Algorithmes dans le renseignement : l’expérimentation prolongée

Le dispositif expérimental « algorithme défense », prévu par la loi n° 2015–912 du 24 juillet 2015 relative au renseignement, a été prolongé jusqu’au 31 juillet 2021.

Définition et champ d’application de l’algorithme

L’article L. 851-3 du code de la sécurité intérieure définit la technique algorithmique comme « la mise en œuvre sur les réseaux de traitements automatisés destinés, en fonction de paramètres précis, à détecter des connexions susceptibles de révéler une menace terroriste. » Cet article prévoit que la mise en œuvre d’algorithmes peut être imposée aux opérateurs de communications électroniques et aux fournisseurs de services sur internet.

Le champ d’application des algorithmes s’étend aujourd’hui à l’équivalent des données de facturation des communications classiques – appels téléphoniques, SMS, consultations de répondeur – des opérateurs téléphoniques français. Il ne s’agit que de données de connexion conservées pendant vingt-quatre heures maximum pour être traitées par les algorithmes.

Si les techniques de renseignement prévues par la loi du 24 juillet 2015 s’exercent de manière individualisée, l’algorithme fait à cet égard figure d’exception : son objectif est de recueillir, traiter, analyser et recouper un grand nombre d’éléments techniques anonymes pour détecter des signaux de faible intensité sur les données brutes qui témoigneraient d’une menace pesant sur la sécurité nationale.

L’algorithme « défense » est un instrument de détection ciblée des signaux faibles. Cette détection est ciblée en ce qu’elle est effectuée en fonction de paramètres déterminés, dans un seul objectif (révéler une menace terroriste …). L’enjeu crucial consiste à être en mesure de détecter une menace dont les auteurs et les modes opératoires ne sont pas connus – auteurs qui ne peuvent, par définition, faire l’objet d’une surveillance ciblée a priori –, ce afin de caractériser et d’évaluer cette menace.   

Technique de recueil de renseignement relativement récente

En 2015, la loi relative au renseignement a introduit une nouvelle technique de recueil d’informations fondée sur les algorithmes, systèmes mathématiques de tri des informations numérisées. Il s’agit de pouvoir recueillir, traiter, analyser et recouper un grand nombre d’éléments techniques anonymes pour détecter des signaux de faible intensité sur les données brutes qui témoigneraient d’une menace pesant sur la sécurité nationale.

Entre respect des libertés et lutte contre le terrorisme  

D’après les informations transmises par le Gouvernement, la vocation de l’algorithme est double : il permet à la fois d’alléger la surveillance sur les objectifs du bas du spectre et leur entourage ou en fin de suivi tout en assurant un meilleur contrôle de ces individus et de mieux orienter les enquêteurs dans leur stratégie d’investigation.

La technique de l’algorithme est régie par les dispositions de l’article L. 851–3 du code de la sécurité intérieure, qui comportent un certain nombre de garanties :

– une limitation à la seule finalité de la prévention du terrorisme ;

– un avis de la CNCTR sur la demande d’autorisation, sur les paramètres de détection retenus et sur la levée de l’anonymat en cas de détection d’une menace ;

– une autorisation initiale limitée à deux mois ;

– une levée de l’anonymat uniquement en cas de menace caractérisée ;

– une destruction des données exploitées dans un délai de 60 jours à compter du recueil, sauf en cas d’éléments sérieux confirmant l’existence d’une menace terroriste.

En contrepartie du caractère spécifique de la technique algorithmique, le recours à cette dernière est non seulement entouré des garanties prévues pour l’ensemble des techniques de renseignement mais également très spécifiquement encadré.

Tout d’abord, un algorithme ne peut être utilisé qu’au titre de la finalité de prévention du terrorisme. Or, la menace terroriste se maintient à un niveau élevé. En février 2020, on recensait 61 attentats déjoués depuis le 15 octobre 2013. Depuis le mois de janvier 2020, trois attaques ont été perpétrées, dont deux pendant le confinement : le 3 janvier à Villejuif, le 4 avril à Romans-sur-Isère et le 27 avril dernier à Colombes.

