L’Essentiel : Le dispositif expérimental « algorithme défense », instauré par la loi n° 2015–912, a été prolongé jusqu’au 31 juillet 2021. Selon l’article L. 851-3 du code de la sécurité intérieure, cette technique algorithmique vise à détecter des connexions pouvant révéler une menace terroriste. Les algorithmes traitent des données de connexion anonymes, conservées 24 heures, pour identifier des signaux faibles. Bien que leur utilisation soit encadrée par des garanties, l’algorithme se distingue par son approche globale, permettant de surveiller des menaces non identifiées, tout en respectant les libertés individuelles.

Le dispositif expérimental « algorithme défense », prévu par la loi n° 2015–912 du 24 juillet 2015 relative au renseignement, a été prolongé jusqu’au 31 juillet 2021.

Définition et champ d’application de l’algorithme

L’article L. 851-3 du code de la sécurité intérieure définit la technique algorithmique comme « la mise en œuvre sur les réseaux de traitements automatisés destinés, en fonction de paramètres précis, à détecter des connexions susceptibles de révéler une menace terroriste. » Cet article prévoit que la mise en œuvre d’algorithmes peut être imposée aux opérateurs de communications électroniques et aux fournisseurs de services sur internet.

Le champ d’application des algorithmes s’étend aujourd’hui à l’équivalent des données de facturation des communications classiques – appels téléphoniques, SMS, consultations de répondeur – des opérateurs téléphoniques français. Il ne s’agit que de données de connexion conservées pendant vingt-quatre heures maximum pour être traitées par les algorithmes.

Si les techniques de renseignement prévues par la loi du 24 juillet 2015 s’exercent de manière individualisée, l’algorithme fait à cet égard figure d’exception : son objectif est de recueillir, traiter, analyser et recouper un grand nombre d’éléments techniques anonymes pour détecter des signaux de faible intensité sur les données brutes qui témoigneraient d’une menace pesant sur la sécurité nationale.

L’algorithme «défense» est un instrument de détection ciblée des signaux faibles. Cette détection est ciblée en ce qu’elle est effectuée en fonction de paramètres déterminés, dans un seul objectif (révéler une menace terroriste …). L’enjeu déterminant consiste à être en mesure de détecter une menace dont les auteurs et les modes opératoires ne sont pas connus – auteurs qui ne peuvent, par définition, faire l’objet d’une surveillance ciblée a priori –, ce afin de caractériser et d’évaluer cette menace.

Technique de recueil de renseignement relativement récente

En 2015, la loi relative au renseignement a introduit une nouvelle technique de recueil d’informations fondée sur les algorithmes, systèmes mathématiques de tri des informations numérisées. Il s’agit de pouvoir recueillir, traiter, analyser et recouper un grand nombre d’éléments techniques anonymes pour détecter des signaux de faible intensité sur les données brutes qui témoigneraient d’une menace pesant sur la sécurité nationale.

Entre respect des libertés et lutte contre le terrorisme

D’après les informations transmises par le Gouvernement, la vocation de l’algorithme est double : il permet à la fois d’alléger la surveillance sur les objectifs du bas du spectre et leur entourage ou en fin de suivi tout en assurant un meilleur contrôle de ces individus et de mieux orienter les enquêteurs dans leur stratégie d’investigation.

La technique de l’algorithme est régie par les dispositions de l’article L. 851–3 du code de la sécurité intérieure, qui comportent un certain nombre de garanties :

– une limitation à la seule finalité de la prévention du terrorisme ;

– un avis de la CNCTR sur la demande d’autorisation, sur les paramètres de détection retenus et sur la levée de l’anonymat en cas de détection d’une menace ;

– une autorisation initiale limitée à deux mois ;

– une levée de l’anonymat uniquement en cas de menace caractérisée ;

– une destruction des données exploitées dans un délai de 60 jours à compter du recueil, sauf en cas d’éléments sérieux confirmant l’existence d’une menace terroriste.

En contrepartie du caractère spécifique de la technique algorithmique, le recours à cette dernière est non seulement entouré des garanties prévues pour l’ensemble des techniques de renseignement mais également très spécifiquement encadré.

