INTRODUCTION 7

1. L’extension de la vidéosurveillance dans les lieux exposés au terrorisme 11

2. L’amélioration de l’utilisation opérationnelle des systèmes de vidéosurveillance 13

3. La nouvelle procédure d’autorisation provisoire 14

4. La mise en œuvre de garanties supplémentaires 15

1. L’extension du champ d’application de l’obligation de conservation des données de connexion aux cybercafés et bornes wi-fi 18

2. La mise en place d’un régime de réquisition administrative des données de connexion 20

3. Une occasion saisie pour clarifier la question de l’indemnisation des surcoûts supportés par les opérateurs 28

1. L’extension des contrôles d’identité à bord des trains internationaux 30

2. Le contrôle des déplacements des passagers du transport aérien 31

1. L’accès aux fichiers du ministère de l’intérieur par les services chargés de la lutte contre le terrorisme 34

2. La modification du régime juridique des traitements intéressant la sûreté de l’État, la défense ou la sécurité publique 36

1. La criminalisation de l’association de malfaiteurs terroriste dans certaines conditions 38

2. L’extension du délit de non-justification de ressources 39

1. L’identification par un numéro d’immatriculation administrative des officiers et agents de police judiciaire chargés de la lutte contre le terrorisme 39

2. La prolongation de la garde à vue en matière terroriste 40

3. La question de la prolongation des écoutes ordonnées par le parquet dans le cadre d’une enquête préliminaire 41

1. La centralisation de l’application des peines 41

2. La création d’une cour d’assises pour mineurs spécialement composée de magistrats 42

1. Les dispositions relatives aux victimes d’actes de terrorisme 43

2. Le renforcement de la prévention par l’encadrement des activités de sécurité privée 44

3. Les mesures relatives à l’audiovisuel 45

1. Les nouveaux dispositifs d’immobilisation des véhicules 46

2. L’interdiction administrative de stade 46

OBSERVATIONS DE M. JULIEN DRAY, CO-RAPPORTEUR 49

PROPOSITIONS DU RAPPORTEUR ET DU CO-RAPPORTEUR 51

PROPOSITIONS COMPLÉMENTAIRES DU RAPPORTEUR 51

EXAMEN EN COMMISSION 53

Suivi des textes d’application de la loi n° 2006-1964 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers 65

Circulaires d’application de la loi n° 2006-1964 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers 69

PERSONNES AUDITIONNÉES 71

Mesdames, Messieurs,

La loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers a été promulguée il y a un peu plus de deux ans. Adoptée en urgence, à la suite des attentats de Londres du 7 juillet 2005, cette loi n’avait pas pour objectif de révolutionner le droit français de l’antiterrorisme, mais plus modestement d’en compléter certaines lacunes, notamment en matière de police administrative.

En effet, la France, qui a été très tôt victime du terrorisme, a dû imaginer il y a quelques années une réponse à ce difficile défi, notamment avec la loi du 9 septembre 1986 qui fixe le cadre juridique et la méthode de lutte contre le terrorisme. Cette option française de l’antiterrorisme est fondée sur le primat de la détection précoce des réseaux terroristes, très en amont de l’organisation d’attentats : l’utilisation de l’incrimination de l’association de malfaiteurs en relation avec une entreprise terroriste ainsi que l’absence de frontières étanches entre services de renseignement et dispositif judiciaire sont des atouts qui expliquent en grande partie les succès de la France dans le domaine de la lutte contre le terrorisme.

Par ailleurs, la France a fait le choix d’apporter une réponse spécifique, donnant des droits exceptionnels et dérogatoires à la puissance publique, tout en restant dans un cadre protecteur des libertés individuelles, sous le contrôle des magistrats, même si ceux-ci sont spécialisés et centralisé au TGI de Paris. Grâce à ce système, nous avons su éviter les législations d’exception et le recours à des opérations ou à des pratiques illégales.

En 2005, au moment des débats parlementaires, la législation française était donc particulièrement étoffée suite aux interventions successives du législateur par-delà les clivages politiques, en 1986, 1996, 2001, 2003 et 2004. Pour autant, face aux mutations du terrorisme international, le Gouvernement avait jugé utile de donner de nouveaux outils aux services de lutte contre le terrorisme, particulièrement pour leur permettre de détecter plus en amont les réseaux terroristes, en dehors de toute commission d’infraction.

À l’assemblée nationale, le projet de loi avait été adopté avec les voix des députés de l’UMP et de l’UDF, les députés socialistes s’abstenant et les députés communistes votant contre.

La commission des Lois a estimé qu’il était aujourd’hui nécessaire de faire le point sur la mise en application de cette loi, dont le calendrier d’adoption avait été particulièrement rapide. Le Parlement ne saurait en effet se contenter d’une évaluation réalisée par le Gouvernement lui-même, telle qu’elle est prévue par l’article 32 de la loi du 23 janvier 2006 qui impose au Gouvernement de remettre chaque année un rapport sur l’application de la présente loi. D’ailleurs, aucun rapport n’a encore été remis au Parlement en application de l’article 32, deux ans après la promulgation de la loi : ce rapport serait en préparation et pourrait être finalisé d’ici la fin du premier trimestre 2008.

En outre, certaines des dispositions les plus novatrices de la loi (articles 3, 6 et 9) n’ont été adoptées qu’à titre temporaire et ne sont applicables que jusqu’au 31 décembre 2008. Le Parlement sera donc conduit à se prononcer sur la pérennisation de ces dispositifs et il importe qu’il dispose des éléments pour le faire dans de bonnes conditions.

●  En premier lieu, il était souhaitable d’établir un bilan sur la publication des décrets et circulaires nécessaires à la pleine application de cette loi. Comme le montre le tableau figurant en annexe de ce rapport, ce bilan est relativement satisfaisant puisque la quasi-totalité des dispositifs prévus par la loi sont aujourd’hui utilisés par les services de lutte contre le terrorisme. Pour autant, certaines carences demeurent :

—  une seule disposition de la loi, certes importante, ne peut aujourd’hui faire l’objet d’une mise en œuvre en raison de l’absence de publication d’un acte réglementaire : il s’agit de l’obligation pour les hébergeurs de site Internet et les fournisseurs d’accès à Internet de conserver et de transmettre aux services de lutte antiterroriste les données concernant l’identification des personnes à l’origine de la création de contenus en ligne (II de l’article 6 de la loi). Encore faut-il préciser que la publication de ce décret dépend de la publication préalable du décret d’application de l’article 6 de la loi du 21 juin 2004 relative à l’économie numérique. Compte tenu de l’utilisation croissante d’Internet par les réseaux terroristes, il est regrettable que cette disposition, applicable jusqu’au 31 décembre 2008, n’ait pas encore pu entrer en vigueur ;

—  une autre disposition de la loi n’est pas appliquée par les services concernés dans l’attente d’une circulaire du ministre de la Justice et du ministre de l’Intérieur : cette disposition vise à permettre aux agents et officiers de police judiciaire de ne pas apparaître nominativement dans les affaires de terrorisme, mais seulement par un numéro d’immatriculation administrative. Cette disposition, très attendue par les enquêteurs, qui semblait pourtant d’application directe, a vu sa mise en œuvre retardée par la nécessité d’en préciser le régime juridique. Il est aujourd’hui urgent que la circulaire annoncée soit transmise le plus rapidement possible aux services de police et de gendarmerie intéressés ;

—  enfin, un petit nombre de textes d’application prévus par la loi manquent, sans empêcher la mise en œuvre des dispositions qu’ils doivent préciser. Dans le domaine de la transmission des données de connexion aux services de lutte contre le terrorisme par les opérateurs de communication électronique, sont toujours attendus le décret précisant les tarifs des réquisitions administratives ainsi que le décret (nécessaire en l’absence de conventions conclues avec les opérateurs) fixant les modalités techniques de transmission des données. Dans un souci de sécurité juridique, la publication rapide de ces décrets s’impose.

●  En second lieu, ce travail sur l’application de la loi du 23 janvier 2006 a pour but d’évaluer les conditions de sa mise en œuvre concrète. S’il est encore prématuré, et difficile compte tenu du sujet, de tirer un bilan de l’efficacité des dispositifs de la loi, il est néanmoins possible de donner un avis sur la mise en œuvre de ses principales dispositions emblématiques :

—  en matière de vidéosurveillance, l’adoption de la loi a eu des résultats concrets, permettant l’installation de dispositifs dans des lieux qui ne pouvaient pas en être équipés jusque-là, et autorisant l’accès direct des services de police et de gendarmerie aux images. Votre rapporteur regrette simplement que la disposition permettant d’imposer la mise en place de systèmes de vidéosurveillance à des organismes susceptibles d’être menacés par le terrorisme n’ait pas fait l’objet d’application.