Ensuite, comme pour les autres techniques de renseignement, la mise en fonctionnement d’un algorithme par les services de renseignement suppose une autorisation du Premier ministre, accordée après avis de la Commission nationale de contrôle des techniques de renseignement (CNCTR). La commission de contrôle, qui est une autorité administrative indépendante, est consultée aussi bien sur l’architecture de chaque algorithme que sur toute modification apportée à cette architecture.

Pour ses vérifications, elle a accès au code source qu’elle analyse avec ses experts indépendants. Et ce n’est que si l’algorithme détecte des données susceptibles de caractériser l’existence d’une menace à caractère terroriste que le Premier ministre peut autoriser, après une nouvelle consultation de la commission de contrôle, l’identification des personnes concernées et le recueil des données afférentes.

Les données exploitées doivent impérativement être détruites dans les deux mois, sauf en cas d’éléments sérieux confirmant l’existence d’une menace terroriste. La loi a aussi prévu une voie de recours devant une formation spécialisée du Conseil d’État, ouverte à la CNCTR comme à toute personne souhaitant vérifier que la technique de l’algorithme n’a pas été irrégulièrement mise en application à son encontre.

Impact de la jurisprudence Tele 2 Sverige

La légalité de l’usage des algorithmes « défense » doit être parfaitement encadrée en raison de la jurisprudence Tele2 Sverige et Watson e.a (arrêt du 21 décembre 2016, récemment confirmé) par laquelle la CJUE a estimé qu’une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de données était, en elle-même, contraire au droit de l’Union.

La CJUE a jugé qu’une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique constituait en soi une atteinte disproportionnée aux droits fondamentaux. Elle a cependant admis que serait conforme au droit de l’Union une réglementation permettant, à titre préventif, la conservation ciblée des données de connexion, à des fins de lutte contre la criminalité grave, à condition que cette conservation soit – en ce qui concerne les catégories de données à conserver, les moyens de communication visés, les personnes concernées ainsi que la durée de conservation retenue – limitée au strict nécessaire.

Des résultats utiles mais protégés

Si les résultats obtenus au moyen de ces algorithmes sont protégés par le secret de la défense nationale, le Gouvernement indique néanmoins dans l’étude d’impact du projet de loi que ces derniers ont notamment permis d’identifier des individus porteurs d’une menace terroriste, de détecter des contacts entre des individus porteurs de menace, de mettre à jour des comportements d’individus connus des services de renseignement et d’améliorer la connaissance des services sur la manière de procéder des individus de la mouvance terroriste.

Un outil utilisé par d’autres puissances étatiques

L’algorithme est un outil utilisé par d’autres puissances étatiques. C’est notamment le cas au Royaume-Uni depuis l’Investigatory Powers Act ([24]) de novembre 2016.

La partie 6 de l’Investigatory Powers Act du 29 novembre 2016 précise les finalités au titre desquelles les traitements automatisés sur des données de connexion peuvent être mis en œuvre. Ces finalités tiennent à l’intérêt de la sûreté nationale, à la prévention ou à la détection de la criminalité grave ainsi qu’à l’intérêt du bien-être économique du Royaume-Uni.

On peut également citer, toujours en Europe, la législation néerlandaise qui prévoit la mise en œuvre de traitements automatisés sur des données de connexion à des fins de détection des menaces « pour l’existence continue de l’ordre démocratique, la sécurité ou les autres intérêts vitaux de la Nation ». Les articles 48 à 50 de l’Intelligence and Security Services Act ([25]) du 26 juillet 2017 précisent que ces autorisations sont délivrées pour une durée de trois mois. Ces traitements ne peuvent être mis en œuvre sur le contenu des télécommunications. Les données collectées peuvent être conservées pour une durée maximale de trois ans et doivent être détruites dès qu’il apparaît qu’elles ne sont pas ou plus pertinentes.

On constate ainsi que la législation de ces États membres de l’Union européenne utilisateurs de la technique algorithmique est moins limitative que la législation française au regard des finalités pouvant motiver le recours à cette technique : intérêt de la sûreté nationale, prévention ou détection de la criminalité grave et intérêt du bien-être économique pour le Royaume-Uni ; détection des menaces pour l’existence continue de l’ordre démocratique, la sécurité ou les autres intérêts vitaux de la Nation, en ce qui concerne les Pays-Bas. En France, seule la prévention du terrorisme peut justifier l’usage d’algorithmes.

En dehors du continent européen, les services américains et israéliens utilisent également ce type de techniques.