L'enjeu
sécuritaire : un danger pour les libertés individuelles
? Un équilibre difficile et fragile doit être trouvé entre l'exigence sécuritaire, qui correspond à la fois à l'intérêt général et à la protection d'intérêts particuliers, et la défense des libertés individuelles.
Les délits commis via le système d'information génèrent des pertes importantes pour les entreprises. Il s'agit évidemment de préjudices à l'égard de personnes morales de droit privé mais aussi d'une atteinte au patrimoine économique et scientifique des pays. Parmi ces délits, figurent l'accès illicite à un système informatique, le maintien frauduleux dans les systèmes informatiques. C'est néanmoins la contrefaçon qui induit les plus lourdes pertes. Les statistiques dans ce domaine ne sont pas fiables parce que certaines sociétés commerciales préfèrent ne pas déclarer qu'elles ont été victimes de contrefaçon : la preuve est difficile en justice, et la contrefaçon porte atteinte à l'image de l'entreprise victime. Enfin, certains Etats ne respectent pas le droit d'auteur. Ce fut longtemps le cas de la Chine, jusqu'à son adhésion à l'OMC. Internet est un terrain privilégié pour la contrefaçon ; il est évident que la commission d'une contrefaçon sur Internet est encore plus difficile à déterminer que la traditionnelle contrefaçon de logiciel. Une conscience générale des dangers (non-sécurité) concerne les sujets de droit : Etats, sociétés commerciales, voire personnes publiques. Des discussions ont eu lieu dans le G7 et dans le G8. Les diverses personnes morales savent que la société de l'information est une opportunité économique et sociale, mais qu'elle engendre aussi des dysfonctionnements par rapport à l'état antérieur du droit. Le droit a été investi d'une mission, sinon impossible, du moins difficile : trouver les solutions appropriées pour garantir une sécurité relative aux différents acteurs. Il était relativement préparé à relever cette gageure, car depuis que les technologies de l'information et des communications se sont développées, le droit, en général, et les divers droits se sont vu confier l'adaptation à la nouvelle situation. Le droit n'est pas conservateur, comme cela s'est souvent produit, mais en position de pionnier : il doit accompagner les étapes successives du développement de la société de l'information.
Au niveau régional, la directive européenne du 12 juillet 2002 sur la protection des données personnelles et les communications électroniques insiste sur la sécurité, comme l'avaient ait auparavant la directive de 1995 et celle de 1997. Les données relatives au trafic doivent en principe être effacées ou rendues anonymes quand elles ne sont plus nécessaires à la transmission d'une communication. Cependant, les données relatives au trafic peuvent être traitées lorsqu'il s'agit d'établir les factures des abonnés. Surtout, des données peuvent être conservées pour une durée déterminée afin de garantir la sûreté de l'Etat, la défense, ou assurer la prévention, la poursuite d'infractions pénales. Au niveau national, des lois relatives à la sécurité et englobant diverses dispositions sur la sécurité dans la société de l'information sont adoptées pendant l'automne 2001 et en 2002 : entrée en vigueur du RIPA et adoption de l'Anti-Terrorism, Crime and Security Act en Grande-Bretagne, Patriot Act aux USA, LSQ, LOPSI, loi sur la sécurité intérieure en France. Le RIPA - Regulation of Investigatory Powers Act, a été adopté en juillet 2000, et est entré en vigueur à partir du 1er août 2002. Il permet de conserver des données de connexion pendant un délai qui excède les besoins de la facturation. L'Anti-Terrorism Crime and Security Act permet également de retenir des données de connexion mais uniquement si elles sont nécessaires à des enquêtes impliquant la sécurité nationale. Le Patriot Act américain réagit aux attentats du 11 septembre 2001 et apporte des modifications aux textes antérieurs. Le terrorisme international englobait les actes violents en mesure de mettre en danger la vie d'une personne physique, les actes d'intimidation ayant pour but de menacer un gouvernement ou la population civile par le meurtre, l'enlèvement, le détournement. La définition du terrorisme est élargie. Surtout, pour combattre le terrorisme, les moyens légaux sont étendus. La loi FISA (Foreign Intelligence