Interception des communications: un rapport préconise des sanctions dissuasives contre les fournisseurs qui ne coopèrent pas avec les autorités

Les avancées technologiques permettent aux criminels d’échapper à la détection en utilisant des appareils cryptés, des réseaux décentralisés et des outils d’anonymisation. Ces développements ont conduit à un écart entre les capacités des forces de l’ordre et les activités criminelles, ce qui nécessite des efforts coordonnés pour adapter les outils et les cadres à l’ère numérique.
Le rapport d'un Groupe à Haut niveau souligne la nécessité d'un cadre juridique européen harmonisé pour l'accès légal aux données. Ce cadre engloberait la conservation des métadonnées, l'interception légale des communications et l'accès aux données sur les appareils saisis.
L'accent est mis sur la coopération entre les États membres, les institutions européennes et les fournisseurs de services de communication, afin de trouver un équilibre entre la sécurité publique et la protection des droits fondamentaux, notamment la vie privée et la protection des données.

Quel est le problème ?

• Des lacunes juridiques et réglementaires: Absence de règles harmonisées sur la conservation des données: L'annulation de la directive européenne sur la conservation des données a créé un paysage fragmenté où les États membres appliquent des règles différentes, voire aucune règle, en matière de conservation des données pour les services de police. Cette situation entrave les enquêtes transfrontalières et crée des incertitudes pour les fournisseurs de services de communications.
• Difficultés d'application aux services OTT: Les services OTT (Over-The-Top), tels que WhatsApp, Telegram ou Signal, présentent des défis supplémentaires car ils sont souvent basés en dehors de l'UE et ne se considèrent pas soumis aux mêmes obligations que les opérateurs de télécommunications traditionnels.  Plus exactement, ces services OTT désignent les applications et services qui fournissent des services de communication et de médias (tels que la messagerie et les appels vocaux et vidéo) sur Internet sans l’intervention ou le contrôle des fournisseurs de services de télécommunication traditionnels (opérateurs de télécommunications).
• Incertitudes juridiques concernant l'interception légale: L'application de l'interception légale aux services OTT n'est pas claire dans tous les États membres, et les fournisseurs de services OTT n'ont souvent pas mis en place les mécanismes techniques pour répondre aux demandes d'interception légale.
• Difficultés de coopération avec les entreprises: L'absence de cadre juridique clair et les craintes de réactions négatives de la part des utilisateurs rendent les entreprises réticentes à coopérer avec les services de police.
• Complexité des demandes transfrontalières: Les procédures de coopération judiciaire internationale, telles que l'entraide judiciaire, peuvent être lentes et complexes, ce qui les rend inadaptées aux enquêtes nécessitant une interception rapide des données.

Quels sont les défis technologiques?

• Chiffrement de bout en bout: Le chiffrement de bout en bout, de plus en plus répandu, rend l'accès aux données de communication extrêmement difficile, voire impossible, pour les services de police, même avec une autorisation judiciaire.
• Évolution rapide des technologies: L'apparition constante de nouvelles technologies et de nouveaux services, tels que la 5G, l'IoT ou les communications par satellite, complexifie l'interception légale et la criminalistique numérique.
• Difficultés d'accès aux appareils saisis: Le chiffrement des appareils et l'utilisation de mots de passe complexes rendent difficile, voire impossible, l'extraction des données pour les enquêteurs. 
• Capacités limitées en criminalistique numérique: Les services de police manquent souvent des compétences, des outils et des ressources financières nécessaires pour faire face aux défis de la criminalistique numérique.

Quelles sont les solutions proposées en matière de police scientifique?

Le rapport émet les recommandations suivantes:

• Renforcement des capacités : mutualisation des ressources techniques et financières des États membres de l’UE afin d’améliorer les capacités de criminalistique.
• Normes et certification : élaboration de normes à l’échelle de l’UE pour les outils de criminalistique numérique et d’un système de certification pour les praticiens.
• Coopération renforcée : facilitation des échanges d’expertise et d’outils, soutenus par des plateformes telles que le laboratoire d’innovation d’Europol et la plateforme de décryptage d’Europol.
• Investissement dans la formation : élargissement des possibilités de formation pour les premiers intervenants et les enquêteurs, en mettant l’accent sur le décryptage et l’analyse des preuves.

