Ces dispositions ont ainsi pour objet de préciser que les traitements
automatisés sur les données transitant par les réseaux des opérateurs ne
sont pas exclusivement exécutés par ces derniers et de fixer le rôle du GIC
dans l’exécution des traitements.
La CNCTR considère que le Gouvernement tire ainsi les leçons de
l’expérimentation menée sur les algorithmes depuis l’entrée en
vigueur de la loi du 24 juillet 2015. Elle est favorable aux modifications
proposées qui viennent préciser le cadre légal en prenant en compte les
recommandations qu’elle a émises dès 2016 (voir le point 1.1.1 ci-dessus)
afin de limiter au strict nécessaire les atteintes portées à la vie privée par
l’exécution des algorithmes.
Le projet de loi contient également des dispositions relatives à la durée
de conservation des données détectées par l’algorithme et dont la levée
d’anonymat est autorisée par le Premier ministre. L’article L. 851-3 du
code de la sécurité intérieure prévoit que ces données sont exploitées
dans un délai de soixante jours à compter de leur recueil et sont détruites
à l’expiration de ce délai, « sauf en cas d’éléments sérieux confirmant
l’existence d’une menace terroriste attachée à une ou plusieurs des
personnes concernées ».
Le Gouvernement indique que l’expérimentation effectivement menée
depuis 2017 a révélé que le délai normal de soixante jours apparaissait
suffisant pour permettre aux services de renseignement de solliciter
la mise en œuvre d’une technique ciblée sur la personne à laquelle se
rapportent les données détectées par le traitement automatisé. Il entend
donc renoncer à la possibilité de conserver au-delà de ce délai des données
détectées par l’algorithme.
La commission est favorable à la modification proposée qui a pour
conséquence de limiter à soixante jours, désormais sans extension
possible, la durée de conservation des données détectées par l’algorithme
comme susceptibles de caractériser l’existence d’une menace terroriste.