Surveillance Act) est modifiée par le Patriot Act. En matière d'interceptions, les demandes d'autorisation étaient soumises à l'agrément de l'Attorney General et à l'appréciation d'une FISA Court. Avec le Patriot Act, les interceptions deviennent plus faciles et l'autorisation d'une FISA Court n'est plus toujours nécessaire. De fait, depuis le Patriot Act, le nombre des interceptions a considérablement augmenté. En France, la Loi sur la sécurité quotidienne (LSQ) du 15 novembre 2001 s'inspire assez largement du projet de loi sur la société de l'information présenté par le gouvernement Jospin, à présent abandonné, et met en place diverses mesures qui garantissent notamment la sécurité dans le domaine des technologies de l'information. En principe, les opérateurs de télécommunications sont tenus de procéder à une " anonymisation " des données dès qu'une communication est achevée. Pour les besoins de la recherche, de la constatation, de la poursuite des infractions pénales, sur demande d'une autorité judiciaire, l'anonymisation peut être reportée d'un an. Sur ce point, la loi sera sans doute modifiée puisque la Convention sur la cybercriminalité prévoit un délai inférieur (de 90 jours). Les données peuvent être stockées pour les besoins de la facturation et du paiement jusqu'à la fin de la période au cours de laquelle la facture peut être contestée. La loi impose également la mise au clair de données cryptées au cours d'une instruction. Les personnes qui fournissent des prestations de cryptologie visant à assurer une fonction de confidentialité remettent aux agents autorisés les conventions permettant le déchiffrement. En cas de non-respect de ces disposi-tions, des sanctions pénales sont encourues. La Loi d'orientation et de programmation sur la sécurité intérieure (LOPSI) complète la LSQ. Elle a été adoptée le 31 juillet 2002 et promulguée le 9 septembre 2002 ; la LOPSI n'est pas un texte technique, mais comme son nom l'indique, une loi d'orientation et de programmation dans un domaine, celui de la sécurité, qui relève du domaine législatif. Des actes réglementaires, des décrets sont appelés à voir le jour dans les mois qui suivent. Par ailleurs, un projet de Loi sur la sécurité intérieure a été présenté au Conseil des ministres fin 2002. En annexe du projet de LOPSI, le gouvernement établit l'inventaire des innovations à mener. Pour faciliter le travail des enquêteurs, des données de connexion pourront être stockées sans passer par l'intermédiaire des opérateurs de télécommunications ou des fournisseurs d'accès. Le Ministère de l'intérieur a considéré qu'un certain nombre d'enquêtes judiciaires sont ralenties, sinon paralysées par l'incapacité des institutions à réagir dans un délai raisonnable. C'est pourquoi les officiers de police judiciaire seront autorisés, par un magistrat juge d'instruction, à accéder à des fichiers informatiques et à saisir les renseignements qui paraîtraient nécessaires à la manifestation de la vérité. Ils ne seront plus obligés d'avoir recours aux services des opérateurs et des fournisseurs d'accès. Cette mesure permet non seulement de réaliser un gain de temps mais aussi d'économiser la compensation financière due aux intermédiaires techniques, perçue comme insuffisante par les opérateurs, et trop lourde par les autorités ministérielles. Dans la loi sur la sécurité intérieure, il est permis d'utiliser des fichiers de police judiciaire à des fins d'enquêtes administratives. Cet ensemble de mesures, cohérentes bien que d'origine diverse, renforcent la sécurité et octroient davantage de pouvoirs aux officiers de police.
Au niveau régional, la directive européenne du 12 juillet 2002 prévoit que les Etats membres puissent déroger à des dispositions protectrices en matière de protection des données pour sauvegarder la sécurité nationale, la défense, pour assurer la recherche et la poursuite d'infractions pénales. Dans ce contexte, les Etats peuvent notamment conserver des données pour une durée déterminée. La directive souligne dans le deuxième considérant qu'elle observe la charte des droits fondamentaux de l'Union européenne. Dans la mesure où les dérogations prévues pour préserver la sécurité publique seraient nombreuses, cette tendance pourrait compromettre les libertés individuelles telles qu'elles ont été proclamées par cette charte.
