Article 13 : Modalités d’exécution des traitements automatisés et
extension aux adresses complètes de ressources sur internet (URL)
1.
ÉTAT DES LIEUX
1.1. CADRE GENERAL
Comme évoqué dans les développements relatifs à l’article 12 du projet de loi, la technique de
l’algorithme, prévue par l’article L. 851-3 du code de la sécurité intérieure, permet la mise en
place, sur les réseaux des opérateurs de communications électroniques et des fournisseurs de
services sur internet, de traitements automatisés destinés à détecter des connexions susceptibles
de révéler une menace terroriste. Il s’agit particulièrement de contribuer à la détection
d’individus inconnus des services de renseignement ou que leurs comportements antérieurs
n’avaient jusqu’ici pas permis d’identifier comme menaçants.
Ces traitements ne peuvent utiliser que les informations ou documents mentionnés à l'article
L. 851-1 du code de la sécurité intérieure, c’est-à-dire les données de connexion, à l’exclusion
de toute donnée révélant le contenu des communications. L’article L. 34-1 du code des postes
et des communications électroniques (CPCE) relatif au traitement des données à caractère
personnel dans le cadre de la fourniture au public de services de communications électroniques
donne une définition en creux des données de connexion en excluant la conservation des
données portant sur le contenu des correspondances échangées ou des informations consultées.
Cette définition en creux est reprise à l’article R. 851-5 du CSI qui prévoit que « les
informations ou documents mentionnés à l’article L. 851-1 sont, à l’exclusion du contenu des
correspondances échangées ou des informations consultées : (...) ».
1.2. CADRE CONSTITUTIONNEL
Dans sa décision n° 2015-713 DC du 23 juillet 2015, le Conseil constitutionnel a déclaré
conformes à la Constitution les dispositions de l’article L. 851-3 du code de la sécurité intérieure
(voir développements à l’article 12).
Il précisait explicitement (cons. 55) « que selon les dispositions du paragraphe VI de l’article
L. 34-1 du code des postes et des communications électroniques, les données conservées et
traitées par les opérateurs de communications électroniques et les personnes offrant au public
une connexion permettant une telle communication portent exclusivement sur l’identification
des personnes utilisatrices des services fournis par les opérateurs, sur les caractéristiques
techniques des communications assurées par ces derniers et sur la localisation des équipements
terminaux et ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou
des informations consultées, sous quelque forme que ce soit, dans le cadre de ces
communications ». Selon le Conseil constitutionnel, c’est donc le renvoi à l’article L. 34-1 du
CPCE (qui pourtant n’est opéré par le L. 851-1 du CSI que pour identifier « les personnes »
186