Le régime juridique de la vidéosurveillance a donc été modernisé et semble aujourd’hui adapté : son développement repose aujourd’hui principalement sur les moyens financiers qui seront dégagés, notamment dans le cadre du « plan national d’action de développement de la vidéoprotection » annoncé par la ministre de l’intérieur, de l’outre-mer et des collectivités territoriales en novembre 2007 ;

—  le dispositif de réquisition administrative des données de connexion conservées par les opérateurs de communications électroniques, prévu à l’article 6, est pleinement applicable depuis le 2 mai 2007. Une plateforme de l’UCLAT, basée à Levallois-Perret, opère la centralisation nécessaire d’un dispositif qui satisfait aujourd’hui services utilisateurs, autorités de contrôle et opérateurs de communications électroniques. Les services de lutte contre le terrorisme disposent donc d’un outil utile pour surveiller les cellules terroristes très en amont, sans utiliser des dispositifs particulièrement intrusifs pour les libertés publiques comme les « écoutes téléphoniques » ;

—  les traitements automatisés des données relatives aux déplacements des voyageurs du transport aérien sont progressivement mis en place, sur une base expérimentale. Ces traitements doivent encore être perfectionnés pour devenir réellement opérationnels. Mais ils constitueront sans doute dans les prochaines années un outil très utile dans le cadre de la prévention du terrorisme ;

—  l’adaptation du dispositif judiciaire de lutte contre le terrorisme a répondu aux objectifs qui lui étaient assignés : améliorer le système à la marge, sans le remettre en cause. Ainsi, la centralisation de l’application des peines ou la possibilité de réunir une cour d’assises spécialement composée pour le jugement des mineurs accusés de terrorisme ont permis de répondre à des difficultés concrètes qui se posaient. Quant à la prolongation possible de la garde à vue en matière de terrorisme, pour 24 heures supplémentaires, renouvelable une fois, elle n’a été utilisée qu’une seule fois. En effet, les précautions prises par le législateur ont permis de donner un caractère tout à fait exceptionnel à cette mesure.

Dans le domaine de la lutte contre le terrorisme, évaluer l’efficacité des moyens de prévention et de répression est une entreprise très difficile. En effet, la circonstance que la France n’ait pas subi d’acte terroriste d’origine étrangère sur son sol depuis 1996 ne doit pas être perçue comme le signe que notre pays serait à l’abri d’une nouvelle vague d’attentats majeurs. La France reste en effet une cible de choix du terrorisme islamiste. C’est pourquoi, le dispositif de lutte antiterroriste doit se remettre en cause en permanence afin d’essayer d’avoir toujours un temps d’avance sur les terroristes.

I. LES MESURES RELATIVES À LA VIDÉOSURVEILLANCE

A. L’ASSOUPLISSEMENT DU RÉGIME D’AUTORISATION DES DISPOSITIFS DE VIDÉOSURVEILLANCE

Les enseignements tirés des enquêtes sur les attentats et tentatives d’attentats de Londres des 7 et 21 juillet 2005 avaient montré a contrario l’inadéquation de la législation française dans ce domaine. La modification de la loi du 21 janvier 1995, qui régit la vidéosurveillance en France, était donc au cœur des préoccupations qui ont justifié l’adoption de la loi du 23 janvier 2006. De fait, son cadre juridique est aujourd’hui modernisé, permettant d’envisager un développement significatif de la vidéosurveillance dans les prochaines années.

1. L’extension de la vidéosurveillance dans les lieux exposés au terrorisme

●  L’article 10 de la loi du 21 janvier 1995, tel qu’il est issu de la loi du 23 janvier 2006, permet explicitement la prise en compte du risque terroriste comme motif légal d’installation d’un système de vidéosurveillance. En outre, les personnes privées exposées à des actes de terrorisme sont dorénavant autorisées à filmer la voie publique, « pour la protection des abords immédiats de leurs bâtiments et installations ».

La circulaire du 26 octobre 2006 relative à l’application des articles 10 et 10-1 de la loi n° 95-73 du 21 janvier 1995 modifiée d’orientation et de programmation relative à la sécurité insiste sur le fait « qu’un tel recours à la vidéosurveillance ne trouvera sa justification que dans des cas nécessairement limités. Sont concernés les établissements constituant des cibles potentielles importantes pour des attentats, tels les lieux de culte, le siège social de certaines entreprises ou des grands magasins, sans que cette liste soit limitative ». Il est également précisé aux préfets, chargés d’accorder les autorisations en matière de vidéosurveillance, que l’instruction réalisée par leurs services et par les commissions départementales de vidéosurveillance doit alors tenir compte de l’exposition réelle des établissements concernés à des risques de terrorisme « qui ne sauraient être confondus avec des risques d’agression ou de dégradation s’inscrivant dans une problématique de délinquance ».

D’après les informations communiquées à votre rapporteur, cette possibilité a cependant eu peu de traductions concrètes au cours de l’année 2006 : les ports autonomes de Dunkerque, de Strasbourg et, en Corse, plusieurs trésoreries principales et un pont routier en construction se sont équipés de vidéosurveillance dans le cadre de cette finalité. C’est à Paris que l’installation de la vidéosurveillance pour filmer la voie publique aux abords de sites sensibles a trouvé sa traduction la plus large puisque, depuis l’entrée en application de la loi du 23 janvier 2006, onze systèmes de vidéosurveillance « aux fins de lutter contre les risques terroristes » y ont été autorisés. Ces autorisations concernent de grandes entreprises de communication et de transports de voyageurs, des lieux de culte et des bâtiments publics et également le réseau interdépartemental de la SNCF, soit 123 gares équipées à ce jour.

●  Par ailleurs, la loi du 23 janvier 2006 a également introduit un article 10-1 dans la loi du 21 janvier 1995. Cette disposition prévoit que, dans certains lieux exposés à un risque terroriste (barrages, centrales nucléaires, infrastructures de transport…) la mise en place d’un système de vidéosurveillance n’est pas une simple faculté, mais peut être imposée par l’État. La circulaire précitée demande aux préfets de procéder à un recensement des sites susceptibles d’être concernés par cette obligation et « d’établir avec le concours des services de police et de gendarmerie nationales, si les dispositifs de sécurité sont appropriés ou s’ils nécessitent d’être renforcés par un système de vidéosurveillance ». Il est par ailleurs recommandé aux préfets de privilégier une démarche de négociation avec les responsables de ces sites, la disposition législative nouvelle étant donc considérée comme un moyen à utiliser en dernier ressort.

Le directeur des libertés publiques et des affaires juridiques du ministère de l’Intérieur a indiqué à votre rapporteur qu’il n’avait eu connaissance d’aucun cas d’utilisation de la nouvelle disposition législative. Il semblerait que certains préfets aient engagé des discussions avec des gestionnaires de sites sensibles, des transports publics principalement, mais qu’elles aient achoppé sur la question du financement des équipements de vidéosurveillance qui seraient rendus obligatoires. La loi ne prévoit en effet aucune disposition à ce sujet, ce qui empêcherait sa mise en œuvre. Pourtant, cette absence ne relève pas d’un oubli du législateur, mais d’une volonté assumée de celui-ci de ne pas faire peser sur l’État une dépense qui ne lui incombe pas, comme le montrent les travaux parlementaires. Le rapporteur de notre commission, M. Alain Marsaud avait ainsi justifié l’absence de compensation financière, considérant « il n’est pas possible de transposer à la présente situation le raisonnement fait par le Conseil constitutionnel lorsqu’il a censuré la mise à la charge des opérateurs de télécommunications du coût des investissements nécessaires aux interceptions de sécurité ⁽¹⁾. En effet, contrairement à ce cas, les investissements à réaliser en matière de vidéosurveillance sont, d’une façon générale, réalisés volontairement par les personnes concernées : la mise en œuvre d’une procédure prescriptive permet de faire face à des attitudes de carence, qu’il ne faudrait pas encourager en participant au financement des systèmes de vidéosurveillance » ⁽²⁾.

Par ailleurs, un amendement ⁽³⁾ instituant une telle compensation avait été rejeté au Sénat. Dans ces conditions, la volonté du législateur, qui n’a fait l’objet d’aucune critique de la part du Conseil constitutionnel, est sans ambiguïté, et doit conduire les préfets concernés à imposer des dispositifs de vidéosurveillance lorsque cela se justifie.

2. L’amélioration de l’utilisation opérationnelle des systèmes de vidéosurveillance

●  La loi du 23 janvier 2006 a prévu la possibilité d’un accès direct aux images des systèmes de vidéosurveillance appartenant à des tiers (collectivités locales, gestionnaires de transport public…) par les services de police et de gendarmerie nationales. Cet accès est fondamental pour permettre une utilisation efficace de la vidéosurveillance en matière de prévention et de répression de la délinquance et de la criminalité sous toutes ses formes. Jusqu’à la loi de 2006, les policiers et les gendarmes ne pouvaient avoir accès aux images prises par d’autres personnes que dans le cadre d’une procédure judiciaire ou s’ils étaient directement associés à l’exploitation du système de vidéosurveillance.

Cette possibilité est cependant très encadrée puisqu’elle doit avoir été prévue dans l’autorisation initiale délivrée par le préfet. De plus, il s’agit d’un accès limité aux agents individuellement désignés et dûment habilités des services de police et de gendarmerie nationales. Les conditions d’habilitation de ces derniers ayant été renvoyées au pouvoir réglementaire, la mise en œuvre de ces dispositions dépendaient de la publication du décret en Conseil d’État prévu par l’article 1^er de la loi, intervenue dès le 28 juillet 2006 (décret n° 2006-929 du 28 juillet 2006). L’article 2 de ce décret précise que la désignation de ces agents est réalisée par « le chef de service ou le chef d’unité à compétence départementale, régionale, zonale ou nationale » où sont affectés les agents. Pour autant, la circulaire précitée indique que la désignation individuelle de ces agents est un acte distinct de l’indication, dans l’autorisation préfectorale, que la police ou gendarmerie peuvent accéder aux images : cette autorisation, ou un arrêté préfectoral pris postérieurement, ne doit donc pas comporter la liste nominative des agents qui peuvent accéder aux images et enregistrements, mais seulement la mention que cet accès est possible.

Cependant, cette faculté de transmission des images aux forces de l’ordre a été encore peu utilisée. En novembre 2007, sur les 230 communes équipées d’un dispositif de vidéosurveillance dans les zones de compétence de la police nationale, seules 53 avaient organisé le transfert d’images vers les services de police. Ainsi, dans le cadre du « plan national d’action de développement de la vidéoprotection » lancée par le ministre de l’Intérieur, de l’outre-mer et des collectivités territoriales, Mme Michèle Alliot-Marie, il a été décidé que le coût des raccordements, estimé à 4 millions d’euros, serait intégralement pris en charge par l’État au travers du Fonds Interministériel de Prévention de la délinquance. Le financement du raccordement de 21 sites supplémentaires a été décidé dès le mois de novembre 2007, les préfets concernés s’étant vu déléguer une enveloppe d’un million d’euros. Le financement d’une deuxième série de raccordement devrait intervenir en février 2008.