En Grande Bretagne, l'Information Commissioner, qui dirige l'autorité de contrôle britannique sur la protection des données informatiques met en cause la légalité de plusieurs dispositions du RIPA, en se fondant sur le Human Rights Act. Le RIPA régit les conditions d'accès des forces de l'ordre et de la justice aux traces de connexion des abonnés stockées chez les opérateurs. Ces informations sont susceptibles de dresser un profil des personnes physiques. Par ailleurs, il existe une contradiction entre le RIPA et l'Anti-Terrorism, Crime and Security Act. En effet, cette loi anti-terroriste stipule que les données de connexion peuvent être stockées pendant un délai supérieur aux besoins de la facturation seulement si elles sont indispensables à des enquêtes impliquant la sécurité nationale. Or, le RIPA permet à certaines institutions, sans mandat judiciaire, d'accéder à ces données même si elles ne concernent pas la sécurité nationale. En juin 2002, le Ministère de l'intérieur entendait amender le RIPA en permettant à un plus grand nombre d'autorités administratives de parvenir aux données. Les associations des droits de l'homme, de nombreux juristes ont protesté. Une consultation publique a été ouverte. Le Patriot Act, aux USA, est également critiqué par des juristes et par des associations de défense des droits de l'homme pour les atteintes qui seraient portées aux libertés individuelles. Ainsi, l'ACLU, (American Civil Liberties Union) procède à une analyse critique de la loi. Dans le secteur des usages des technologies de l'information, l'ACLU insiste sur les facilités accordées aux autorités en matière d'interceptions et sur les menaces contre les droits civiques. En France, la LSQ et la LOPSI, qui ont été adoptées par la très grande majorité des députés et des sénateurs, ont rencontré l'assentiment de la classe politique. Quand la LOPSI a été déposée en juillet 2002 devant l'Assemblée Nationale et le Sénat, seulement trois amendements ont été déposés par les sénateurs de l'opposition, et ils ont été retirés ou rejetés. La LSQ semble en contradiction avec la convention sur la cybercriminalité, puisqu'elle permet de conserver jusqu'à un an l'ensemble des traces que l'on peut laisser sur Internet (trois mois dans la convention sur la cybercriminalité). Ces traces ne concernent pas seulement les données de connexion auxquelles il serait permis d'accéder sur mandat d'un juge d'instruction, mais les données de chaque utilisateur d'Internet. IRIS a déposé plainte contre la France en se basant sur l'incompatibilité de l'article 29 de la LSQ avec la législation européenne en vigueur. Iris critique dans la LOPSI la possibilité de se passer d'une commission rogatoire pour parvenir aux données dans le cadre d'une enquête judiciaire. L'amendement visant à engager des discussions avec les opérateurs, les prestataires techniques, la CNIL sur les procédures assurant la conservation des données individuelles est écarté. Par ailleurs, la doctrine juridique est réservée à l'égard de l'adoption de mesures relatives aux libertés individuelles par voie réglementaire. Après l'adoption du projet de loi sur la sécurité intérieure en Conseil des ministres, la CNIL, qui n'avait pas été consultée, s'auto-saisit. Elle fait part de sa préoccupation quant à la consultation possible du STIC (Système de traitement des infractions constatées) à des fins d'enquêtes administratives. Ce souci est relayé par la quasi totalité des associations françaises des droits de l'homme. Le projet de loi sur la sécurité intérieure conforte ces interrogations. Ainsi, au niveau international, régional (Union européenne), national, les textes de droit dans le domaine de la société de l'information mettent l'accent sur la sécurité publique. Par le contrat social, les citoyens abdiquent leur souveraineté pour bénéficier d'une plus grande sûreté. Est-il possible d'envisager qu'une autre forme de contrat conduise les citoyens, guidés par un souci de sécurité, à abaisser le seuil de protection de leurs libertés individuelles ? C'est la question qui est aujourd'hui posée. Apparemment, la réponse serait positive. Les différents textes mentionnés ci-dessus témoigneraient de l'adhésion du corps social. La problématique est cependant plus complexe. Les citoyens restent attachés à leurs libertés individuelles. Certains redoutent l'avènement d'un Big Brother. Le renforcement de la sécurité dans le domaine des technologies de l'information est un danger pour les libertés publiques et pour les libertés individuelles. Ces dernières se doivent d'être préservées. La sauvegarde de la démocratie est à ce prix, implique vigilance constante et esprit critique à l'égard du " tout sécuritaire ".  
Claudine GUERRIER |
La
société de l'information est planétaire. Internet,
sur un plan strictement technique, ne connaîtpas de frontières.
