Photo issue du site de l'Assemblée nationale ou de Wikipedia

Alain Tourret
Question N° 28378 au Ministère de la justice


Question soumise le 4 juin 2013

M. Alain Tourret interroge Mme la garde des sceaux, ministre de la justice, sur la prochaine mise en service de la Plateforme nationale des interceptions judiciaires (PNIJ), projet piloté par la Délégation aux interceptions judiciaires (DIJ) et dont la réalisation a été confiée à Thales en 2010. Ce système d'interception, d'écoute, d'identification, de géolocalisation, de stockage des échanges téléphoniques ou électroniques permettra de traiter en un lieu unique (à Elancourt, dans les Yvelines) la masse annuelle des 5 millions de réquisitions judiciaires et 40 000 écoutes autorisées par les juges. Beaucoup vanteront la prouesse technique, insisteront sur les avantages d'un centre unique dans lequel ils voient la promesse d'une efficacité accrue de nos services de police, de gendarmerie ou de douanes dans la lutte contre la délinquance et la criminalité. D'autres verront dans la réalisation d'une structure unique un moyen de maîtriser la progression des frais de justice. Législateur et juriste, défenseur des droits de l'Homme et des libertés, il ne peut pour sa part taire un certain trouble, des interrogations, des craintes même, alimentées par la lecture des informations distillées par la presse ces derniers mois. Ce dossier sensible puisque couvert par la classification « confidentiel défense » suscite en effet bien des réserves exprimées par les spécialistes, les organisations professionnelles de policiers et de magistrats. De Wikileaks aux affaires de « fadettes », les exemples ne manquent pas pour démontrer que l'inviolabilité des systèmes de stockage ou de transmission de l'information n'existe pas. Des procédures de contrôles et de sécurité sont fréquemment contournées ; les systèmes informatiques les mieux protégés sont victimes d'intrusions ou de tentatives d'intrusions ; des données sensibles, confidentielles, stratégiques ou touchant à la vie privée des citoyens circulent en nombre toujours croissant sur le net sans qu'il soit toujours possible d'y faire obstacle. Les interrogations qui suivent portent donc sur la dérive financière du projet PNIJ, mais aussi sur les garanties de sécurité, d'inviolabilité, de confidentialité apportées par Thales et sur les moyens de contrôle mis en place par l'État qui a choisi de déléguer à une entreprise privée l'une de ses fonctions régaliennes. Selon les informations recueillies, le projet dont le coût était estimé à 17 millions d'euros approcherait désormais les 47 millions d'euros, auquel il conviendra d'ajouter une cinquantaine d'autres millions pour couvrir des dépenses qui n'avaient apparemment pas été prévues (indemnisation des fournisseurs d'accès internet qui ont dû déployer leur réseau de fibre optique jusqu'à Elancourt, redimensionnement des réseaux et équipement des centres de la police judiciaire, de la gendarmerie et des douanes, etc.). Cette dérive financière est-elle exacte ? Comment est-elle justifiée par les responsables de ce projet ? Les prestataires qui travaillent actuellement avec l'État sur ces dossiers d'interceptions et d'écoutes ont saisi le tribunal administratif de Paris pour contester l'attribution du marché à Thales. Les demandeurs n'auraient pu prendre directement connaissance du dossier d'appel d'offres du fait de son classement « confidentiel défense ». Le tribunal administratif a annulé l'appel d'offres. Quelles sont les conséquences juridiques et économiques de cette décision ? Est-il exact que l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a émis des réserves sur l'infogérance et l'hébergement de la PNIJ par Thales ? Et si c'est le cas, quel cas a-t-il été fait de ces réserves ? - Les spécialistes de la cyber sécurité émettent des craintes fondées sur la fragilité d'un système centralisé constituant une cible de choix pour les groupes criminels et les hackers. Ces craintes sont d'autant plus vives que la « redondance de sécurité » serait installée sur le même site, à 300 mètres seulement de la plateforme. Quelles sont les réponses apportées par Thales à ces craintes notamment exprimées, dès 2011, par le directeur national de la Police nationale ? La technologie DPI (Deep Packet Inspection) permettant de gérer les trafics de communications numériques et d'en scruter les caractéristiques est-elle utilisée par Thales dans le cadre de ce projet, comme l'avancent certains spécialistes ? Quelles sont les mesures prises pour empêcher les « écoutes-taxis » qui ont malheureusement été pratiquées dans le passé ? Quand et comment sera constitué le comité de contrôle de six sages qui doit permettre d'apporter aux citoyens toutes les garanties d'encadrement, de respect des procédures, de confidentialité des demandes et des données recueillies ? Il lui demande aussi de quels moyens disposera ce comité pour exercer sa mission.