Le plan d’action insiste aussi sur la nécessité de permettre aux forces de police d’accéder aux images des grands gestionnaires d’espace publics, tels que les centres commerciaux, les enceintes sportives ou les transports.

●  L’augmentation de l’efficacité des systèmes pourra aussi reposer sur la normalisation technique des équipements imposée par la loi afin de disposer d’images de bonne qualité. Les systèmes de vidéosurveillance doivent désormais « être conformes à des normes techniques définies par arrêté ministériel ». À la suite d’une consultation des principaux opérateurs de vidéosurveillance, le ministre de l’intérieur a pris, dès le 26 septembre 2006, l’arrêté portant définition des normes techniques de vidéosurveillance qui portent à la fois sur la qualité, la conservation et l’exploitation des images ainsi que sur les fréquences d’enregistrement et la sécurité des réseaux.

La loi avait prévu que les dispositifs de vidéosurveillance devraient être mis en conformité avec les nouvelles normes dans un délai de deux ans, c’est-à-dire d’ici au 26 septembre 2008. Cependant, de nombreux utilisateurs de dispositifs de vidéosurveillance ont fait valoir que ce délai était trop bref et ne permettait pas d’amortir les investissements réalisés antérieurement. Pour répondre à cette préoccupation, un nouvel arrêté du 3 août 2007 a repris entièrement l’arrêté du 26 septembre 2006, en le complétant toutefois par trois annexes techniques : ainsi, le point de départ du délai de deux ans de mise en conformité a été retardé au 3 août 2007.

Ces normes permettront d’améliorer l’exploitabilité des images, c’est-à-dire de conforter la vidéosurveillance comme élément de prévention et comme outil d’élucidation des crimes et délits. La circulaire précise que si la loi a donné un délai de deux ans pour la mise en conformité des systèmes existants, les demandes d’installation nouvelles intervenues après la publication de l’arrêté doivent immédiatement se conformer aux nouvelles normes.

3. La nouvelle procédure d’autorisation provisoire

En cas d’urgence et de risque d’exposition au terrorisme, le préfet peut dorénavant accorder une autorisation provisoire d’installation d’un système de vidéosurveillance pour quatre mois, sans attendre l’avis de la commission départementale de vidéosurveillance.

Le ministère de l’intérieur ⁽⁴⁾ ne dispose pas de remontées systématiques de la part des préfectures lui permettant de savoir si cette disposition a été utilisée. En tout état de cause, il semblerait que cette procédure dérogatoire en urgence pourrait perdre sa raison d’être si les commissions départementales de vidéosurveillance étaient plus réactives. La périodicité de leurs réunions se situe en moyenne entre trois et quatre mois, même s’il y a des différences certaines entre départements, notamment entre ceux qui sont très urbanisés et ceux qui le sont moins. Afin de répondre à cette difficulté, Michèle Alliot-Marie a annoncé le 9 novembre 2007, lors de l’installation de la Commission Nationale de Vidéosurveillance présidée par Alain Bauer, qu’un « décret en préparation prévoit qu’en cas de silence de la commission durant trois mois, l’avis est réputé reçu. Ceci permet au préfet de statuer sur une autorisation d’installation, dans le délai de quatre mois qui lui est imposé ».

4. La mise en œuvre de garanties supplémentaires

La loi du 23 janvier 2006 n’a pas uniquement étendu les capacités d’utilisation de la vidéosurveillance, mais elle a aussi amélioré son encadrement législatif et réglementaire :

—  les autorisations sont désormais valables pour 5 ans, alors qu’elles l’étaient jusqu’alors sans limitation de durée : la circulaire précise que tous les arrêtés d’autorisation pris depuis la publication de la loi au journal officiel, le 24 janvier 2006, doivent comprendre un article précisant que l’autorisation a été délivrée pour une durée de 5 ans. Quant aux autorisations antérieures, elles arriveront donc toutes à échéance le 23 janvier 2011 ;

—  les exigences en matière d’information du public ont été renforcées. L’article 3 du décret n° 2006-229 a ainsi précisé, conformément aux dispositions de la loi, les modalités d’information du public de l’existence d’un système de vidéosurveillance. Lorsqu’il s’agit de caméras filmant la voie publique, l’information est apportée « au moyen de panonceaux comportant un pictogramme représentant une caméra ». La circulaire indique que « compte tenu des espaces vastes et ouverts où ces systèmes fonctionnent, les modalités d’information de leur présence doivent nécessairement être souples ». Dans cette hypothèse, l’indication sur les panonceaux de l’identité du responsable du système de vidéosurveillance n’est pas exigée. En ce qui concerne les systèmes installés dans les lieux ou établissements ouverts au public, les exigences sont plus strictes puisque le décret précité demande que le format, le nombre et la localisation des affiches ou panonceaux soient adaptés à la situation des lieux et établissements. En outre, ces affiches ou panonceaux doivent indiquer les coordonnées du responsable du système de vidéosurveillance ;

—  l’attribution d’un pouvoir autonome de contrôle à la commission départementale de vidéosurveillance a été décidée par la loi du 23 janvier 2006 : ses modalités de mise en œuvre ont été précisées par l’article 4 du décret n° 2006-929 du 28 juillet 2006. Ainsi, lorsqu’elle décide de mener une opération de contrôle, la commission peut désigner un de ses membres pour collecter des informations relatives aux conditions de fonctionnement d’un système de vidéosurveillance. La commission peut ensuite se réunir pour tirer les conséquences des contrôles, qui peuvent aller jusqu’à proposer au préfet la suspension de l’autorisation.

Ces dispositions ne se sont pas traduites par un développement des activités de contrôle des commissions départementales. En 2006, celles-ci ont procédé à 869 contrôles, dont 22 % ont donné lieu à la constatation d’infractions. En 2004, 942 contrôles avaient été opérés (dont 17 % ayant donné lieu à constatation d’infraction).

B. LA MISE EN œUVRE À TITRE EXPÉRIMENTAL DU DISPOSITIF DE LECTURE AUTOMATISÉ DES PLAQUES D’IMMATRICULATION (LAPI)

L’article 8 de la loi du 23 janvier 2006 a consolidé les dispositifs de surveillance automatique des véhicules autorisés par la loi sur la sécurité intérieure du 18 mars 2003, mais jamais mis en œuvre. Désormais, ces appareils, les « LAPI » (système de lecture automatisée des plaques d’immatriculation), pourront être installés pour des raisons multiples, au-delà de la seule lutte contre le vol de véhicules. Les finalités de ces dispositifs ont en effet été définies par la loi de façon assez large (lutte contre le terrorisme, criminalité organisée, vol et recel de véhicule, délits douaniers…).

Concrètement, les LAPI pourront non seulement prendre la photographie de la plaque d’immatriculation des véhicules, mais également des occupants de ceux-ci. Cependant, les photographies des passagers ne seront accessibles aux services de police qu’à la condition que le traitement du numéro d’immatriculation fasse apparaître un croisement avec le fichier des véhicules volés ou mis sous surveillance (FVV) ou le système d’informations Schengen (SIS), ou bien dans le cadre d’une procédure judiciaire.

Le Gouvernement a fait le choix de mettre en œuvre ces dispositions de façon expérimentale. En effet, l’arrêté du 2 mars 2007 portant création, à titre expérimental, d’un traitement automatisé de contrôle des données signalétiques des véhicules autorise la mise en œuvre de tels traitements pour une durée de deux ans. Il est prévu une évaluation du dispositif à l’issu de cette expérimentation qui sera transmise à la CNIL.

Dans un avis rendu le 8 février 2007, la CNIL reconnaît que les finalités assignées aux traitements par l’arrêté sont celles qui ont été définies par le législateur au premier alinéa de l’article 26 de la loi du 18 mars 2003. Elle a néanmoins regretté que l’arrêté ne comporte « aucune modalité précise d’application concernant les lieux d’implantation des dispositifs fixes ou mobiles et qu’elle autorise ainsi leur mise en œuvre en tous lieux du territoire » ainsi que l’absence de définition des « événements particuliers » ou des « grands rassemblements de personnes » à l’occasion desquels ces dispositifs peuvent être utilisés. Elle a enfin souhaité une amélioration des dispositifs techniques d’effacement des données afin d’aboutir à la suppression totale et définitive des données au terme du délai de huit jours. Sur ce dernier point, M. François Giquel, vice-président de la CNIL, a indiqué que le directeur de cabinet de la ministre de l’Intérieur avait adressé, le 17 juillet 2007, un courrier à la CNIL précisant que le dispositif technique retenu permettait l’effacement effectif des données, au-delà de huit jours. La CNIL qui se félicite de cet engagement, en vérifiera le respect à l’occasion des contrôles qu’elle entend prochainement mener à l’égard des dispositifs LAPI d’ores et déjà opérationnels.

En effet, une expérimentation est actuellement en cours en Île-de-France par l’installation d’un dispositif embarqué de lecture automatisée des plaques à bord de véhicules sérigraphiés puis à terme, à bord de véhicules banalisés. Sont concernés 3 véhicules relevant de la préfecture de police de Paris et 3 véhicules relevant de la Direction départementale de la sécurité publique de Seine-Saint-Denis. Des résultats encourageants ont été enregistrés par les services de police parisiens : plus de 400 000 plaques d’immatriculation ont été lues en l’espace des quelques mois d’expérimentation en 2007, ce qui a permis d’identifier des dizaines de véhicules volés.

