Le Gouvernement a communiqué à la CNCTR une description détaillée de l’architecture
envisagée. La Commission a rendu un avis favorable en 2016, estimant que la proposition selon
laquelle les flux de données de connexion étaient dupliqués chez les opérateurs puis acheminés
pour être soumis à des dispositifs de détection centralisés était une interprétation permise par la
lettre de la loi, les opérations de sélection, duplication, acheminement des données puis
d’exécution des algorithmes constituant des traitements dont la mise en œuvre est imposée aux
opérateurs sur leurs réseaux.
La CNCTR a cependant rappelé que l’objet de la technique de l’algorithme était d’agir à la
manière d’un tamis sur les flux de données de connexion, de sorte qu’il ne permettait aucune
conservation des données autre que strictement nécessaire à la détection de successions
d’événements de télécommunication traduisant la séquence révélatrice d’une menace terroriste
que l’algorithme a été configuré pour détecter. Elle a par ailleurs subordonné son avis favorable
à deux conditions :
-
d’une part, le dispositif centralisé de détection algorithmique devait être placé sous la
seule responsabilité du GIC, chargé de garantir l’étanchéité de ce dispositif vis-à-vis des
services de renseignement ;
-
d’autre part, le Gouvernement devait clarifier devant le Parlement l’option finalement
retenue pour la mise en œuvre de l’article L. 851-3 du code de la sécurité intérieure.
Les deux conditions ont été remplies préalablement à la mise en œuvre du premier algorithme
fin 2017 :
-
le GIC est seul habilité à exécuter les algorithmes, dans les conditions définies par la
loi, sous le contrôle de la CNCTR qui « dispose d’un accès permanent, complet et direct
à ces traitements ainsi qu’aux informations et données recueillies » (II de l’article
L. 851-3). Il est le seul destinataire des alertes automatiques et c’est lui seul qui, après
nouvelle autorisation, remet au service de renseignement les données qui ont déclenché
l’alerte. Aucun service de renseignement ne peut accéder aux données soumises aux
traitements automatisés ; les seules données susceptibles de leur être transmises sont
celles qui ont donné lieu à une alerte de la part d’un algorithme autorisé par une première
décision du Premier ministre, prononcée en application du I de l’article L. 851-3 et dont
l’anonymat est levé par une seconde décision du Premier ministre, prononcée en
application du IV du même article ;
-
une description du dispositif retenu et les raisons qui ont présidé à son choix ont été
communiquées à la Délégation parlementaire au renseignement.
Le dispositif a finalement été mis en œuvre fin 2017, après avis favorable de la CNCTR. Trois
algorithmes ont été autorisés depuis lors par le Premier ministre ; ils avaient préalablement fait
l’objet d’un avis favorable de la CNCTR. Le paramétrage des algorithmes, placé sous le
contrôle de la CNCTR, a permis de contenir la fréquence des alertes tout en maintenant un seuil
de détection utile : le nombre d’alertes issues des trois algorithmes autorisés s’est ainsi élevé à
177