Les paramètres de détection sont contrôlés par la CNCTR, autorité administrative indépendante.
La Commission s’assure notamment que les paramètres retenus correspondent précisément à la
finalité annoncée par le service et que la demande de mise en œuvre de l’algorithme est motivée
de manière détaillée et circonstanciée. Concrètement, les ingénieurs de la CNCTR analysent le
code de l’algorithme dans le détail. L’autorisation le cas échéant délivrée l’est pour une période
limitée à deux mois. Par ailleurs, toute modification de l’algorithme nécessite un nouvel examen
de la part de la Commission préalablement à sa mise en œuvre.
Si l’algorithme fait l’objet d’une demande de renouvellement, les services sont légalement
obligés d’indiquer dans leur demande le nombre d’alertes produites par l’algorithme. Ils doivent
également transmettre à la CNCTR une analyse de la pertinence de ces alertes.
Pendant la durée de validité de l’autorisation (deux mois pour la demande initiale, quatre mois
en cas de renouvellement de l’autorisation), les services de renseignement ne peuvent à aucun
moment accéder aux données des opérateurs.
En cas d’alerte, le service de renseignement concerné est simplement averti, sans qu’aucune
autre information ne lui soit transmise. Il doit alors former une nouvelle demande motivée pour
que le Premier ministre permette, après avis de la CNCTR, que lui soit transmis l’identifiant
technique lié à l’alerte.
Le service de renseignement effectue alors généralement une demande d’identification de
l’utilisateur de l’identifiant signalé en sollicitant la mise en œuvre de la technique prévue à
l’article L. 851-1 du CSI. Si cette première démarche confirme le caractère crédible de la
détection, le service pourra poursuivre ses investigations en se soumettant à toutes les
obligations matérielles et procédurales prévues par la loi pour la mise en œuvre d’une technique
de recueil de renseignement.
Seules les données relatives aux personnes dont la mise sous surveillance est précisément
justifiée seront donc conservées. Toutes les autres données seront immédiatement détruites.
La mise en œuvre de ces traitements automatisés permet donc aux services de renseignement
de procéder par levée de doute, de la manière la moins intrusive possible, et de ne solliciter
ensuite la mise en œuvre de mesures de surveillance individuelle que si le besoin en est avéré.
Enfin, la pérennisation de la technique de l’algorithme s’accompagnera de plusieurs garanties
nouvelles (cf. article 13 du projet de loi), résultant des enseignements tirés de
l’expérimentation et qui viennent renforcer la proportionnalité du dispositif :
la mise en œuvre des traitements ne pourra plus être sollicitée que par les seuls services
spécialisés de renseignement,
la possibilité de proroger la durée de conservation des données correspondant aux
paramètres de détection et dont le Premier ministre autorise le recueil est supprimée. En
l’état de la loi, cette durée est fixée à soixante jours mais peut être prolongée, en cas
d’éléments sérieux confirmant l’existence d’une menace terroriste, jusqu’à quatre ans.
L’expérimentation a fait apparaître qu’une telle prolongation n’est pas nécessaire, dès
183