L’expérimentation actuelle doit être complétée par des dispositifs fixes en plusieurs points du territoire, notamment sur les points d’entrée très fréquentés de la ville de Paris.

II. LA MISE EN PLACE D’UN VÉRITABLE DISPOSITIF DE POLICE ADMINISTRATIVE DE PRÉVENTION DU TERRORISME

A. UN DISPOSITIF DE RÉQUISITION ADMINISTRATIVE DES DONNÉES TECHNIQUES LIÉES AUX COMMUNICATIONS DES TERRORISTES

La loi du 23 janvier 2006 a permis une meilleure prise en compte de l’utilisation croissante des nouvelles technologies par les réseaux terroristes, en facilitant le contrôle de leurs communications électroniques dans un cadre préventif. Les services spécialisés ont en effet un besoin vital d’accéder aux données techniques liées à l’utilisation de la téléphonie, fixe ou mobile, et de l’Internet. Avoir accès à ces données permet aux services de lutte contre le terrorisme d’identifier l’identité de l’ensemble des personnes appelées par un abonné, de connaître la date et la durée des communications, ainsi que la localisation de tout possesseur d’un téléphone portable allumé, les « logs » de connexion Internet (numéro de protocole Internet, date et durée des connexions) et les données permettant d’identifier toute personne enrichissant le contenu d’un site Internet. Ces données n’ont pas trait au contenu des communications, mais elles sont très utiles pour suivre l’activité de réseaux terroristes présumés.

1. L’extension du champ d’application de l’obligation de conservation des données de connexion aux cybercafés et bornes wi-fi

La loi du 15 novembre 2001 relative à la sécurité quotidienne a posé le principe de la conservation des données de connexion des abonnés par les opérateurs de communications électroniques (opérateurs de téléphonie fixe et mobile et aux fournisseurs d’accès à Internet) pour les besoins d’une procédure pénale. Ces dispositions, inscrites à l’article L. 34-1 du code des postes et des communications électroniques, ont été modifiées par la loi du 23 janvier 2006, dont l’article 5 a étendu le champ.

En effet, cet article a permis d’allonger la liste des personnes soumises à l’obligation de conservation et de communication à la justice des données techniques. Y sont désormais soumises les « personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit ». Ces nouvelles dispositions étaient d’application directe, même si la relative imprécision de son champ d’application a été critiquée au cours des débats parlementaires. De nombreux parlementaires avaient alors estimé nécessaire qu’un décret dresse la liste précise des personnes soumises à cette obligation. Pour autant, le rapporteur de la commission des Lois, M. Alain Marsaud, avait clairement indiqué que cette disposition s’appliquerait aux gestionnaires de cybercafés, aux personnes qui offrent à leurs clients, dans un cadre public, ou à des visiteurs une connexion en ligne, tels les hôtels, les compagnies aériennes et fournisseurs d’accès à des réseaux de communications électroniques accessibles via une borne wi-fi.

En séance ⁽⁵⁾, le rapporteur avait interrogé le ministre délégué à l’aménagement du territoire sur le champ d’application de l’article. Celui-ci avait indiqué : « Je serai très clair : nous visons d’abord les cybercafés, c’est-à-dire les personnes qui, au titre d’une activité professionnelle principale, offrent au public une connexion au réseau internet. (…) Les mairies, les universités, les bibliothèques ne sont pas concernées en principe, car leur activité ne consiste pas principalement à proposer des connexions Internet au public. Néanmoins, si l’on nous signalait que telle université ou telle bibliothèque devenait une sorte de cybercafé déguisé, alors elle pourrait entrer dans le champ des personnes soumises à cette obligation de conservation de données au titre de leur activité accessoire. (…) La définition proposée par le projet du Gouvernement n’appelle donc pas de précision par décret ».

La circulaire du 21 juillet 2006 relative à l’application de la loi précise ainsi que « les cybercafés et les bornes wi-fi seront désormais, notamment en ce qui concerne l’obligation de conservation de ces données, assimilés à des opérateurs de communication électronique ».

Si les travaux parlementaires permettent manifestement d’établir la volonté du législateur, il semble qu’une incertitude demeure sur le champ d’application précis de cet article. Lors des auditions, la CNIL a ainsi rappelé qu’elle avait eu l’occasion de rappeler à plusieurs reprises son souhait que les dispositions législatives et réglementaires applicables soient plus précises. De fait, les services de la CNIL reçoivent une dizaine de demandes de consultation par semaine d’organismes, publics ou privés, qui cherchent à savoir s’ils relèvent des dispositions de l’article 5.

Ainsi, même si la volonté du législateur est claire, il serait sans doute préférable qu’un texte, décret ou circulaire, décrive très précisément les organismes qui relèvent de l’obligation de conservation des données et ceux qui ne sont pas concernés. Il faut par ailleurs rappeler que le non-respect de cette obligation peut entraîner le déclenchement de poursuites pénales.

Par ailleurs, si l’article 5 de la loi du 23 janvier 2006 était directement applicable, sa mise en œuvre dépendait pourtant indirectement de la publication d’un décret. En effet, il s’agissait donc d’allonger la liste des opérateurs soumis à des obligations particulières de conservation de données par la loi du 15 novembre 2001. Cependant, la nature des données à conserver et leur durée devaient être fixées par un décret en Conseil d’État, qui n’avait toujours pas été publié au moment de la promulgation de la loi du 23 janvier 2006, alors que plus de quatre ans s’étaient écoulés depuis l’adoption de la loi du 15 novembre 2001.

Le paradoxe consistant à étendre, en urgence, le champ d’application d’une disposition existant depuis 4 ans mais attendant toujours son décret d’application avait été largement évoqué pendant les débats parlementaires. Ainsi, il est probable que cette situation a permis d’accélérer le processus d’adoption du décret n° 2006-358 du 24 mars 2006 relatif à la conservation des données des communications électroniques. La liste des données à conserver, ainsi que la durée de conservation (un an) étant connues, les cybercafés et les bornes wi-fi doivent donc se soumettre aux obligations fixées par l’article 5 de la loi : c’est-à-dire conserver les données techniques générées par l’utilisation de leurs services

Il est important de préciser que la loi ou le décret n’ont fixé aucune obligation d’identification des clients ayant recours à ces services, ce qui constitue, selon les services de lutte contre le terrorisme, une sérieuse limite à l’utilité de la disposition. Ils considèrent en effet que la conservation des données de connexion des clients des cybercafés est peu utilisable dans la mesure où il n’est pas possible d’identifier ces derniers. Ils soulignent également qu’ils n’existent aucune condition particulière pour proposer de tels services au public, contrairement à la législation italienne qui exige la sollicitation d’une autorisation préalable ainsi que l’identification de l’ensemble des clients. Ainsi, le cybercafé reste un moyen permettant de communiquer avec un risque assez faible d’être identifié.

2. La mise en place d’un régime de réquisition administrative des données de connexion

La loi du 15 novembre 2001, pleinement applicable depuis la publication du décret du 24 mars 2006, faisait obligation aux opérateurs de communications électroniques de conserver un certain nombre de données de connexion afin de les transmettre à la justice, sur réquisition, pour les besoins d’une procédure pénale. L’article 6 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique avait institué une obligation de même nature à la charge des hébergeurs de site Internet, mais toujours dans le cadre d’une procédure pénale.

Les nécessités de la lutte contre le terrorisme justifiaient la mise en œuvre d’une procédure de réquisition administrative des données de connexion, s’ajoutant à la procédure de réquisition judiciaire. En effet, la prévention d’actes de terrorisme exige de pouvoir disposer d’informations sur des personnes qui sont soupçonnées de participer à des réseaux terroristes, mais qui n’ont jusque-là fait l’objet d’aucune poursuite judiciaire. C’est pourquoi l’article 6 de la loi du 23 janvier 2006 a créé un dispositif, extrêmement encadré, d’accès de certains agents des services chargés de la prévention du terrorisme aux données conservées par les opérateurs de communication électronique et les hébergeurs de site internet.

a) Une mise en œuvre rapide du dispositif de réquisition administrative des données conservées par les opérateurs de communications électroniques

S’agissant des dispositions relatives à la réquisition administrative des données de connexion conservées par les opérateurs de communications électroniques, celles-ci sont désormais pleinement applicables grâce à la publication des textes suivants :

—  le décret n° 2006-1651 du 22 décembre 2006 pris pour l’application du I de l’article 6 de la loi n° 2006-64 du 23 janvier 2006 a en effet permis une mise en œuvre rapide de ces dispositions. Il précise par exemple que les demandes de réquisition administrative ne peuvent être effectuées que par des agents habilités, désignés par le chef d’un service de police ou de gendarmerie spécialement chargés des missions de prévention des actes de terrorisme ⁽⁶⁾. Il définit les informations à communiquer à l’appui des demandes de communication des données, ainsi que les modalités d’instruction des demandes par la « personnalité qualifiée », de contrôle par la Commission nationale de contrôle des interceptions de sécurité (CNCIS)…

—  la décision n° 1/2006 du 28 décembre 2006 portant nomination de la personnalité qualifiée mentionnée à l’article L. 34-1-1 du code des postes et des communications électroniques était le complément indispensable du décret du 22 décembre 2006. En effet le législateur a prévu que les demandes de réquisition administratives sont soumises à la décision d’une personnalité qualifiée, placée auprès du ministre de l’intérieur. La désignation de cette personnalité qualifiée conditionnait donc la mise en œuvre de l’ensemble du dispositif. Le ministre de l’intérieur a donc présenté, comme la loi lui en fait l’obligation, une liste d’au moins trois noms à la Commission nationale de contrôle des interceptions de sécurité par deux lettres de saisine du 29 novembre et du 15 décembre 2006. La CNCIS a ensuite pu désigner M. François Jaspart, inspecteur général de la police nationale, en qualité de personnalité qualifiée pour une durée de trois ans. ⁽⁷⁾ Le nouveau dispositif est devenu pleinement opérationnel à partir du 2 mai 2007.

