C’est l’une des évolutions notables du cadre juridique en matière de renseignement et de lutte contre le terrorisme. Dans le cadre d’un nouveau projet de loi, le gouvernement tient non seulement à pérenniser la traque algorithmique des signaux suspects sur le net, mais aussi d’étendre son champ d’action, en y incluant les URL, appelées « adresses complètes de ressources sur Internet ».
Compte tenu de la nature de cette technique de renseignement, et de sa sensibilité, les observations de la Commission nationale de l’informatique et des libertés (Cnil) étaient forcément attendues. Mais l’autorité administrative, dans sa délibération du 8 avril, rendue publique le 12 mai, n’a pu rester qu’à la surface des choses. Elle s’est en effet heurté au mur du secret défense.
Impossible pour la Cnil d’analyser en détail ces boites noires
« La Cnil n’a pas disposé des éléments nécessaires pour lui permettre d’apprécier la nécessité de la pérennisation [de la technique de l’algorithme], le bilan détaillé étant couvert par le secret de la défense nationale et n’étant accessible qu’à la Commission nationale de contrôle des techniques de renseignement (CNCTR) et à la délégation parlementaire au renseignement », écrit l’instance.
Cette technique de l’algorithme est autorisée depuis 2015 via une autre loi relative au renseignement, mais son expérimentation n’a débuté qu’à partir de 2017. On sait que trois algorithmes sont aujourd’hui mis en œuvre : un par la Direction générale de la sécurité extérieure (DGSE), deux par la Direction générale de la sécurité intérieure (DGSI). Leur fonctionnement précis est confidentiel.
Ces algorithmes ont pour mission de collecter et d’analyser des métadonnées, c’est-à-dire toutes les informations périphériques donnant du contexte à un contenu. Ainsi, ces boîtes noires — l’autre manière de qualifier ces dispositifs — ne sont pas censées lire un message, mais peuvent savoir à quelle heure il a été envoyé, à qui, par quel moyen, depuis quel endroit, etc.
Ces programmes sont positionnés à des endroits pertinents du réseau, là où l’on peut voir du passage et du trafic, à avoir les hébergeurs et les fournisseurs d’accès à Internet. L’idée est de pouvoir repérer des « signaux faibles » pour anticiper une éventuelle menace et la neutraliser avant tout passage à l’acte. Au départ, ces algorithmes devaient s’arrêter en 2018, mais ils ont été régulièrement prolongés.
L’opacité autour de ces algorithmes fait que la Cnil ne peut pas « évaluer les bénéfices de cette technique de renseignement » et, par conséquent, se prononcer sur sa pérennisation. En effet, il aurait fallu « évaluer précisément les bénéfices retirés de ce dispositif durant les années d’expérimentation, pour les comparer à l’atteinte à la vie privée que représente cette forme de surveillance très particulière ».
Parmi les informations que la Cnil aurait souhaité voir figurent des statistiques sur les faux positifs, les cas identifiés, la durée d’utilisation de ces algorithmes ou encore de leurs conséquences, en cas de détection d’un signal suspect, comme l’identification d’un internaute. La Cnil n’aura pas ces informations, mais d’autres autorités — CNCTR et la délégation parlementaire devraient les avoir.
Si la Cnil a bénéficié « d’un bilan général de l’expérimentation », elle n’a pas eu droit à des éléments assez précis pour « apprécier l’efficacité opérationnelle et l’efficience de cette technique », mais aussi la « comparer à l’atteinte à la vie privée que représente cette forme de surveillance très particulière ». En conséquence, la Cnil ne peut que reconnaître son incapacité à dire si cette technique est trop invasive, ou non.
La Cnil plaide en vain pour une expérimentation
Bien qu’aveugle sur l’efficacité et la proportionnalité de ce dispositif, la Cnil a apporté des éléments généraux de réflexion, car son périmètre va évoluer. En effet, il est question désormais de mettre dans la boucle des URL, qui sont plus précisément qualifiées « d’adresses complètes de ressources sur Internet » dans le texte. Là encore, des enjeux de confidentialité et de vie privée se posent.
Ces problématiques correspondent à celles que nous avions mises en avant fin avril 2021. Il y a non seulement un problème d’efficacité de la mesure (comment capter l’URL alors que le web est de plus en plus chiffré ?), mais aussi d’admissibilité juridique, car une URL peut être porteuse d’informations personnelles, voire sensibles, et révéler des éléments qui sont normalement protégés par le secret de la correspondance.
De toute évidence, le gouvernement en a en partie conscience, puisque la Cnil signale que « la collecte auprès des opérateurs vise uniquement les URL non chiffrées, le déchiffrement n’étant à ce stade pas envisagé par les services de renseignement ». De fait, la captation ne concernerait potentiellement qu’un petit volume d’adresses, car le protocole HTTPS, qui chiffre les liaisons web, est aujourd’hui démocratisé.
La Commission nationale de l’informatique et des libertés met également en garde sur les formulations choisies, car celles-ci peuvent avoir une incidence sur la portée réelle de cette collecte. En effet, il est tantôt question d’URL dans certains documents du ministère, tantôt « d’adresses complètes de ressources sur Internet ». La Cnil souhaite que le vocabulaire soit affiné pour préciser le périmètre exact de la mesure.
Quant à l’admissibilité et la proportionnalité, la Cnil prévient : les URL « sont susceptibles de faire apparaître des informations relatives au contenu des éléments consultés ou aux correspondances échangées ». Une « protection particulière » s’applique aux données de contenu et aux correspondances, car elles « représentent une garantie essentielle pour assurer le respect de la vie privée et des autres libertés afférentes ».
Si la Cnil comprend « l’utilité, notamment opérationnelle, que représenterait la possibilité d’étendre la nature des données actuellement collectées, dans un contexte au sein duquel les techniques de communication comme la menace terroriste évoluent fortement », il lui est impossible de donner un avis en amont, avant que l’évolution de cette collecte ait pu être mise en œuvre.
Il s’avère que la Cnil a proposé de passer par expérimentation, pour « évaluer finement l’utilité de cette technique », avant peut-être « de l’étendre définitivement à ces nouvelles catégories de données ». Mais en la matière, la Cnil a prêché dans le désert. Dans son communiqué, elle indique ne pas avoir été « suivie sur ce point par le Gouvernement ». Le Parlement fera-t-il entendre une autre musique ?
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !