Des policiers qui débarquent, sans mandat d’un juge d’instruction, dans une des boutiques d’un opérateur de téléphonie mobile pour réclamer séance tenante l’accès au dossier d’un client pour « remonter » ses communications jusqu’à un an. Ce n’est pas de la science-fiction ni une caricature, mais une scène de la vie (presque) quotidienne des vendeurs de téléphones, souvent mal « briefés » par leur entreprise sur la marche à suivre pour coopérer avec la justice et les forces de l’ordre. Ces intrusions policières seront désormais mieux encadrées, après la transposition de la directive 2006/24/CE sur la conservation des données générées ou traitées dans le cadre de la fourniture de services de communications électroniques. Le texte est sur le métier.
François Biltgen, le ministre CSV des Communications et des Médias, a déposé en février dernier un projet de loi d’à peine neuf pages pour transposer cette directive et modifier le régime mis en place en 2005 (loi du 30 mai 2005) où la rétention de données n’était pas encore obligatoire, ce qu’elle est devenue avec la directive de 2006. Le manque de clarté du texte luxembourgeois actuel (un règlement grand-ducal qui devait préciser les modalités d’incursion policière dans les données stockées pendant un an n’est jamais intervenu) ouvre grand les portes de l’arrière-boutique (dans le jargon, on parle de « frigo ») des opérateurs aux forces de l’ordre qui ne se privent pas de s’en servir pour bétonner des dossiers répressifs, voire même en construire.
Il sera bientôt exclu d’aller à la pioche pour toutes les infractions pénales comme c’est le cas aujourd’hui. Seules les infractions « graves » (c’est-à-dire celles qui « emportent une peine criminelle ou une peine correctionnelle dont le maximum est égal ou supérieur à un an d’emprisonnement » donneront accés aux stocks de données des opérateurs. Plutôt que de définir une liste positive des infractions graves, François Biltgen a préféré retenir le critère du seuil de peine, plus aléatoire.
Le ministre doit s’attendre à un examen critique de la part de la Commission nationale de la protection des données (CNPD), qui devrait rendre son avis, d’ici à la fin du mois d’avril.
Si personne ne devrait s’opposer par principe à la sauvegarde des données, la réforme exige tout de même un dosage équilibré entre l’efficacité de la lutte contre la grande criminalité et la protection de la vie privée des citoyens, l’autorisation donnée à la justice de fouiller dans les listes des opérateurs étant considérée comme une « grave » entorse aux garanties qui sont inscrites dans la Constitution. Pour autant, la lutte contre la criminalité pourrait commencer par exiger une carte d’identité des clients lors de l’achat de cartes prépayées pour les télécommunications mobiles. Le Luxembourg est l’un des derniers sanctuaires en Europe où la production de documents d’identité est seulement nécessaire pour les contrats de vente d’abonnements. Les délinquants de la planète connaissent donc les ficelles : pour ne pas se faire repérer, ils achètent de manière anonyme des prépayées luxembourgeoises, n’hésitant pas à « recharger » leurs cartes, parfois à coup de dizaines de milliers d’euros.
Le projet de réforme va ramener d’un an à six mois la durée maximale de stockage des données des clients, délai désormais conforme à la loi du 27 juillet 2007 sur la protection des données nominatives.
Les services de François Biltgen ont écrit le projet de loi quelques semaines après que la Cour constitutionnelle allemande (4 mars dernier) ait donné une suite favorable à la plainte déposée par quelque 35 000 personnes et annulé la loi transposant la directive de 2006. Les juges ont considéré inconstitutionnel le stockage des données en Allemagne (insuffisamment protégées) et demandé que les données actuellement stockées soient effacées.
Dans un entretien à La Voix, le ministre des Communications a dit ne rien avoir à craindre, le Luxembourg ayant respecté « presque à la lettre » le texte de la directive, alors que les Allemands avaient été plus loin. Ces précautions ne mettent toutefois pas le projet de loi à l’abri de la critique. La CNPD devrait le rappeler bientôt dans son avis.
Sans préjuger du contenu de son avis, les membres de la commission vont probablement très largement s’inspirer des travaux du Groupe de l’article 29, un groupe de travail européen – dont la CNPD fait partie – sur la protection des personnes à l’égard du traitement des données à caractère personnel qui avait sévèrement jugé le contenu de la directive de 2006.
Les données des clients mises au « frigo » doivent offrir des garanties de sécurité qui ne sont pas inscrites dans le projet de loi de François Biltgen. Le Groupe de l’article 29 exige par exemple la mise en place de normes minimales de sécurité organisationnelles et techniques de la part des fournisseurs de télécom pour la conservation des données, notamment une séparation des systèmes de stockage de données à des fins commerciales (comme la facturation) des systèmes « à des fins d’ordre public ». Les données sensibles du frigo devraient ainsi faire l’objet d’un encryptage, leur accès clairement délimité, tant pour le personnel des opérateurs que pour les services répressifs. La solution idéale étant que toute extraction des données soit enregistrée et les enregistrements transmis à l’autorité de contrôle pour assurer une surveillance effective de l’usage qui sera fait des « explorations » policières.
Des précautions d’autant plus nécessaires que le projet de loi autorisera encore aux forces de l’ordre un accès direct et sans mandat d’un juge aux données des opérateurs dans le cadre du flagrant délit (lorsque les délits présumés ont moins de 24 heures). Or, l’accès aux données devrait être « dûment autorisé, au cas par cas par une autorité judiciaire et soumis à une surveillance indépendante ».
Le texte de François Biltgen ne contient pas non plus de dispositions suffisamment claires sur ce que le Groupe de l’article 29 appelle « l’exploration des données » : « la recherche, la détection et la poursuite des infractions ne devraient pas donner lieu à l’exploration à grande échelle des données conservées pour ce qui a trait aux habitudes de déplacement et de communication des personnes qui ne sont pas soupçonnées par les services répressifs », note le groupe de travail. En clair, la police ne pourra pas « monter » un dossier en allant s’approvisionner à bon compte dans les stocks des fournisseurs de services de télécommunications.
Le projet de loi comporte une énigme que les travaux parlementai-res devraient contribuer à éclaircir. Pourquoi en effet le ministre des Communications et des médias évoque-t-il la possibilité pour les opérateurs de télécommunications de sous-traiter le stockage de données à un tiers, alors que les entreprises luxembourgeoises exploitent leurs propres « frigo » sans avoir recours à des prestataires extérieurs ?
Cette possibilité augure-t-elle des intentions du gouvernement d’instituer au grand-duché un « frigo » unique et central sur le modèle néerlandais ? Ce regroupement ferait du sens dans un pays de la taille du grand-duché. Au-delà des enjeux économiques, le modèle n’offre pas que des avantages en termes de garanties de protection. Si la centralisation devrait permettre une uniformisation des mesures de sécurité, la concentration des données de communications dans un seul fichier donnerait aussi à la police des pouvoirs difficilement contrôlables en pratique. Ce ne serait pas très bon pour le moral des citoyens d’un pays qui est prêt à se battre pour préserver son secret bancaire.