La désignation par la CNCIS avait été souhaitée par les parlementaires qui avaient adopté un amendement en ce sens, afin d’établir une réelle indépendance à la personnalité qualifiée, en dépit de son rattachement au ministre de l’Intérieur. Cependant, la CNCIS elle-même ne souhaitait pas disposer de cette prérogative, considérant qu’il était illogique que l’autorité de nomination de la personnalité qualifiée soit différente de son autorité hiérarchique, à savoir le ministre de l’Intérieur. Le président de la CNCIS, M. Jean-Louis Dewost, a cependant indiqué à votre rapporteur que le processus de désignation s’était déroulé dans d’excellentes conditions. Il a également considéré que l’indépendance démontrée par la personnalité qualifiée, qui s’est placée de facto sous l’autorité de la CNCIS, plaidait pour le maintien du mode de désignation retenu par la loi.

b) La mise en œuvre satisfaisante du nouveau dispositif

Dans la mesure où les dispositions de l’article 6 de la loi ont été adoptées à titre temporaire, jusqu’au 31 décembre 2008, il était important qu’elles rentrent rapidement en application, afin qu’il soit possible d’évaluer leur utilité.

Étudier le schéma type d’une demande de réquisition administrative de données de connexion permet de comprendre le fonctionnement du dispositif.

1^ère étape : la demande initiale — Les fonctionnaires habilités des services de prévention du terrorisme, dont la liste est fixée par l’arrêté du 31 mars 2006, qui ont besoin, dans le cadre d’une mission de renseignement, de connaître les données techniques liées aux communications d’une personne adressent une demande, par message électronique crypté, à l’UCLAT, qui dispose d’une plateforme technique pour centraliser les demandes à Levallois-Perret. Ces demandes comportent des informations sur l’identité du demandeur, la nature précise des données demandées et enfin la motivation de la demande. L’UCLAT effectue un premier examen sommaire des demandes (vérification de l’existence des pièces justificatives, de l’identité du demandeur…).

M. François Jaspart, « personnalité qualifiée » estime le nombre de demandes quotidiennes entre 100 et 150 ⁽⁸⁾. Ces demandes proviennent très majoritairement, pour environ les trois quarts, de la DST. La DCRG vient ensuite, loin devant les services à compétence judiciaire (Sous direction antiterroriste de la DCPJ, section antiterroriste de la préfecture de police, Gendarmerie nationale), ce qui est normal s’agissant d’une procédure de police administrative préventive. Il faut rappeler que seuls certains agents des services chargés de la prévention du terrorisme peuvent effectuer des demandes de réquisition des données de connexion : 551 agents de ces services ont reçu une habilitation en ce sens.

En ce qui concerne les données qui font l’objet d’une demande, la plus courante est l’identification d’un abonné à partir d’un numéro de téléphone (environ 70 % des demandes). Vient ensuite la liste des communications émises et reçues par un abonné qui permet d’établir l’environnement relationnel d’une personne (29,5 % des demandes). Les autres données pouvant faire l’objet d’une demande sont l’ensemble des informations concernant les abonnées d’un service de téléphone fixe ou mobile, ainsi que les informations concernant le trafic de ces communications, notamment la copie d’un document contractuel (0,25 %) ou des demandes relatives à la géolocalisation (0,04 % des demandes).

Depuis le 1^er octobre 2007, les demandes peuvent également concerner les fournisseurs d’accès Internet (identification de l’adresse IP, des moyens de paiement utilisés…). Sur les mois d’octobre et de novembre, seules 59 demandes ont porté sur ce type d’informations. Cependant, compte tenu de l’évolution technologique (téléphone par Internet, communication par chat ou en utilisant des messageries électroniques…), il est probable que les demandes concernant ce type de données vont connaître une très forte augmentation dans les années à venir.

2^ème étape : l’examen de la demande — L’UCLAT transmet ensuite la demande à la « personnalité qualifiée » qui instruit, elle–même ou l’un de ses adjoints, la demande dans des temps très brefs. La réponse est en effet toujours rendue dans la journée. En cas d’urgence, elle peut même être donnée pratiquement en temps réel.

La décision de la personnalité qualifiée s’impose, il ne s’agit en effet pas d’un simple avis. Cette décision peut être soit défavorable, soit défavorable, soit demander un complément de renseignements.

Sur l’ensemble de l’année 2007 (c’est-à-dire entre le 2 mai et le 31 décembre 2007), 27 701 demandes ont été présentées :

—  25 982 ont été validées par la personnalité qualifiée (soit un taux de 93,8 % d’acceptation) ;

—  243 demandes ont fait l’objet d’un refus. Les cas de refus portent principalement sur des demandes qui ne relèvent pas de la prévention, mais de la répression du terrorisme (et donc doivent utiliser les outils juridiques offerts par la procédure pénale), ou sur des demandes insuffisamment motivées qui ne font pas apparaître le caractère terroriste de la menace. Par exemple, une pratique rigoureuse de l’islam n’est pas un élément suffisant pouvant justifier la mise en œuvre de la procédure ;

—  1 476 demandes ont fait l’objet d’un renvoi pour informations complémentaires. Cette pratique reprend celle de la CNCIS en matière d’interceptions de sécurité (les « écoutes administratives »), elle illustre la qualité de la relation entre la personnalité qualifiée et la CNCIS.

3^ème étape : la transmission des demandes aux opérateurs — La réponse de la personnalité qualifiée est transmise à l’UCLAT. Si celle-ci est positive, elle saisit alors les opérateurs de communication électronique qui sont tenus de lui transmettre les données dont ils disposent (l’obligation de conservation dure un an). Environ 90 % des demandes reçoivent une réponse dans un délai de 24 heures.

À la différence des agents des services de police et de gendarmerie, qui doivent être individuellement habilités, les personnels des opérateurs de télécommunication qui traitent ces demandes ne font l’objet d’aucune procédure préalable, même s’ils sont bien sûr tenus au secret professionnel. M. François Giquel, vice président de la CNIL, a indiqué que cette dernière avait émis le souhait que le décret d’application institue une procédure d’habilitation pour ces personnels, que la loi n’avait d’ailleurs pas prévue.

4^ème étape : la communication des données aux services demandeurs — Les données demandées sont transmises par les opérateurs à la plateforme technique de l’UCLAT, selon des modalités assurant leur sécurité, leur intégrité, et leur suivi qui devraient être définies par une convention ou, à défaut, par arrêté. En l’absence de convention ou d’arrêté, les opérateurs transmettent les données selon les modalités qu’elles choisissent, et qui ne correspondent pas aux standards informatiques utilisés par la police et la gendarmerie nationale, qui ne peuvent donc pas les exploiter de façon optimale (obligation de saisir manuellement les numéros de téléphone par exemple). Un projet d’arrêté imposant aux opérateurs le standard XML utilisé par la police et la gendarmerie est en cours de finalisation.

L’UCLAT transmet ensuite les données au service demandeur qui peut alors les utiliser pour la finalité qui en a justifié la transmission. Par ailleurs, le décret du 22 décembre 2006 (article R. 10-19 du CPCE) dispose que ces données sont enregistrées et conservées pendant une durée maximale de trois ans dans des traitements automatisés mis en œuvre par le ministre de l’intérieur et le ministre de la défense. M. François Giquel, vice-président de la CNIL, s’est inquiété que ce fichier n’ait pas fait l’objet d’une déclaration auprès de l’instance de régulation ⁽⁹⁾.

5^ème étape : le contrôle par la CNCIS — L’article R. 10-20 du code des postes et des communications électroniques prévoit que les demandes approuvées par la personnalité qualifiée sont transmises dans les 7 jours à la CNCIS, selon des modalités fixées par l’arrêté du 10 mai 2007 du ministre de l’intérieur. Dans la pratique, le président Jean-Louis Dewost a précisé que la CNCIS recevait communication de l’ensemble des demandes formulées par les services de lutte contre le terrorisme, y compris les refus. En effet, la connaissance des refus est un élément essentiel permettant à la Commission d’évaluer la façon dont la personnalité qualifiée exerce sa mission : il serait ainsi utile de clarifier juridiquement cette situation, afin de mettre le droit en accord avec la pratique ⁽¹⁰⁾.

Plus globalement, le Président Dewost s’est félicité de la qualité de la relation entre la CNCIS et la personnalité qualifiée : celle-ci rencontre la Commission sur une base quasi-hebdomadaire, afin de confronter ses décisions avec les appréciations de la CNCIS. De la sorte, les grands éléments de la « jurisprudence » élaborée par la Commission dans le domaine des écoutes téléphoniques ont été repris par la personnalité qualifiée. Ainsi, le contrôle a posteriori prévu par la loi a une véritable incidence sur les décisions que prend la personnalité qualifiée.

La loi prévoit également que la CNCIS peut effectuer tous les contrôles qu’elle juge nécessaire et, en cas de manquement constaté, saisir le ministre de l’Intérieur d’une recommandation. Le président de la CNCIS estime que l’outil de la recommandation portant sur une demande en particulier n’est pas très adaptée, dans la mesure où il s’agit d’un contrôle a posteriori et que la recommandation ne pourra pas avoir de conséquences concrètes. Le travail au quotidien avec la personnalité qualifiée semble à cet égard beaucoup plus directement efficace. Pour autant, cette procédure reste utile car elle peut permettre d’attirer solennellement l’attention du ministre sur certains types de dysfonctionnement, permettant ainsi d’y mettre fin. En 2007, la CNCIS a ainsi émis une seule recommandation, portant sur une demande mal motivée, qui a permis une amélioration certaine des motivations des demandes. Dans ce domaine, la Commission est en effet plus exigeante pour les demandes qui ont un caractère très intrusif vis-à-vis des libertés publiques (géolocalisation ou liste des correspondants d’une personne) que pour celles qui portent uniquement sur l’identification d’un numéro de téléphone.

