faire l’objet des traitements automatisés. Sont englobées dans cette
catégorie de données à la fois celles relatives à l’accès des équipements
terminaux aux réseaux ou aux services en ligne, que le Gouvernement
estime relever par nature des données de connexion, et les « adresses
complètes de ressources sur internet », qui peuvent quant à elles faire
référence au contenu des informations consultées.
Dans sa délibération du 7 avril 2021, la CNCTR, après avoir constaté que
la menace terroriste persistait à un niveau élevé et que le comportement
d’auteurs d’actes de terrorisme était souvent caractérisé par une utilisation
intensive d’internet, avait considéré que les besoins opérationnels des
services de renseignement concernés, ainsi décrits par le Gouvernement,
semblaient établis. Elle avait cependant estimé nécessaire de circonscrire
les traitements automatisés aux URL ayant donné lieu à une consultation
effective afin d’exclure celles qui, sans avoir été consultées, se trouveraient
dans le contenu de correspondances échangées. Cette recommandation
a été suivie par le Premier ministre et inscrite dans la lettre de la loi du
30 juillet 2021 qui fait ainsi référence aux seules « adresses complètes de
ressources utilisées sur internet ».
¢
Sur la pérennisation de l’algorithme
La loi du 30 juillet 2021, en abrogeant l’article 25 de la loi du 24 juillet 2015
qui avait soumis la mise en œuvre de l’article L. 851-3 du code de la sécurité
intérieure à une période d’expérimentation initialement fixée à trois ans, a
pérennisé la technique de l’algorithme.
La CNCTR avait admis, dans son avis du 7 avril 2021, que les impératifs
de sécurité nationale justifiaient que le dispositif de l’article L. 851-3 soit
conservé. Elle avait également relevé que les modifications proposées
pour encadrer l’exécution des traitements automatisés étaient de nature à
renforcer les garanties applicables à ce dispositif et à limiter ainsi davantage
les atteintes au droit au respect de la vie privée.
La commission avait cependant estimé souhaitable, compte tenu de la
modification substantielle résultant de la possibilité d’utiliser les URL, de
s’assurer, par une procédure d’évaluation, que l’atteinte portée à la vie
privée soit effectivement justifiée par une meilleure protection contre le