par ailleurs, sa nomination pour une durée de trois ans renouvelable interdit toute révocation durant la totalité de la durée de son mandat. Là encore, cela évite d’éventuelles pressions visant à altérer son indépendance décisionnelle.

Cette personnalité a une importance centrale dans la mesure où lui incombe tant la vérification de la réalité des motivations de chaque demande que la détermination du bilan de l’utilisation de cette procédure par les services compétents dans le cadre d’un rapport annuel. Ces prérogatives excluent tout amateurisme ou dilettantisme. Elles impliquent nécessairement de surcroît que cette personnalité dispose d’une grande expérience en matière de lutte contre le terrorisme. Du reste, une importante familiarité avec les technologies de communication électroniques est tout aussi fondamentale.

On aurait pu envisager de donner à la Commission nationale de contrôle des interceptions de sécurité un rôle plus central, en lui attribuant les compétences conférées à la personnalité qualifiée. Cela aurait été d’autant plus louable que cette dernière dispose tant d’une expérience que d’une indépendance reconnue dans le domaine des interceptions de sécurité.

Cependant, une telle mesure aurait fait surgir deux types de problèmes : des problèmes de logique tout d’abord, en ce sens qu’il n’aurait pas été incohérent de donner à la Commission nationale de contrôle des interceptions de sécurité un pouvoir décisionnel en matière de données de connexion alors que son pouvoir est simplement consultatif dans le domaine, beaucoup plus sensible celui-là, des écoutes téléphoniques.
Des problèmes d’ordre pratique d’autre part, dans la mesure où le dispositif de réquisition administrative tend à confier aux services de lutte anti-terroriste des données susceptibles d’autoriser une action rapide dans le cadre d’une situation urgente. A ce titre, la procédure doit donc pouvoir être mise en œuvre sans délai. Or, une telle réactivité ne saurait être exigée de la part d’une autorité administrative indépendante.

Cela étant, la Commission nationale de contrôle des interceptions de sécurité est entièrement associée au contrôle des réquisitions de données techniques. Elle est à ce titre destinataire du rapport annuel établi par la personnalité qualifiée, et occupe une place centrale au sein du dispositif de contrôle des réquisitions administratives effectuées.

Ce contrôle, a posteriori, n’a rien d’une évaluation formelle et sans incidence. En effet, la Commission nationale de contrôle des interceptions de sécurité se fait transmettre l’ensemble des demandes de réquisition de données techniques, accompagnées de leurs motivations, afin de constater d’éventuels manquements à la loi, lesquels peuvent notamment consister en une motivation insuffisante ou l’utilisation d’une réquisition en dehors du cadre de la prévention du terrorisme, voire en des atteintes aux droits et libertés. Dans une telle situation, elle saisit le ministre de l’intérieur d’une recommandation. Ce dernier dispose de quinze jours pour lui faire connaître les mesures qu’il a prises pour remédier aux manquements constatés.

En pratique, ces compétences que la loi confie dorénavant à la Commission nationale de contrôle des interceptions de sécurité impliquent une réorganisation de cette instance afin de lui permettre de mettre en oeuvre correctement ses prérogatives de contrôle. En effet a Commission nationale de contrôle des interceptions de sécurité est une structure de faible taille. Son collège est ainsi constitué d’un président et de deux parlementaires, lesquels reçoivent l’appui de deux magistrats et deux autres collaborateurs.

Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés et de la Commission nationale de contrôle des interceptions de sécurité, viendra notamment préciser la procédure de suivi des demandes et les conditions et durée de conservation des données transmises.

Serge Losappio

Mail