*

* *

En somme, le dispositif répond aux besoins qu’avaient exprimés les services de lutte contre le terrorisme dans le cadre de la préparation de la loi du 23 janvier 2006. En effet, cet accès, encadré, aux données de connexion est tout d’abord un outil permettant de beaucoup mieux utiliser les moyens des services de lutte contre le terrorisme en facilitant le très important travail d’identification des personnes à suivre, et en écartant au contraire les personnes ne présentant pas de danger, tout en étant en relation avec une personne susceptible d’appartenir à un réseau terroriste. Dans le système précédent, afin d’exploiter un renseignement, les moyens à disposition étaient soit l’écoute administrative, moyen très intrusif et dont la procédure est particulièrement lourde, soit l’ouverture d’une information judiciaire. Désormais ces moyens peuvent n’être mis en œuvre que lorsqu’ils sont réellement nécessaires. Les autres atouts du dispositif sont sa rapidité et sa réactivité qui permettent l’accès à des informations très utiles pratiquement en temps réel.

Votre rapporteur constate un fort degré de satisfaction de la part de l’ensemble des personnes concernées par le dispositif, au-delà des premiers bénéficiaires que sont les services de lutte contre le terrorisme. Tout d’abord, les opérateurs de télécommunications électroniques se félicitent de la qualité de la relation avec l’UCLAT, considérée comme « professionnellement agréable ». En effet, l’UCLAT est le correspondant unique des opérateurs, contrairement au dispositif de réquisition judiciaire qui fait intervenir une multiplicité d’interlocuteurs potentiels : de la sorte, une relation suivie peut être établie permettant une plus grande efficacité du dispositif, mais également une plus grande sécurité des transmissions de données. Certes, les associations professionnelles du secteur ont fait part à votre rapporteur de certaines critiques, portant notamment sur l’insécurité juridique liée à l’absence de certains textes d’application. Cependant, les principales critiques des opérateurs et des fournisseurs d’accès portent sur la question de la compensation des coûts engendrés par les réquisitions, mais cette question ne porte pas directement sur les réquisitions administratives, mais sur l’ensemble des réquisitions, lesquelles restent très majoritairement (pour plus de 90 %) judiciaires.

La satisfaction autour du dispositif est partagée par l’autorité qui est chargée de son contrôle la CNCIS, laquelle estime qu’il a été mis en œuvre de façon très positive et se félicite des modalités de son propre contrôle.

c) Une carence préoccupante du pouvoir règlementaire s’agissant des données destinées à identifier l’origine des contenus mis en ligne.

Si les dispositions concernant la réquisition des données techniques conservées par les opérateurs de communication électroniques ont connu une entrée en vigueur rapide, tel n’est pas le cas de celles qui devaient permettre l’identification des personnes ayant contribué à la création d’un contenu mis en ligne. Cette obligation de conservation devrait s’appliquer aux hébergeurs de site Internet et aux fournisseurs d’accès Internet (FAI). En effet, le II de l’article 6 de la loi du 23 janvier 2006, modifiant l’article 6 de la loi du 21 juin 2004 pour l’économie numérique, prévoyait un décret en Conseil d’État qui n’a pas encore été publié. Il s’agit d’ailleurs du seul acte réglementaire manquant pour l’application de la loi du 23 janvier 2006.

D’après les informations communiquées à votre rapporteur, le Gouvernement avait initialement envisagé un décret unique d’application de l’article 6 de la loi du 23 janvier 2006. De fait, le projet de décret transmis à la CNIL concernait l’application des I et II de l’article 6, alors que le décret du 22 décembre 2006 porte uniquement sur le I. Le Gouvernement a ainsi suivi l’avis de la CNIL ⁽¹¹⁾ qui avait souhaité une entrée en vigueur différée du dispositif prévu au II. de la loi pour des raisons justifiées.

Le projet de décret prévoyait en effet les modalités de transmission des données détenues par les hébergeurs de sites Internet de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont ils sont prestataires. Le problème vient de ce que ces données doivent être conservées en application de l’article 6 de la loi du 21 juin 2004, mais que leur définition, ainsi que la durée et les modalités de leur conservation devaient être fixées par un décret en Conseil d’État qui n’a toujours pas été publié. Dans ces conditions, comme le relevait la CNIL, le décret d’application de loi du 23 janvier 2006 ne peut intervenir avant la publication de celui de la loi du 21 juin 2004. En toute cohérence, il serait même préférable qu’un même décret fixe à la fois la nature des données à conserver par les fournisseurs d’hébergement et les modalités de leur transmission aux services chargés de la lutte contre le terrorisme.

Un nouveau projet de décret a donc été soumis à la CNIL, qui a rendu son avis le 20 décembre 2007. Interrogée par votre rapporteur, l’Association française des fournisseurs d’accès (AFA) a critiqué ce projet de décret, considérant que le champ des données à fournir était à la fois imprécis et trop étendu, pouvant même concerner des données qui peuvent être considérées comme relevant du contenu des communications (en-tête des messages électroniques). De plus, ils considèrent que l’obligation de conservation des données liées à l’usage d’Internet va contraindre les fournisseurs d’accès et hébergeurs de sites Internet à conserver des données qu’ils ne conservent pas actuellement pour des raisons commerciales, entraînant donc des surcoûts non compensés par les tarifs appliqués à ce type de prestation. Pour autant, la mise en œuvre rapide de ce décret, attendu depuis bientôt quatre ans est un impératif, compte tenu de l’usage croissant d’Internet par les membres des réseaux terroristes, au détriment des moyens téléphoniques.

L’avis de la CNIL soulève également un certain nombre de critiques (imprécision de la notion « d’identifiant » que les personnes concernées doivent conserver, insuffisance des dispositions sur les modalités de conservation des données…) qui portent principalement sur les modalités d’application des dispositions adoptées en 2004 (II. de l’article 6 de la loi n° 2004-575).

En ce qui concerne, la mise en œuvre des dispositions introduites par la loi du 23 janvier 2006, les observations de la CNIL reprennent celles faites à l’occasion de l’examen du décret n° 2006-1651 du 22 décembre 2006 (applicable aux opérateurs de communications électroniques). En effet ces dispositions sont relatives à la mise à disposition des données par les hébergeurs et les FAI aux autorités de lutte contre le terrorisme. La CNIL réédite donc ses observations sur la nécessité d’une habilitation des employés chargés de répondre aux demandes administratives de communication des données, sur sa volonté d’être saisie d’éventuels projets de décrets ou de conventions portant sur les modalités de sécurisation des transmissions… La CNIL rappelle également que la mise en œuvre de traitements automatisés des demandes réalisées et des données transmises devrait faire l’objet de la remise auprès d’elle d’un dossier de formalités préalables.

Faut-il pérenniser les dispositions de l’article 6 de la loi du 23 janvier 2006 ?

L’article 32 de la loi a prévu que certains des articles de la loi, dont l’article 6, seraient applicables jusqu’au 31 décembre 2008. Le caractère temporaire de ces dispositions se justifie par l’aspect novateur de certaines procédures dans des domaines qui intéressent les libertés publiques. Avant que ces dispositions ne soient éventuellement pérennisées par le Parlement, une évaluation de leur efficacité et de leur effet sur les libertés individuelles doit en effet être conduite.

La mise en œuvre très positive de la réquisition administrative des données de connexion des opérateurs de communication plaide incontestablement pour la pérennisation de ces dispositions au-delà du 31 décembre 2008. Quant au dispositif de réquisition des données conservées dans le cadre de la loi sur la confiance dans l’économie numérique, celui-ci n’étant pas encore entré en vigueur, il sera également nécessaire de prolonger son application afin de pouvoir évaluer son efficacité. Par ailleurs, les motivations qui ont justifié la mise en œuvre de ce dispositif, à savoir l’accroissement du risque terroriste, restent malheureusement toujours d’actualité.

Votre rapporteur considère donc nécessaire de prolonger l’application de la loi au-delà du 31 décembre 2008 : soit en pérennisant ces dispositions, soit, comme le souhaite la CNIL, en prolongeant leur application pour une nouvelle période temporaire de trois ans. En effet, au terme de cette période, il sera alors possible au Parlement d’avoir une vision générale de l’efficacité du dispositif, lui permettant de prendre une décision définitive.

3. Une occasion saisie pour clarifier la question de l’indemnisation des surcoûts supportés par les opérateurs

La loi du 15 novembre 2001 relative à la sécurité quotidienne avait prévu que les éventuels surcoûts à la charge des opérateurs liés à la conservation et à la communication des données techniques dans le cadre d’une réquisition judiciaire font l’objet d’une compensation financière. Cependant, dans la mesure où le décret prévu n’avait pas été publié, ce sont les opérateurs qui fixaient unilatéralement des tarifs qui étaient manifestement excessifs. Le niveau de ces tarifs s’était d’ailleurs traduit par une très forte augmentation des frais de justice dans la première moitié des années 2000 (+ 68 % entre 2002 et 2005).

