Article 12 : Pérennisation des dispositions relatives à l’algorithme
1.
ÉTAT DES LIEUX
1.1. CADRE GENERAL
L’article L. 851-3 du code de la sécurité intérieure, créé par la loi n° 2015-912 du 24 juillet
2015 relative au renseignement, ouvre la possibilité d’imposer la mise en place, sur les réseaux
des opérateurs de communications électroniques et des fournisseurs de services sur internet, de
traitements automatisés destinés à détecter des connexions susceptibles de révéler une menace
terroriste, plus communément appelés algorithmes, sans qu’il soit possible de procéder, dans
un premier temps, à l’identification des personnes concernées. Ce n’est que lorsque la menace
est avérée que le Premier ministre peut, après avis de la Commission nationale de contrôle des
techniques de renseignement (CNCTR), autoriser l’identification de la personne en cause et le
recueil des données de connexion afférentes.
Cet article est applicable jusqu’au 31 décembre 2021, conformément aux dispositions modifiées
de l’article 25 de la loi n° 2015-912 du 24 juillet 2015 relative au renseignement, le
Gouvernement devant adresser au Parlement un nouveau rapport sur l'application de cette
disposition, au plus tard le 30 juin 2021.
Contrairement aux autres techniques de renseignement (balisage, captations de paroles et
d’images…) qui lui préexistaient à la loi de 2015 et dont le législateur a encadré les conditions
de mise en œuvre, la technique de l’algorithme n’avait pas encore été mise au point ; c’est
d’ailleurs pourquoi une période d’expérimentation a été exigée par le législateur.
A la suite de la promulgation de la loi du 24 juillet 2015, le groupement interministériel de
contrôle (GIC), en liaison avec la direction générale de la sécurité intérieure (DGSI) et la
direction générale de la sécurité extérieure (DGSE), a ainsi examiné plusieurs options possibles
d’exécution des algorithmes, sous le contrôle permanent de la Commission nationale de
contrôle des techniques de renseignement (CNCTR).
Ces travaux visaient à garantir le bon fonctionnement du dispositif et à élaborer une architecture
technique préservant l’intérêt opérationnel de l’outil de détection prévu à l’article L. 851-3 du
CSI. Deux facteurs conditionnent l’efficacité du dispositif :
les paramètres d’alerte doivent être définis de manière suffisamment précise pour
répondre au besoin opérationnel de détection de données susceptibles de caractériser
l’existence d’une menace terroriste. Des paramètres trop restrictifs aboutiraient en effet
à un nombre quasi nul d’alertes produites par les traitements automatisés ; des critères
trop larges contribueraient au contraire à de nombreux « hits » sans intérêt opérationnel
pour les services, avec le risque de ne pas être en capacité de traiter l’ensemble des
alertes et de passer à côté d’une menace réelle. L’objectif des services est bien de
minimiser le nombre d’alertes ;
175