des informations consultées », et que ces dernières peuvent également contribuer à la pertinence
de l’algorithme, les algorithmes pourront concerner les unes et les autres.
Il est entendu que les adresses complètes de ressources utilisées sur internet qui feront l’objet
d’un traitement automatisé en application de l’article L. 851-3 seront celles des seules
ressources auxquelles un utilisateur accède, à l’exclusion de celles pouvant figurer au sein de
contenus de correspondances électroniques, par exemple des liens dans des SMS ou des
courriers électroniques, ou au sein de contenus consultés, par exemple des liens dans des pages
web. Dès lors, il n’est pas apparu nécessaire de les exclure expressément du dispositif.
Enfin, il convient de noter que les données URL ne sont pas traitées par les opérateurs de
communications électroniques et doivent donc être recueillies par d’autres moyens techniques,
ce que permet le dispositif retenu.
Renforcer les garanties applicables à la mise en œuvre de l’algorithme
Le dispositif retenu vise par ailleurs à assortir l’élargissement des données susceptibles d’être
traitées par l’algorithme aux adresses complètes d’une ressource sur internet d’un renforcement
des garanties fortes qui entourent, depuis l’entrée en vigueur de la loi relative au renseignement
du 24 juillet 2015, la mise en œuvre de ces traitements automatisés dont les paramètres de
détection sont contrôlés par la CNCTR.
En pratique, les ingénieurs de la Commission nationale de contrôle des techniques de
renseignement accompagnent les services de l’État dans la définition des paramètres et de leur
évolution, ainsi que dans la mise en œuvre des algorithmes qu’ils contrôlent périodiquement
tout au long de la durée de l’autorisation.
Toute modification de l’algorithme nécessite un nouvel examen de la part de la Commission
préalablement à sa mise en œuvre. En cas de demande de renouvellement, les services de
renseignement sont légalement tenus d’indiquer dans leur demande le nombre d’alertes
produites par l’algorithme. Ils doivent également transmettre à la CNCTR une analyse de la
pertinence de ces alertes.
Une seconde autorisation est requise pour obtenir l’identifiant technique à l’origine d’une alerte
et les données techniques afférentes, ainsi le cas échéant que l’identité de l’utilisateur du
numéro de téléphone ou de l’adresse IP concerné.
Les données recueillies en cas d’alerte ne peuvent être exploitées que pour une durée maximale
de soixante jours. Toutefois, en l’état actuel de la législation, ces données peuvent être
conservées au-delà de cette durée, lorsqu’il existe des éléments sérieux confirmant une menace
à caractère terroriste. Dans ce cas, elles peuvent être conservées jusqu’à quatre ans à compter
de leur recueil, par application du 3° du I l’article L. 822-2 du code de la sécurité intérieure. En
tout état de cause, les données non détectées par les traitements comme susceptibles de révéler
une menace à caractère terroriste sont détruites immédiatement.
191