Par ailleurs, il semble que cette délicate question de la fixation des tarifs applicables aux réquisitions soit en grande partie à l’origine de l’inertie du pouvoir réglementaire entre 2001 et 2006. Ainsi, afin d’assouplir le mécanisme de fixation des tarifs, l’article 18 de la loi du 23 janvier 2006 a prévu que le décret pourrait soit directement établir les tarifs, comme cela était le cas jusqu’ici, soit fixer les modalités de fixation de ce tarif. C’est cette deuxième option qui a été choisie par le pouvoir réglementaire, l’article 3 du décret précité du 24 mars 2006 précisant que les tarifs sont fixés par un arrêté du ministre de l’économie, des finances et de l’industrie et du garde des sceaux.

Ainsi, un arrêté du 22 août 2006 (J.O. du 1^er septembre 2006) fixe le montant des tarifs de chacune des opérations réalisées par les opérateurs au profit des autorités judiciaires. La publication de cet arrêté, qui a entraîné une baisse des tarifs applicables, faisait partie d’un plan plus vaste mené par le ministère de la justice de maîtrise des frais de justice. Néanmoins, la nouvelle grille tarifaire ⁽¹²⁾ a largement contribué à la diminution des dépenses liées aux réquisitions auprès des opérateurs de communications : après une hausse de 242 % entre 1999 et 2004, et une hausse de 12,9 % en 2005, ces dépenses ont diminué de 44 % en 2006 (38 millions d’euros, contre 69 millions l’année précédente).

La grille tarifaire établie par cet arrêté fait cependant l’objet de critiques de la part des opérateurs de communications et des fournisseurs d’accès à Internet. Selon eux en effet, les tarifs appliqués prennent en compte uniquement le coût de la prestation opérée au cas par cas, sans prendre en compte les surcoûts induits par l’existence même d’un dispositif de réquisition des données qui contraindrait les opérateurs à des investissements supplémentaires (en matière de stockage des données à conserver notamment). Les fournisseurs d’accès estiment que les obligations légales et réglementaires leur imposent de conserver des données qu’ils ne conservent pas pour des raisons commerciales et craignent que cette situation n’empire dès que le décret d’application de l’article 6 de la loi pour la confiance dans l’économie numérique aura été publié. De plus, l’évolution technologique (développement de l’Internet sur téléphone mobile…) va entraîner un accroissement très significatif du stock d’informations à conserver, qui nécessitera de nouveaux investissements pour augmenter les capacités de conservation.

Certains opérateurs de communications et fournisseurs d’accès ont d’ailleurs attaqué pour excès de pouvoir l’arrêté du 22 août 2006, mais le Conseil d’État ⁽¹³⁾ n’a pas partagé leur argumentation, annulant uniquement une disposition bien spécifique de la grille tarifaire.

Dans le domaine des réquisitions administratives créées par l’article 6 de la loi du 23 janvier 2006, le décret n° 2006-1651 du 22 décembre 2006 (article R. 10-21 du code des postes et des communications électroniques) dispose que les surcoûts identifiables et spécifiques supportés par les opérateurs pour la fourniture de données techniques font l’objet d’un remboursement selon des modalités fixées par un arrêté conjoint du ministre de l’intérieur et des ministres chargés du budget et des communications électroniques. Les opérateurs de télécommunications ont signalé à votre rapporteur que cet arrêté n’avait pas encore été publié, ce qui n’a d’ailleurs pas empêché la mise en œuvre du dispositif de réquisition administrative des données de connexion le 1^er mai 2007. Les prestations fournies ne sont pour autant pas réalisées gratuitement, mais le sont sur la base des tarifs des réquisitions judiciaires, ce qui ne semble pas poser de difficultés particulières, même s’il ne s’agit pas d’une solution satisfaisante. Pour des raisons de sécurité juridique, les opérateurs souhaiteraient donc la publication de l’arrêté spécifique prévu par le décret du 22 décembre 2006.

B. L’INTENSIFICATION DES CONTRÔLES TRANSFRONTALIERS

1. L’extension des contrôles d’identité à bord des trains internationaux

L’article 3 de la loi du 23 janvier 2006 a modifié l’article 78-2 du code de procédure pénale afin d’étendre les possibilités de procéder à des contrôles d’identité systématiques à bord des trains internationaux, au-delà de la bande des vingt kilomètres. Désormais, les contrôles d’identité peuvent être effectués, d’une part, entre la frontière et le premier arrêt qui se situe au-delà de la zone des 20 kilomètres et, d’autre part, entre le premier arrêt situé à 20 kilomètres de la frontière et un autre arrêt situé dans la limite des 50 kilomètres suivants. Cependant, ces contrôles ne peuvent être opérés que sur des lignes internationales présentant des caractéristiques particulières de dessertes, fixées par arrêté ministériel. De même, la liste des arrêts concernés devait également être définie par cet arrêté.

Ainsi, ces dispositions sont devenues applicables avec la publication de l’arrêté du ministre de l’Intérieur du 26 avril 2006. D’après le directeur de la police aux frontières, cette disposition a contribué à l’augmentation du nombre de patrouilles mixtes (franco-belges, franco-allemandes, franco-italiennes ou franco-espagnoles) à bord des trains internationaux. En effet, avant la mise en œuvre de la loi, le temps disponible pour effectuer les contrôles d’identité, à savoir celui mis par le train pour atteindre le premier arrêt suivant la bande des 20 kilomètres, était trop bref pour réaliser des contrôles approfondis. En outre, la montée en puissance du service national de police ferroviaire, créé par l’arrêté du 27 juin 2006, a permis de dégager les moyens humains suffisants afin de procéder à ces contrôles d’identité.

Cependant, le directeur central de la police aux frontières a indiqué à votre rapporteur que la rédaction retenue en 2006 était assez restrictive puisqu’elle ne semblait permettre d’opérer des contrôles d’identités que dans le sens pays étranger/France, et non dans le sens inverse. La Cour d’appel de Bordeaux a par exemple annulé des contrôles d’identité pratiqués à bord de trains faisant la liaison entre la France et l’Espagne, considérant qu’il ne pouvait alors pas s’agir de contrôles migratoires. Dans la mesure où ces contrôles sont de plus en plus pratiqués par des patrouilles mixtes, cette distinction en fonction du sens de circulation semble relativement artificielle et pourrait faire l’objet d’une modification législative.

2. Le contrôle des déplacements des passagers du transport aérien

L’article 7 de la loi du 23 janvier 2006 a autorisé trois types de collectes des données des passagers du transport international de voyageurs, à l’exclusion de ceux voyageant au sein de l’Union européenne. Ces données peuvent ensuite donner lieu à des traitements automatisés permettant aux services de lutte contre le terrorisme et de lutte contre l’immigration clandestine de disposer d’une connaissance plus fine des déplacements internationaux.

a) Le fichier national transfrontière (FNT)

L’article 7 a tout d’abord permis la rénovation du fichier national transfrontière. Le FNT avait été créé par un arrêté du ministre de l’intérieur du 29 août 1991, mais il était peu utilisable car alimenté et exploité manuellement. La loi a ainsi autorisé son alimentation automatique à partir des bandes de lecture optique des documents de voyage et des données figurant sur les cartes d’embarquement et de débarquement.

L’arrêté du 3 novembre 2006 du ministre de l’intérieur portant modification de l’arrêté du 29 août 1991 relatif au traitement informatisé du fichier national transfrontière permet en théorie de collecter l’ensemble des données recueillies à l’occasion des contrôles frontaliers et de constituer un traitement automatisé à partir de cette base.

Cependant, en pratique, le dispositif n’a été mis en œuvre que pour les vols à destination d’un certain nombre de pays limitativement énumérés. En effet, la doctrine française de l’antiterrorisme est de privilégier la surveillance fine d’un certain nombre de cibles plutôt que d’opérer un contrôle généralisé de l’ensemble de la population par l’alimentation de gigantesques bases de données difficilement exploitables.

Le ministère de l’intérieur a donc indiqué à la CNIL que l’arrêté du 3 novembre 2006, qui est pourtant d’application générale, ne serait utilisé que pour quelques pays figurant sur une liste fixée par décision du ministre de l’intérieur et communiquée à la CNIL. Ainsi, cette dernière a reçu, par lettre du 2 mars 2007, la liste des 30 pays où le FNT rénové peut être mise en œuvre. En réalité, dans un premier temps, le ministère de l’intérieur a décidé de se concentrer sur cinq destinations « sensibles » ⁽¹⁴⁾ pour lesquelles l’ensemble des données des documents de voyage et des cartes d’embarquement sont recueillis au sein d’un traitement automatisé, et conservées pour une durée de trois ans, correspondant à la demande de la CNIL. Une autre demande de l’organisme de contrôle a été prise en compte puisqu’il n’y a pas d’interconnexion entre le FNT et le fichier des personnes recherchées (FPR) ou le système d’informations Schengen (SIS) ⁽¹⁵⁾.

L’avantage pour les services de lutte contre le terrorisme de disposer de ces données en temps réel est d’établir avec certitude l’arrivée d’une personne surveillée sur le territoire. Ces services ont donc commencé à s’équiper informatiquement afin d’avoir accès à ce traitement de données alimenté depuis février 2007. La DST, qui est principalement concernée, est ainsi reliée au système depuis décembre 2007.

b) le fichier des passagers aériens (FPA)

Le complément naturel du FNT est le fichier des données collectées par les entreprises de transport international au moment de l’enregistrement et dont elles disposent au moment de l’embarquement (données dites « APIS » ⁽¹⁶⁾). Ces données sont certes moins fiables que celles du FNT, puisqu’elles sont recueillies par un tiers, le personnel des compagnies aériennes, mais elles permettent aux services d’anticiper, puisque ces données sont connues avant même le vol. Ainsi, la collecte et le traitement des données APIS ont également été autorisés par l’article 7 de la loi du 23 janvier 2006, lequel transposait en droit français la directive du 29 avril 2004 ⁽¹⁷⁾.