Réponse émise le 25 mars 2014

La réalisation de la plate-forme nationale des interceptions judiciaires (PNIJ) centralisant l'ensemble des réquisitions judiciaires adressées aux opérateurs de communications électroniques constitue non seulement une augmentation des capacités offertes aux services de police, de gendarmerie et de la douane judiciaire dans la lutte contre la délinquance et la criminalité tout en permettant de limiter significativement l'accroissement constant des frais de justice en la matière, mais également et surtout un moyen de renforcer les pouvoirs de contrôle des magistrats garants du respect des libertés individuelles. Comme l'a souligné la Commission nationale de l'informatique et des libertés dans sa délibération du 16 janvier 2014 portant avis sur un projet de décret autorisant la mise en oeuvre d'un traitement de données à caractère personnel dénommé plate-forme nationale des interceptions judiciaires, « les dispositifs actuels d'interception des communications électroniques et de réquisitions de données de connexion reposent sur un système hétérogène et décentralisé qui fait appel à plusieurs prestataires privés et présente des inconvénients majeurs. En effet, les fonctions et les outils de réquisition et d'interception sont variables et coûteux, et les mesures de sécurité et de traçabilité mises en oeuvre ne sont pas satisfaisantes ». Cette situation ne permet pas aux magistrats d'exercer pleinement leur mission de direction et de contrôle de la police judiciaire dans le cadre des interceptions de communications électroniques qu'ils autorisent et dont l'exécution est déléguée aux officiers de police judiciaire. En replaçant les juges d'instruction et les juges des libertés et de la détention au coeur de l'organisation de la nouvelle plate-forme nationale, en leur permettant notamment d'avoir un accès informatique direct à l'ensemble des procédures diligentées sous leur autorité, d'être informés dès lors que des réquisitions d'interception de communications ont été prise en leur nom, le ministère de la justice renforce les pouvoirs de contrôle des magistrats limitant ainsi les risques d'atteinte aux libertés individuelles, notamment « d'écoutes taxi ». Il convient enfin de souligner que toutes les actions des utilisateurs de la PNIJ seront tracées, ces traces, auditables, étant conservées pendant cinq ans. La CNIL a souligné ces avancées en terme de libertés individuelles en estimant que les finalités de la PNIJ sont « déterminées, explicites et légitimes ». Elle a relevé que « la centralisation projetée dans le cadre de la PNIJ permettra par ailleurs au ministère de la justice de mieux maîtriser ces actes d'enquêtes et, par conséquent, de mieux garantir la régularité des procédures concernées et de mieux gérer la facturation des actes requis ». Conformément au projet de décret qui sera prochainement soumis au Conseil d'Etat, la PNIJ mettra à disposition des magistrats et officiers de police judiciaire les données et informations correspondant aux communications électroniques interceptées, aux géolocalisations des terminaux de communication et aux données et informations communiquées en application des articles 60-2, 77-1-2 et 99-4 du code de procédure pénale et des articles R.10-13 et R.10-14 du code des postes et des communications électroniques et du décret n° 2011-219 du 25 février 2011. Contrairement à ce qui a pu être avancé par certaines personnes, la PNIJ n'a pas recours à la technologie DPI (Deep Packet Inspection) pour réaliser les interceptions. Le ministère de la justice a associé, dès l'origine, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) aux travaux de réalisation de la PNIJ menés par la société Thalès. Il s'agit d'une situation inédite que le ministère de la