22. Le Gouvernement a par ailleurs souligné que ces traitements algorithmiques sont
utilisés pour repérer des personnes dont les services de renseignement déterminent
ensuite, sous le contrôle de la CNCTR, s’il est nécessaire de les soumettre à une mesure
de surveillance ciblée en cas de suspicion de menace terroriste. Cet équilibre répond à
une exigence de la CJUE qui demande que l’utilisation de l’algorithme ne conduise pas
à une décision automatisée de surveillance ciblée. Le traitement de l’ensemble des
données de connexion auprès des acteurs concernés permet de détecter les individus
dont la radicalisation serait repérable par leur activité numérique, au moyen
notamment d’un mécanisme de hit/no hit, afin dans un second temps de de déclencher
une surveillance ciblée.
23. Enfin, la mise en œuvre de cette technique est entourée d’une série de garanties et
de contrôle, consistant notamment à subordonner la mise en œuvre d’une telle
technique à une autorisation du Premier ministre après avis de la CNCTR, celle-ci
disposant d’un pouvoir de recommandation et de saisine d’une juridiction spécialisée
dont les décisions sont contraignantes. En outre, le Gouvernement prévoit dans le
projet de loi que cette technique ne pourra plus être exercée directement par les
services de renseignement mais par un service distinct du Premier ministre (le GIC),
sous le contrôle de la CNCTR. Le projet de loi propose également de supprimer la
possibilité de proroger la durée de conservation des données issues de cette technique.
24. D’autre part, la Commission ne peut que rappeler que l’utilisation d’une telle
technique porte une atteinte particulièrement forte à la vie privée des individus et au
droit à la protection des données à caractère personnel, garantis notamment par la
Constitution et la charte des droits fondamentaux de l’Union européenne, puisqu’elle
ne présente pas de caractère ciblé mais procède de l’analyse de l’ensemble des données
de connexion de la population. La mise en œuvre d’une surveillance poussée de
l’intégralité des données de connexion pourrait, à elle seule, entraîner des effets
dissuasifs sur l’exercice de leur liberté d’information et d’expression par les utilisateurs
d’Internet et des réseaux de communications électroniques. En outre les modalités
particulières de mise en œuvre de ces algorithmes accentuent l’atteinte portée au
respect de la vie privée des personnes et à la protection de leurs données personnelles.
25. S’agissant des informations pouvant être exploitées en application de cet article, la
Commission rappelle que les traitements mis en œuvre au moyen de traitements
algorithmiques consistant à analyser les données de connexion et de localisation
constituent des traitements de données à caractère personnel. Dans la décision précitée
de la CJUE, il a été rappelé que les informations visées (données relatives au trafic et
de localisation) fournissent les moyens d’établir le profil des personnes concernées en
ce qu’elles concernent « un nombre important d’aspects de la vie privée des personnes
concernées, y compris des informations sensibles (…) ». A cet égard, la Commission
estime que la formulation de l’article L. 851-3 du CSI, qui mentionne que les données
concernées sont recueillies « sans permettre l’identification des personnes auxquelles
les informations se rapportent », devrait être modifié dans la mesure où ces données
sont susceptibles de permettre l’identification des personnes.
6