Le Gouvernement a choisi de mettre en œuvre ces dispositions novatrices de façon expérimentale : l’arrêté du 19 décembre 2006 du ministre de l’intérieur, du ministre de la défense et du ministre des transports crée en effet ce traitement automatisé pour une durée de deux ans à compter de sa publication au journal officiel (le 21 décembre 2006).

Comme pour le FNT, le nouveau fichier dénommé FPA (fichier des passagers aériens), est susceptible d’accueillir les données de l’ensemble des passagers du transport aérien. Cependant, dans un souci d’efficacité et de respect des libertés publiques, le choix a été fait de concentrer l’expérimentation sur les mêmes cinq pays que le FNT.

Le FPA est alimenté depuis mai 2007 par les données relatives aux passagers enregistrées dans le système de contrôle des départs des transporteurs aériens ⁽¹⁸⁾ à destination des pays concernés présents sur les aéroports de Roissy-Charles de Gaulle, Orly et Marseille Marignane. Ces données sont envoyées par les compagnies à la SITA ⁽¹⁹⁾ qui les transmet au poste de la Police aux frontières de Roissy. Les modalités de transmission de ces données ont été précisées par le décret n° 2006-1630 du 19 décembre 2006. En cas de manquements à leurs obligations de transmission des données, la loi prévoit une amende d’un montant maximum de 50 000 euros : bien que cette disposition soit applicable depuis la publication du décret n° 2006-725 du 22 juin 2006, aucune sanction n’a encore été prononcée à l’égard des compagnies aériennes, qui semblent faire preuve de bonne volonté.

Ces données sont ensuite acheminées au site du ministère de l’intérieur de Lognes (Seine-et-Marne) où est réalisée l’interconnexion avec le fichier des personnes recherchées (FPR) et le système d’informations Schengen (SIS). Si la mention « connu » apparaît, les services intéressés par cette information sont immédiatement avisés. Conformément au vœu de la CNIL, qui l’avait demandé dans son avis rendu le 14 septembre 2006, l’arrêté précise que cette mention est effacée au bout de vingt-quatre heures, alors que les autres données sont conservées pendant cinq ans ⁽²⁰⁾. En effet, l’inscription au FPR ou au SIS peut être évolutive dans le temps, son effacement rapide était donc nécessaire.

Les premiers mois de mise en œuvre ont montré que le dispositif nécessitait encore d’être perfectionné techniquement avant de devenir un outil incontournable de la lutte contre le terrorisme. Les principales failles du système sont :

—  l’absence de prise en compte des vols avec escale : le système ne prend en compte que les vols directs en direction des cinq pays « cibles » ;

—  les problèmes liés à la saisie des noms par les personnels des compagnies aériennes. En cas d’erreur au moment de l’alimentation du fichier, l’interconnexion avec le FPR et le SIS est en effet impossible. Une première solution pourrait consister à améliorer la formation des employés des compagnies aériennes. L’autre difficulté réside dans la transcription des patronymes de personnes dont la langue n’utilise pas l’alphabet latin ;

—  le coût de la mise en œuvre de ce type de dispositifs qui en limite nécessairement la diffusion.

Conscient des améliorations à apporter au dispositif, le directeur central de la police aux frontières a indiqué à votre rapporteur que sa priorité était d’améliorer l’expérimentation actuelle avant de penser à la généraliser à d’autres pays. Un audit technique a d’ailleurs été demandé au Service des technologies de la sécurité intérieure du ministère de l’intérieur, qui permettra également de s’interroger sur l’opportunité de disposer de deux fichiers différents (FNT et FPA) concernant les mêmes pays.

c) les données personnelles des voyageurs (PNR)

Les données enregistrées lors de la réservation du titre de transport, dites données PNR (passenger name record) peuvent également être collectées et traitées dans le cadre de l’article 6 de la loi du 23 janvier 2006. Aucun traitement enregistrant ces données n’a cependant encore été créé. Le chef de l’UCLAT a rappelé à votre rapporteur que le commissaire européen Franco Frattini avait présenté le 6 novembre 2007 une proposition de décision-cadre sur l’utilisation des données PNR, et qu’il semblait donc prématuré de mettre en place un dispositif de façon isolé, lequel pourrait ne pas être conforme à la future décision-cadre.

Votre rapporteur considère en outre qu’il est préférable que les services du ministère de l’intérieur se concentrent sur le perfectionnement des outils existants (FNT et FPA) avant de se lancer dans la mise en œuvre d’un nouveau traitement automatisé des données personnelles des voyageurs.

C. L’ASSOUPLISSEMENT DES RÈGLES RELATIVES AUX FICHIERS DU MINISTÈRE DE L’INTÉRIEUR ET AUX FICHIERS INTÉRESSANT LA SÉCURITÉ NATIONALE

1. L’accès aux fichiers du ministère de l’intérieur par les services chargés de la lutte contre le terrorisme

L’article 9 de loi du 23 janvier 2006 autorise les agents des services chargés de la lutte contre le terrorisme à avoir directement accès aux informations contenues dans un certain nombre de fichiers tenus par le ministère de l’intérieur (permis de conduire, passeports, cartes d’identité, fichiers relatifs aux étrangers…).

●  La mise en œuvre de cet accès direct a nécessité la mise à jour des actes réglementaires concernant chacun des traitements automatisés dont l’accès a été autorisé par la loi :

—  le fichier national des immatriculations est autorisé par les articles L. 330-1 et L. 330-2 du code la route. L’article R. 330-2 du même code prévoit l’accès direct aux informations contenues dans ce fichier par un certain nombre de fonctionnaires et de militaires (préfets, personnels du ministère des transports, policiers et gendarmes dans le cadre des contrôles routiers…). L’article 2 du décret n° 2007-86 du 23 janvier 2007 relatif à l’accès à certains traitements automatisés mentionnés à l’article 9 de la loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers vient donc compléter l’article R. 330-2 du code la route : l’accès direct au fichier des immatriculations est désormais ouvert aux agents des services chargés de la lutte contre le terrorisme ;

—  le système national de gestion des permis de conduire est autorisé par l’article L. 225-1 du code la route. L’article R. 225-4 de ce code fixe la liste des personnes ayant un accès direct à ce traitement : cet article a été complété par l’article 1^er du décret n° 2007-86 du 23 janvier 2007 pour permettre la mise en œuvre des dispositions de la loi ;

—  le système de gestion des cartes nationales d’identité a été créé par l’article 6 du décret n° 55-1397 du 22 octobre 1955. L’accès de certains services du ministère de l’intérieur et, sous certaines conditions, des services de police ou de gendarmerie, était prévu par les articles 10 et 11 du décret, qui ont donc été modifiés par le décret n° 2007-391 du 21 mars 2007 afin de permettre l’accès à ces données des agents des services de lutte contre le terrorisme ;

—  le système de gestion des passeports (DELPHINE) est prévu par l’article 18 du décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques. Afin de permettre l’accès des services de lutte contre le terrorisme aux informations qu’il contient, l’article 4 du décret n° 2007-86 du 23 janvier 2007 a donc modifié le décret n° 2005-1726 du 30 décembre 2005 ;

—  le système informatisé de gestion des dossiers des ressortissants étrangers en France (AGDREF) est organisé par l’article D. 611-1 du code de l’entrée et du séjour des étrangers et du droit d’asile (CESEDA). Les conditions de l’accès aux informations qu’il contient sont prévues par l’article D. 611-3, qui a ainsi été modifié par le décret n° 2007-87 du 23 janvier 2007 ;

—  le traitement informatisé des empreintes digitales et de la photographie des ressortissants étrangers qui ne remplissent pas les conditions d’entrée sur le territoire français, prévu par les articles L. 611-3 à L. 611-5 du CESEDA, a été créé par le décret n° 2007-1136 du 25 juillet 2007. Pris après la promulgation de la loi du 23 janvier 2006, ce décret a donc pu prévoir dès l’origine l’accès aux données des agents des services de lutte contre le terrorisme ;

—  le traitement informatisé des empreintes digitales et de la photographie des demandeurs de visa (BIODEV), prévu par l’article L. 611-6 du CESEDA, a été créé par l’article R. 611-8 du CESEDA. L’article R. 611-12 prévoit les modalités d’accès aux données de ce fichier, sa nécessaire modification a été opérée par l’article 3 du décret n° 2007-86 du 23 janvier 2007.

●  Sur initiative sénatoriale, le dispositif de consultation des fichiers du ministère de l’intérieur avait été étendu à certains agents des services du ministère de la défense chargés de la prévention du terrorisme. La liste des services concernés devait être fixée par un arrêté conjoint des ministres de l’intérieur et de la défense. Cet arrêté a été signé le 27 juin 2006 (publié au J.O. du 12 juillet 2006), il concerne les services suivants : le service en charge des questions de protection et de sécurité de défense et les directions opérationnelles de la direction générale de la sécurité extérieure (DGSE), les sous-directions opérationnelles et les organismes extérieurs de la direction de la protection et de la sécurité de la défense (DPSD), la sous-direction des opérations de la direction du renseignement militaire (DRM).

●  L’adaptation des actes réglementaires créant chacun des traitements était la condition juridique de l’application des dispositions de l’article 9. Pour que ces dispositions deviennent ensuite opérationnelles, il était nécessaire de réaliser les investissements techniques de raccordement permettant concrètement aux agents habilités d’accéder directement aux fichiers par une simple consultation informatique. Les principaux services de police et de gendarmerie chargés de la lutte contre le terrorisme peuvent avoir aujourd’hui accès aux fichiers des immatriculations et des permis de conduire.

Les services de lutte contre le terrorisme considèrent que cet accès direct à des fichiers, qui n&