Mickaël Tome et Cyril Pierre-Beausse, Avocats à la Cour – Etude /c law (Photo: C-Law)

Mickaël Tome et Cyril Pierre-Beausse, Avocats à la Cour – Etude /c law (Photo: C-Law)

La loi du 27 juin 2018 adaptant la procédure pénale à la menace terroriste autorise désormais la captation judiciaire de données informatiques. En dépit de son intitulé, cette loi est d’application générale et ne limite pas cette nouvelle mesure aux investigations en matière de terrorisme.

Les nouvelles dispositions issues de la loi du 27 juin 2018 dépassent les possibilités offertes jusqu’à maintenant par la procédure pénale luxembourgeoise en matière de surveillance et de contrôle des communications. Ces dispositions soulèvent une problématique particulière dans le contexte du cloud computing.

Le juge d’instruction pouvait jusqu’alors effectuer une saisie des données d’une personne sous enquête, hébergées auprès d’un prestataire cloud. Lorsque le prestataire n’avait pas accès aux données de son client sous une forme lisible (ces dernières étant par exemple cryptées et le client détenant seul les clefs de cryptage), l’acte d’instruction était souvent voué à l’échec, sauf coopération du client. Le prestataire cloud n’avait en effet aucune obligation de détenir les clefs de cryptage des données de ses clients.

L’article 88-1 du Code de procédure pénale, tel que modifié par la loi du 27 juin 2018, permet désormais au juge d’instruction, sous conditions, d’ordonner la captation de données informatiques. Cette captation est définie comme «la mise en place d’un dispositif technique ayant pour objet, sans le consentement des intéressés, d’accéder, en tous lieux, à des données informatiques, de les enregistrer, de les conserver et de les transmettre, telles qu’elles s’affichent sur un écran pour l’utilisateur d’un système de traitement ou de transmission automatisé de données, telles qu’il les y introduit par saisie de caractères ou telles qu’elles sont reçues et émises par des périphériques audiovisuels».

Si l’absence de définition de la notion de «données informatiques» entretient un certain flou juridique, il nous semble que la captation pourra porter sur des données très variées, telles que celles issues de fichiers stockés sur un support informatique quelconque, du contenu et de métadonnées de communications électroniques, de données captées par copie d’écran, voire d’enregistrements de saisies sur un clavier (keylogger), de données contenues dans des enregistrements audio, ou encore des images captées par une webcam.

Dans le contexte du cloud computing, les nouvelles possibilités de captation pourraient avoir un impact significatif sur un marché qui, jusqu’alors, n’était pas souvent concerné par cette problématique. L’article 88-4 du nouveau du Code de procédure pénale permet en effet désormais au juge d’instruction de requérir l’assistance de toute personne (y compris un prestataire cloud, ses employés ou contractants) dont le magistrat considère qu’elle a une connaissance particulière d’un système pertinent dans le cadre de son investigation. Dans un tel cas, la personne requise doit donner accès:

- au système lui-même;

- aux données contenues dans ce système ou accessibles depuis ce dernier (donc y compris via des accès distants à d’autres systèmes techniquement accessibles depuis le système concerné, même hébergés par des tiers potentiellement non visés dans l’ordonnance du juge d’instruction);

- à la compréhension des données visées par la mesure qui sont protégées ou cryptées.

Ce dernier point reste par ailleurs obscur, et pourrait tout à fait être interprété à l’avenir par la jurisprudence comme imposant de fait aux prestataires cloud de détenir ou avoir accès aux clefs de cryptage des données qu’ils hébergent pour leurs clients, afin d’être en mesure d’apporter leur concours à une éventuelle captation judiciaire de données.

Dans l’hypothèse d’une externalisation informatique (outsourcing) par une organisation auprès d’un prestataire cloud externe, il n’est pourtant pas sain en termes de sécurité de l’information que ce dernier dispose d’un accès aux données des clients «en clair». En effet, le prestataire pourrait alors devenir une cible de choix pour une attaque informatique de grande ampleur, qui impacterait l’ensemble de ses clients, exposant ces derniers à un risque considérable, y compris de violation de données personnelles (au sens du fameux RGPD). Pour cette raison, certains régulateurs pourraient d’ailleurs s’opposer à ce que des entreprises dont l’activité est sensible (notamment dans le secteur financier) aient recours à de tels prestataires.

Or, un prestataire cloud refusant de prêter son concours technique à une telle captation est passible de sanctions relativement élevées (amendes pénales de 1.250€ à 125.000€).

Il y a lieu de noter que toute personne ainsi requise (un prestataire cloud et son personnel) doit garder le secret sur l’existence, le contenu et l’issue de la captation, sous peine d’amende (de 500€ à 5.000€).

La loi du 27 juin 2018 contient bien entendu des garde-fous (la captation doit notamment rester exceptionnelle, être spécialement motivée et limitée dans le temps) en vue de préserver un équilibre entre impératifs de répression et protection des libertés dans un contexte de lutte anti-terroriste. On ne peut toutefois que souligner le caractère particulièrement intrusif de ces nouvelles mesures de captation, et s’inquiéter du flou relatif qui les entoure.

Mickaël Tome et Cyril Pierre-Beausse

Articles Associés