12. A titre liminaire, la Commission relève la différence entre les caractéristiques du
premier traitement mis en œuvre en 2017, qui portait uniquement sur la téléphonie, et
celles de ceux envisagés en application du même texte qui, en raison de l’évolution des
pratiques en la matière ainsi que du type d’informations concernées, soulèvent des
enjeux particuliers.
13. Elle relève à cet égard que l’article L. 851-3 du CSI encadre aussi bien le traitement
des données de téléphonie que celles issues des connexions sur Internet. A cet égard,
la Commission souligne que l’expérimentation dont il est envisagé la pérennisation
porte sur ces deux types de données, de manière indifférenciée et ce, alors même que
sa mise en œuvre n’a jusqu’à présent porté que sur les données de téléphonie. Elle
estime que l’atteinte portée à la vie privée par le criblage algorithmique des données de
connexion sur internet est cependant plus forte que celui de données de connexion
téléphonique et que le contrôle de proportionnalité doit être différencié.
En ce qui concerne les modalités de mise en œuvre de cette technique
14. L’article 8 du projet de loi prévoit que ces algorithmes « peuvent être autorisés, à
la demande des services spécialisés de renseignement mentionnés à l’article L. 811- 2,
sur les données transitant par les réseaux des opérateurs et des personnes
mentionnées à l’article L. 851-1 (…) ». Il précise en outre que, « un service du Premier
ministre est seul habilité à exécuter les traitements et opérations mis en œuvre sur le
fondement du I et du IV, sous le contrôle de la Commission nationale de contrôle des
techniques de renseignement ».
15. Le ministère a précisé que la modalité initialement envisagée pour mettre en œuvre
cette technique, consistait à placer physiquement les dispositifs de détection en
plusieurs points des réseaux des opérateurs. La Commission relève que cette modalité
correspondait à l’interprétation la plus naturelle de l’article L. 851-3 du CSI, issu de la
loi de 2015 et aurait constitué une forme de garantie technique apportée au dispositif.
16. Le ministère a néanmoins indiqué que placer physiquement les dispositifs de
détection en plusieurs points des réseaux des opérateurs présente des difficultés
techniques, tant en matière de sécurité des réseaux des opérateurs, que de détection
d’évènements communs à plusieurs dispositifs installés sur ces réseaux. En outre,
certains des paramètres de détection revêtant une sensibilité particulière, ils ne
peuvent être rendus accessibles ou divulgués lors de l’exécution de l’algorithme par les
opérateurs. En conséquence, le ministère a retenu une architecture selon laquelle les
flux de données ne sont pas analysés au moyen d’algorithmes installés sur les réseaux
des opérateurs mais dupliqués puis acheminés au sein d’une infrastructure dépendant
de l’Etat pour être soumis à des dispositifs de détection centralisés. La CNCTR a donné
son accord à ces modalités techniques, qu’elle a estimées conformes à la loi autorisant
l’expérimentation, en exigeant certaines garanties, notamment le fait que l’algorithme
soit mis en œuvre par le GIC et non par les services de renseignement.
4