« Une ingérence est considérée comme « nécessaire dans une société démocratique »
pour atteindre un but légitime si elle répond à un « besoin social impérieux » et, en
particulier, si elle est proportionnée au but légitime poursuivi et si les motifs invoqués
par les autorités nationales pour la justifier apparaissent « pertinents et suffisants ». »
(CEDH, S. et Marper c. Royaume-Uni, 4 décembre 2008, no 30562/04 et 30566/04,
§101)
Il en ressort que serait inconstitutionnelle et inconventionnelle une disposition législative permettant une atteinte aux droits et libertés à la fois disproportionnée et non
nécessaire à la poursuite des objectifs qu’on lui assigne.
En l’espèce,
Même lorsque les données scannées par les boîtes noires correspondent aux sélecteurs
retenus dans la conception des algorithmes, des personnes n’ayant rien à voir avec les
finalités de ces dispositions, à savoir la lutte contre le terrorisme, risquent de faire l’objet
de mesures de surveillance plus poussées. Ainsi, le simple recours à des protocoles de
chiffrement — dont l’utilisation est, comme il a déjà été évoqué, recommandée par les
pouvoirs publics, notamment l’Assemblée parlementaire du Conseil de l’Europe (voir
section 6.2 page 49) — risque de conduire au traitement, et à la conservation, des données
concernées.
Une telle suspicion déclenchera automatiquement la transmission de ces données par
les opérateurs ayant installé les boîtes noires aux services de renseignement, lesquels
conserveront et analyseront ces données 5 . Sur cette seule base, les services de renseignement pourront ensuite solliciter une autorisation en vue de recueillir en temps réel les
informations et documents détenus par les opérateurs (article L. 851-3) ou même réaliser
des interceptions de sécurité (article L. 852-1).
Dans le même ordre d’idées, il importe de rappeler que dans les controverses juridiques
touchant aux techniques dites de data-mining mises en œuvre dans le cadre d’activités de
surveillance, de nombreux ingénieurs interviennent pour rappeler le caractère inefficace
et contre-productif de ces mesures 6 . Ainsi, au cours du débat parlementaire sur le projet
de loi sur le renseignement, une note interne issue d’experts de l’Institut national de
recherche en informatique appliquée (Inria) a fuité dans la presse 7 . Dans ce document,
les auteurs soulignent que les personnes visées par ces mesures pourront facilement les
contourner à travers l’utilisation de techniques de chiffrement ou d’anonymisation des
5. Or, l’article L. 851-4 examiné prévoit, à son II, que la CNCTR « dispose d’un accès direct et
permanent à ces traitements ainsi qu’aux informations et données recueillies », impliquant sans ambiguïté que les boîtes noires réalisent « la collecte, l’enregistrement, la conservation, la consultation et la
communication » des données qu’elles traitent, même temporaire, sans quoi la CNCTR ne pourrait nullement y accéder. De même, cet article prévoit, à son IV, que « lorsque les traitements [...] détectent des
données susceptibles de caractériser l’existence d’une menace à caractère terroriste, le Premier ministre
ou l’une des personnes déléguées par lui peut autoriser [...] l’identification de la ou des personnes concernées », impliquant nécessairement que les données permettant cette identification aient été préalablement
collectées et conservées.
6. Voir par exemple : Alberson et al., Amici Curiæ Brief of Experts in Computer and Data
Science in Support of Appellants and Reversal. Cour d’appel du deuxième circuit des États-Unis
d’Amérique. Disponible à l’adresse http://michellawyers.com/wp-content/uploads/2015/01/ACLUv.-Clapper_Amici-Curiae-Brief-of-Experts-In-Computer-and-Data-Science-In-Support-ofAppellants-and-Reversal.pdf.
7. Note interne de l’Inria, Éléments d’analyse technique du projet de loi relatif au renseignement, 30
avril 2015. Disponible à l’adresse : http://sciences.blogs.liberation.fr/files/265206918-noteinterne-de-l-inria.pdf.
58