— 191 —
Par ailleurs, si la jurisprudence Tele2 de la CJUE devait être confirmée,
seule cette technique algorithmique permettrait de suppléer aux difficultés que
représenterait la disparition de certaines techniques de renseignement actuellement
utilisées par les services.
Pour autant, les membres de la mission d’information n’ont pas retenu
cette option à ce stade. À moyen terme, il paraît préférable de conserver les grands
équilibres du régime actuel, ciblé sur la lutte antiterroriste.
C. ÉTENDRE L’ALGORITHME AUX URL
1. La question du périmètre des données de connexion
L’article L. 851-3 du CSI permet de détecter des connexions susceptibles
de révéler une menace terroriste. Il est précisé que l’algorithme utilise
exclusivement les données de connexion, « sans recueillir d’autres données que
celles qui répondent à leurs paramètres de conception et sans permettre
l’identification des personnes auxquelles les informations ou documents se
rapportent. »
La définition des données de connexion figure à l’article L. 34-1 du code
des postes et des communications électroniques (1) mais elle ne permet pas
d’épuiser entièrement le débat entre ce qui relève du contenant et du contenu.
Or, cette question s’est posée avec une particulière acuité lors de la mise en œuvre
de l’algorithme. Elle est relativement simple s’agissant des données téléphoniques
(fadettes) mais plus compliquée s’agissant d’internet. Pour le dire de manière la
plus claire possible, familière à tous les usagers d’un moteur de recherche : à
partir de quelle barre oblique (« slash ») de l’URL une donnée cesse–t–elle
d’être une donnée de connexion pour devenir une donnée de
correspondances ?
2. L’extension de l’algorithme aux URL
Un algorithme fonctionnant uniquement avec des données
téléphoniques est intéressant mais il n’apporte pas aux enquêteurs un niveau
de finesse et de pertinence suffisant. Les services de renseignement estiment
qu’il leur serait extrêmement utile de pouvoir intégrer les URL aux
algorithmes. L’URL révélant les données consultées, une telle extension
demanderait une modification législative.
(1) « VI. – Les données conservées et traitées (…) portent exclusivement sur l’identification des personnes
utilisatrices des services fournis par les opérateurs, sur les caractéristiques techniques des communications
assurées par ces derniers et sur la localisation des équipements terminaux. Elles ne peuvent en aucun cas
porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme
que ce soit, dans le cadre de ces communications. »