17. S’agissant de ces modalités, la Commission formule, en l’état des informations
mises à sa disposition, les observations suivantes.
18. La Commission considère que les modifications apportées par le projet de loi à
l’article L. 851-3 du CSI ne permettent pas d’appréhender de manière claire et précise
les évolutions envisagées et ainsi la manière dont cette technique de renseignement
sera mise en œuvre. Elle estime indispensable que le texte soit précisé. Elle considère
notamment que le fait que la mise en œuvre de l’algorithme implique de dupliquer, au
bénéfice d’un service administratif du Premier ministre, l’ensemble de ces données, qui
concernent tous les appels téléphoniques et accès internet réalisés sur le territoire
français, constitue une évolution particulièrement significative. La centralisation et la
duplication modifient la portée de l’atteinte à la vie privée, par les risques qu’elles
portent en elle-même. Le principe même de cette architecture technique devrait donc,
à ses yeux, figurer dans la loi.
19. La Commission considère, a fortiori, que des garanties spécifiques, prévues par les
textes, doivent nécessairement entourer la mise en œuvre d’une telle architecture
technique. Ces garanties doivent permettre que la mise à disposition du GIC de
l’ensemble de ces données, en dehors de toute mesure de surveillance ciblée, ne puisse
s’analyser en une forme de recueil en temps réel des données de connexion, qui serait
prohibée par la jurisprudence européenne. A cet égard, si les données de connexion
elles-mêmes ne sont pas mises à disposition des services de renseignement et ne
peuvent, sous le contrôle de la CNCTR, être utilisées par le GIC que pour la mise en
œuvre de l’algorithme, la Commission estime qu’il est également nécessaire que les
données ne soient conservées que le temps strictement nécessaire à leur analyse, puis
immédiatement détruites, et que le GIC ne garde que le strict minimum nécessaire au
fonctionnement de l’algorithme sur la période d’analyse considérée. A cet égard, elle
prend acte des précisions apportées par le ministère selon lesquelles ces données sont
conservées sous forme pseudonyme pour une durée de vingt-quatre heures (sauf dans
l’hypothèse d’un hit), avant d’être détruites. Cette précision devrait expressément
figurer dans le projet de loi, qui devrait également préciser les modalités de recueil et
d’accès à ces données.
En ce qui concerne le recours à un algorithme
20. Le recours à cette technique de renseignement très particulière, selon les modalités
décrites ci-dessus, ne saurait être admise que s’il est nécessaire et proportionné à
l’objectif de lutte contre le terrorisme.
21. D’une part, la Commission relève que la mise en œuvre de ce type de dispositifs
doit permettre de doter les services de renseignement de moyens d’action adéquats
face aux menaces persistantes qui pèsent sur les intérêts fondamentaux de la Nation
et, plus particulièrement, permettre la détection de manière précoce de menaces
terroristes. Le Gouvernement estime que cette nouvelle technique de renseignement
est rendue nécessaire par l’évolution de la menace terroriste, qui proviendrait
d’individus n’appartenant pas à des groupes ou organisations structurées et
identifiables, dont la radicalisation et le passage à l’acte sont mal appréhendés par les
techniques de renseignement ciblées.
5