Quelles sont les solutions proposées en matière de conservation des données?

Le rapport recommande de :

• Établir des cadres de conservation des données harmonisés au niveau de l’UE, conformes aux lois sur la protection de la vie privée.
• Promouvoir la coopération entre les services répressifs et les fournisseurs de services de communication pour conserver et accéder efficacement aux métadonnées pertinentes.
• Tirer parti du nouveau cadre de l'UE en matière de preuves électroniques pour compléter les obligations de conservation des données.

Le rapport souligne l'importance d'établir des durées minimales de conservation pour chaque catégorie de métadonnées, en tenant compte de leur importance pour les enquêtes et du niveau d'intrusion dans la vie privée.
Le rapport recommande de catégoriser les métadonnées en fonction de leur utilité pour les enquêtes. Il s'agirait de distinguer les données permettant d'identifier un individu (données d'abonné, adresse IP), de le localiser (données de localisation), et d'établir ou d'évaluer son activité en ligne (données de trafic).


Quelles sont les solutions proposées en matière d’interception des communications?

Le rapport émet les recommandations suivantes:

• Critères de proportionnalité: L'accès aux données conservées devrait être soumis à des conditions strictes, variant en fonction de la catégorie de données, du type d'infraction et du niveau de menace pour les victimes Cette approche vise à garantir un équilibre entre la nécessité des enquêtes et la protection de la vie privée.
• Accès pour les infractions commises en ligne: Le rapport propose d'envisager des règles spécifiques pour l'accès aux données dans le cadre d'enquêtes sur des infractions commises exclusivement en ligne, où les preuves numériques sont souvent les seules disponibles.
• Autorisation judiciaire: L'accès aux données devrait être subordonné à une autorisation judiciaire préalable, sauf dans des cas exceptionnels et dûment justifiés.
• Coopération renforcée: La coopération entre les autorités nationales, les institutions européennes (Europol, Eurojust, etc.) et les fournisseurs de services est essentielle pour garantir l'efficacité des enquêtes. Cette coopération devrait inclure l'échange d'informations, le partage de bonnes pratiques et la mise en place de points de contact dédiés.

Il recommande également:

• Transparence des fournisseurs de services: Les fournisseurs de services de communication devraient être plus transparents sur les types de données qu'ils collectent, traitent et conservent, afin de permettre aux autorités de formuler des demandes d'accès précises et ciblées.
• Accès légal aux données cryptées: Les experts soulignent la nécessité de trouver des solutions qui ne compromettent pas la sécurité des communications ni les droits fondamentaux des citoyens. La recherche et le développement de solutions techniques innovantes sont encouragés.
• Sanctions contre les fournisseurs non coopératifs: Le rapport insiste sur la nécessité d'établir un système de sanctions dissuasives à l'encontre des fournisseurs qui ne coopèrent pas avec les autorités, notamment en matière de conservation et de fourniture de données. Ces sanctions pourraient prendre la forme de limitations de l'accès au marché européen ou de sanctions administratives.

Quelles sont les prochaines étapes ?

• Les experts recommandent à la Commission européenne de mener une évaluation d'impact approfondie pour examiner les différentes options d'harmonisation de la conservation des données.
• Sur la base de cette évaluation d'impact, la Commission devrait élaborer une proposition législative visant à mettre en place un cadre européen harmonisé.

synthèse et traduction du rapport par Pierre Berthelet alias securiteinterieure.fr

• Rapport d'un groupe à Haut niveau
  

A lire sur securiteinterieure.fr  : 

• Cybercriminalité : vers une nouvelle législation européenne sur l’accès et la conservation des données aux fins d’enquête