52
Lorsque le Premier ministre ne donne pas suite à cette recommandation ou lorsqu’elle estime
que les suites sont insuffisantes, la Commission peut, à la majorité absolue de ses membres,
décider de saisir le Conseil d’Etat
Au total, cette procédure très détaillée dans la loi, placée sous le regard direct de la CNCTR y compris en urgence - qui peut formuler des avis préalables, des recommandations, en cas de
passer outre ou de mise en œuvre non conforme visant à interrompre ou détruire les données
collectées, et, le cas échéant, saisir le Conseil d’Etat, est très protectrice et constitue une
garantie efficace pour le citoyen.
2.2.2.1.4.2 Renseignements collectés (Chapitre II-Titre II- article L. 822-1 et
suivants)
Le régime actuel des interceptions de sécurité prévoit une durée de conservation de 10 jours à
compte de la date des enregistrements, la transcription des interceptions devant ensuite être
détruite, sans condition de délai, dès que leur conservation n’est plus indispensable à la
réalisation des fins mentionnée (cf. L. 242-7 du code de la sécurité intérieure)
Les articles L 822-1 et suivants créent un régime de conservation des informations plus
maîtrisé :
Pour garantir l’effectivité du contrôle, l’article L. 822-1 prévoit une traçabilité de la mise en
œuvre des mesures (date de début et fin de la mise en œuvre, nature des données recueillies)
organisée par un service placé auprès du Premier ministre qui définit les modalités de leur
centralisation.
Le relevé des opérations est conservé par le service qui a mis en œuvre la mesure et tenu à la
disposition de la CNCTR L’article L. 822-3 prévoit d’ailleurs que les renseignements ne
peuvent être collectés, transcrits, extraits ou exploités à d’autres fins que celles prévues par la
loi.
L’article L. 822-2 module la durée de conservation des correspondances enregistrées en
fonction de leur nature, afin de concilier protection de la vie privée et usage opérationnel par
les services.
Les données recueillies doivent être détruites au terme d’une durée maximale de douze mois à
compter de leur recueil. Cette durée maximale est toutefois réduite à un mois à compter de
leur enregistrement, s’il s’agit d’interceptions de sécurité, ou portée à cinq ans, s’il s’agit de
données de connexion. Lorsque les renseignements recueillis sont chiffrés, la durée peut être
prolongée pour les seuls besoins de l’analyse technique du chiffrement.
Une durée plus longue est également possible s’agissant des données contenant des éléments
de cyber-attaque, et ce, à des seules fins d’analyse technique (identification et traitement des
virus) et à l’exclusion de toute utilisation pour la surveillance des personnes concernées par la
mesure initiale.
Les données recueillies ne peuvent être extraites ou exploitées pour d’autres fins que celles
mentionnées à l’article L. 811-3. Les extraits ou exploitations doivent être détruits lorsqu’ils
ne sont plus indispensables à la réalisation de ces fins (article L. 822-3), et font l’objet de
relevés accessibles à la CNCTR (article L. 822-4 du même code).