Afin de faciliter les investigations dans le domaine des atteintes aux systèmes de traitement automatisé des données (STAD), la Police Judiciaire s’est dotée d’une nouvelle plateforme : Malware Information Sharing Plateforme – PJ (MISP-PJ).
Ces dernières années, du fait notamment de la pandémie, les attaques informatiques, ont fortement augmenté. Il était donc devenu urgent pour la Police et la Gendarmerie de se doter de nouveaux outils.
La nouvelle plateforme est censée centraliser des informations venant de procédures judiciaires déjà ouvertes, pour aider les forces de l’ordre dans leurs investigations et permettre aussi le recoupement des informations.
Les données sont issues à la fois des logiciels de procédures judiciaires de la Police et de la Gendarmerie nationale, du recueil d’informations relatives aux incidents du CSIRT-PJ et des sources ouvertes provenant par exemple de sociétés de cybersécurité.
Selon l’arrêté du 22 décembre 2021 autorisant la mise en œuvre de MISP-PJ, les données enregistrées dans cette base concernent à la fois : les victimes (nom, prénom, adresse IP, etc.), les faits et leur auteur (date, nature et circonstances des faits, adresse IP, pseudonymes, nom de profil sur les réseaux sociaux, etc.), mais aussi les services d’enquêtes.
Cette base de données est accessible seulement aux services spécialisés dans la lutte contre la cybercriminalité comme le Centre de lutte contre les criminalités numériques (C3N) de la Gendarmerie nationale, l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) de la Police nationale, ou encore la section J3 Cybercriminalité du parquet de Paris. Sous certaines conditions, les organismes internationaux de coopération policière et judiciaire pourront y accéder, comme Europol et Interpol.
La CNIL, dans un avis du 24 juin 2021, a accueilli favorablement cette nouvelle base de données notamment du fait de « la multiplication des risques liés à la cybersécurité et la sophistication croissante des moyens des attaquants ».
Cependant, elle regrette que le Ministère de l’Intérieur n’ait pas souhaité réaliser une analyse d’impact avant la mise en place de ce nouveau fichier. Elle a aussi fait plusieurs recommandations, notamment s’agissant de la suppression des données. En effet, l’arrêté prévoit une suppression manuelle des données au bout de six ans, néanmoins la CNIL recommande une suppression automatisée afin d’éviter que les données soient conservées plus longtemps. Elle souhaite également que ces dernières soient effacées au bout de trois ans.
Julie HEYRAUD
Sources :
- Arrêté du 22 décembre 2021 autorisant la mise en oeuvre d’un traitement automatisé de données à caractère personnel relatif aux atteintes aux systèmes de traitement automatisé de données dénommé “MISP-PJ”
- Délibération n°2021-071 du 24 juin 2021 portant avis sur un projet d’arrêté autorisant la mise en oeuvre d’un traitement automatisé de données à caractère personnel relatif aux atteintes aux systèmes de traitement automatisé de données dénommé “MISP-PJ”