Cependant, les principaux sujets de droit demeurent les Etats, qui
n'obéissent pas à des règles identiques. Ainsi
le premier amendement de la constitution américaine garantit
la liberté d'expression. L'incitation à la haine raciale,
le révisionnisme ne sont pas des délits aux USA. C'est
pourquoi la plupart des écrits négationnistes apparaissent
sur des sites américains. La divergence quant à la
qualification des délits a été illustrée
par l'affaire Yahoo!. Des objets nazis avaient été
mis en vente ; de plus, Mein Kampf et le Protocole des Sages de
Sion pouvaient être consultés en ligne. En France,
l'UEJF et la LICRA avaient déposé plainte. Le Tribunal
de grande instance (TGI) de Paris s'était déclaré
compétent. Des bandeaux publicitaires en français
justifiaient le lien entre le moteur de recherche Yahoo! et les
internautes français. Une solution technique avait été
trouvée, avec l'aide d'experts. Par la suite, un tribunal
américain avait conclu que le tribunal français était
incompétent. Il semble évident qu'en jouant sur les
différences culturelles et aussi sur la qualification des
délits, beaucoup d'internautes " mal intentionnés
" peuvent échapper aux foudres de la justice. Aucune
solution n'a été trouvée en la matière.
Ce
texte pourrait être considéré comme une norme
régionale, dans la mesure où il s'agit d'un texte
du Conseil de l'Europe. Mais une telle classification serait en
discordance avec la réalité, puisque cette convention
a été signée non seulement par des Etats européens,
mais aussi par les USA, le Japon, le Canada, l'Afrique du Sud. En
fait, dans le cadre du Conseil de l'Europe, la Convention sur la
cybercriminalité est bien le premier texte international
concernant la criminalité via Internet. Le Conseil de l'Europe
a commencé à travailler sur les lignes directrices
au mitan des années quatre-vingt- dix, mais a élargi
la sphère habituelle des Etats du Conseil de l'Europe après
la réunion du G8 en mai 2000, qui a organisé les réunions
de juillet, puis d'octobre 2000. Les Etats membres et les principaux
opérateurs du G8 ont considéré que la cybercriminalité,
en raison de son caractère transnational, ne devait pas s'arrêter
aux limites du continent européen. La Convention a trois
objets principaux : le piratage et la fraude informatiques, les
droits de propriété intellectuelle, la pédophilie.
En matière de piratage et de fraude informatique, un certain
nombre de pays ont déjà légiféré
; par exemple, la France a adopté dès 1988 la loi
Godfrain sur l'accès illicite et le maintien frauduleux dans
un système informatique. Les définitions sont unifiées.
Les droits de propriété intellectuelle quittent l'enceinte
très spécialisée de l'OMPI (Organisation mondiale
de la propriété intellectuelle) ; la contrefaçon
est prohibée. L'interdiction de la diffusion d'images pédophiles
concernait déjà la plupart des Etats occidentaux ;
elle est désormais relative à tous les Etats ratificateurs
et s'applique aux producteurs comme aux consommateurs. Une coopération
internationale est instituée et prévaut sur le projet
de cyberpolice proposé par les USA. L'extradition sera facilitée
pour diverses infractions. L'entraide est une obligation entre services
de police. Les données peuvent être stockées
pendant trois mois. Cette Convention, si elle est ratifiée
par un nombre suffisant d'Etats, peut être efficace. Néanmoins,
l'usage des réserves est susceptible d'amoindrir la portée
de ce traité. Un protocole additionnel, en date d'avril 2002,
porte sur l'incitation à la haine raciale.
Le
texte de la Convention a fait l'objet de plusieurs versions. Dès
la première version, plusieurs organisations ont souligné
que la Convention portait atteinte aux libertés individuelles.
C'est d'autant plus paradoxal que le Conseil de l'Europe défend
les valeurs de la démocratie et que la Cour européenne
des droits de l'homme, garante de la Convention européenne
des droits de l'homme, est à l'origine d'une importante œuvre
jurisprudentielle en matière de sauvegarde de ces droits.
Les organisations de la société civile réunies
au sein de l'association internationale GILC (Global Internet Liberty
Campaign) ont demandé que le texte soit revu pour permettre
la prémunition contre l'auto-incrimination, la finalité
de la collecte des données, la proportionnalité des
moyens. En France, IRIS (Imaginons un (réseau) Internet solidaire)
a été le relais de GILC. Une version provisoire a
été rendue publique en avril 2001. Une fois la Convention
signée, GILC et IRIS ont continué à faire valoir
qu'un véritable équilibre n'apparaissait pas entre
la détection de la cybercriminalité et la protection
des droits fondamentaux.    |
Les
documents de ce site sont sous Creative
Commons License