justice a tenu à mettre en place compte tenu des enjeux de sécurité entourant la PNIJ. Le courrier du directeur général de la police nationale s'inscrit pleinement dans les actions que le ministère de la justice a mené avec l'ANSSI et la société Thalès pour garantir la sécurité physique, informatique et logique de la PNIJ et des données chiffrées qu'elle contient. En complément des tests de sécurité et d'intrusion que Thalès a réalisé suivant des processus industriels exigeants, l'ANSSI a conduit des audits externes de sécurité dont les résultats ne sont pas de nature à faire obstacle à une décision d'homologation de sécurité que le ministère de la justice sera amené à prendre préalablement à la mise en service de la PNIJ. S'agissant des aspects financiers de ce projet, il convient de préciser que les estimations à hauteur de 17 millions d'euros faites en 2007 se fondaient sur une expression des besoins très générale ne permettant pas de prendre en compte tous les aspects techniques, fonctionnels et de sécurité du projet. En 2009, les montants du marché ont été fixés sur la base d'un cahier des charges plus précis. Le coût de réalisation de la PNIJ sera d'environ 42 millions d'euros, ce montant prenant en compte le coût de l'hébergement et de l'infogérance sur la durée du contrat. Par ailleurs, la réalisation et la mise en oeuvre de la PNIJ ont fait l'objet d'un protocole signé en 2010 entre le ministère de la justice et le ministère de l'intérieur. Cet accord prévoit que les éventuels impacts de cette plate-forme sur les réseaux et équipements du ministère de l'intérieur seront pris en charge par ce ministère. Par ailleurs, une procédure contentieuse a été initiée par deux sociétés prestataires de moyens d'interception. Par jugement du 9 novembre 2011, le tribunal administratif de Paris a rejeté la demande d'annulation du contrat présentée par ces sociétés considérant « qu'eu égard à l'objet du marché, aux conditions de sa passation et de son exécution, l'annulation du contrat porterait une atteinte excessive à l'intérêt général, ..., qu'il appartient seulement aux sociétés requérantes, si elles s'y croient fondées, de solliciter d'indemnisation du préjudice éventuellement subi du fait de leur éviction irrégulière. Ces sociétés ayant relevé appel de ce jugement, la procédure est pendante devant la cour administrative d'appel de Paris. Enfin, s'agissant du contrôle de la PNIJ, la garde des sceaux a souhaité que soit créé un comité de contrôle chargé de veiller au respect des finalités de la PNIJ. Il sera ainsi chargé de contrôler le respect par les agents du ministère de la justice et de la société Thalès des procédures liées à la mise en oeuvre fonctionnelle et technique de la PNIJ. Il aura enfin la charge de contrôler les évolutions techniques et capacitaires de la PNIJ au regard des évolutions technologiques et juridiques. Ce comité, présidé par un magistrat du siège honoraire de la Cour de cassation, sera composé d'un sénateur, d'un député, d'une personnalité qualifiée représentant la société civile, d'une personnalité qualifiée proposée par le ministre en charge des communications électroniques et une personnalité proposée par le ministre de l'intérieur. Ces personnes seront nommées par arrêté et prendront leurs fonctions dès la mise en service de la PNIJ. Ce comité disposera de tous les moyens nécessaires pour mener à bien sa mission, notamment un accès permanent aux lieux d'implantation de la PNIJ ainsi que la possibilité d'ordonner toute mesure nécessaire à l'exercice de son contrôle. Un rapport annuel sera adressé au garde des sceaux, ministre de la justice et à la Commission nationale de l'informatique et des libertés.

Aucun commentaire n'a encore été formulé sur cette question.

Inscription
ou
Connexion