de levée de pseudonymat, de durée d’utilisation des ces algorithmes, etc.). Il a été
indiqué que des éléments protégés par le secret de la défense nationale seraient fournis
à d’autres autorités, notamment la délégation parlementaire au renseignement. Dans
ces conditions elle estime ne pas être en mesure d’évaluer les bénéfices de cette
technique de renseignement et, par voie de conséquence, d’apprécier la
proportionnalité de l’atteinte qu’elle porte au respect de la vie privée.
Sur la collecte de données relatives aux « adresses complètes de ressources
sur Internet » (articles 8 et 9 du projet de loi)
32. Les articles 8 et 9 du projet de loi prévoient d’ajouter aux informations pouvant
faire l’objet d’un recueil et d’une surveillance automatisés les « adresses complètes de
ressources sur Internet ». Cette modification intervient pour les deux techniques de
recueil administratif de données que sont le recueil de données en temps réel et le
recueil au moyen d’un traitement algorithmique (prévus respectivement aux articles
L. 851-2 et L. 851-3 du CSI).
33. A titre liminaire, la Commission estime que la notion d’« adresses complètes de
ressources sur Internet », ajoutée aux articles L. 851-2 et L. 851-3 du CSI n’est pas
strictement identique à la notion « d’URL », souvent utilisée dans les documents
transmis par le ministère dans le cadre de l’instruction de la demande d’avis. En effet,
si le mécanisme des URL peut servir à désigner des ressources stockées sur un serveur,
de nombreux services l’utilisent également pour transmettre des informations à un
serveur ou pour conserver des éléments relatifs à la session en cours. C’est par exemple
le cas des paramètres des requêtes « query strings » et des informations des
formulaires HTML remplis par les usagers, ces données étant agrégées à la fin des URL
et transmises avec elles. Elle invite donc le gouvernement à s’interroger sur le
périmètre précis qu’il entend définir et à affiner la formule. Si l’expérimentation devait
concerner toutes les URL, une formule du type « « adresse de ressource sur internet et
paramètres associés à cette adresse » pourrait être envisagée.
34. Par ailleurs, elle rappelle que s’il est techniquement possible d’identifier le nom de
domaine d’une URL consultée par un internaute en obtenant le détail des résolutions
DNS qu’il aurait effectuées auprès de son fournisseur d’accès à Internet, il en va
autrement du chemin complet de la ressource. En effet, l’URL n’est pas lisible en clair
par l’opérateur dès lors que la transmission de données concernée est chiffrée entre le
terminal de l’utilisateur et les serveurs concernés (via le protocole HTTPS par exemple,
qui est utilisé aujourd’hui pour la quasi-totalité des connexions sur le web). La
Commission prend acte que la collecte auprès des opérateurs vise uniquement les URL
non chiffrées, le déchiffrement n’étant à ce stade pas envisagé par les services de
renseignement.
35. S’agissant de l’admissibilité de l’extension de ces deux techniques de
renseignements aux URL, la Commission rappelle que ces données ont une nature
particulière. Comme souligné par le Comité européen de la protection des données
(CEPD), les URL sont susceptibles de faire apparaître des informations relatives au
contenu des éléments consultés ou aux correspondances échangées. La Commission
rappelle que la protection particulière dont bénéficient les données de contenu ainsi
8