Tout d’abord, un algorithme ne peut être utilisé qu’au titre de la finalité de prévention du terrorisme. Or, la menace terroriste se maintient à un niveau élevé. En février 2020, on recensait 61 attentats déjoués depuis le 15 octobre 2013. Depuis le mois de janvier 2020, trois attaques ont été perpétrées, dont deux pendant le confinement : le 3 janvier à Villejuif, le 4 avril à Romans-sur-Isère et le 27 avril dernier à Colombes.

Ensuite, comme pour les autres techniques de renseignement, la mise en fonctionnement d’un algorithme par les services de renseignement suppose une autorisation du Premier ministre, accordée après avis de la Commission nationale de contrôle des techniques de renseignement (CNCTR). La commission de contrôle, qui est une autorité administrative indépendante, est consultée aussi bien sur l’architecture de chaque algorithme que sur toute modification apportée à cette architecture.

Pour ses vérifications, elle a accès au code source qu’elle analyse avec ses experts indépendants. Et ce n’est que si l’algorithme détecte des données susceptibles de caractériser l’existence d’une menace à caractère terroriste que le Premier ministre peut autoriser, après une nouvelle consultation de la commission de contrôle, l’identification des personnes concernées et le recueil des données afférentes.

Les données exploitées doivent impérativement être détruites dans les deux mois, sauf en cas d’éléments sérieux confirmant l’existence d’une menace terroriste. La loi a aussi prévu une voie de recours devant une formation spécialisée du Conseil d’État, ouverte à la CNCTR comme à toute personne souhaitant vérifier que la technique de l’algorithme n’a pas été irrégulièrement mise en application à son encontre.

Impact de la jurisprudence Tele 2 Sverige

La légalité de l’usage des algorithmes «défense» doit être parfaitement encadrée en raison de la jurisprudence Tele2 Sverige et Watson e.a (arrêt du 21 décembre 2016, récemment confirmé) par laquelle la CJUE a estimé qu’une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de données était, en elle-même, contraire au droit de l’Union.

La CJUE a jugé qu’une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique constituait en soi une atteinte disproportionnée aux droits fondamentaux. Elle a cependant admis que serait conforme au droit de l’Union une réglementation permettant, à titre préventif, la conservation ciblée des données de connexion, à des fins de lutte contre la criminalité grave, à condition que cette conservation soit – en ce qui concerne les catégories de données à conserver, les moyens de communication visés, les personnes concernées ainsi que la durée de conservation retenue – limitée au strict nécessaire.

Des résultats utiles mais protégés

Si les résultats obtenus au moyen de ces algorithmes sont protégés par le secret de la défense nationale, le Gouvernement indique néanmoins dans l’étude d’impact du projet de loi que ces derniers ont notamment permis d’identifier des individus porteurs d’une menace terroriste, de détecter des contacts entre des individus porteurs de menace, de mettre à jour des comportements d’individus connus des services de renseignement et d’améliorer la connaissance des services sur la manière de procéder des individus de la mouvance terroriste.

Un outil utilisé par d’autres puissances étatiques

L’algorithme est un outil utilisé par d’autres puissances étatiques. C’est notamment le cas au Royaume-Uni depuis l’Investigatory Powers Act ([24]) de novembre 2016.

La partie 6 de l’Investigatory Powers Act du 29 novembre 2016 précise les finalités au titre desquelles les traitements automatisés sur des données de connexion peuvent être mis en œuvre. Ces finalités tiennent à l’intérêt de la sûreté nationale, à la prévention ou à la détection de la criminalité grave ainsi qu’à l’intérêt du bien-être économique du Royaume-Uni.

On peut également citer, toujours en Europe, la législation néerlandaise qui prévoit la mise en œuvre de traitements automatisés sur des données de connexion à des fins de détection des menaces « pour l’existence continue de l’ordre démocratique, la sécurité ou les autres intérêts vitaux de la Nation ». Les articles 48 à 50 de l’Intelligence and Security Services Act ([25]) du 26 juillet 2017 précisent que ces autorisations sont délivrées pour une durée de trois mois. Ces traitements ne peuvent être mis en œuvre sur le contenu des télécommunications. Les données collectées peuvent être conservées pour une durée maximale de trois ans et doivent être détruites dès qu’il apparaît qu’elles ne sont pas ou plus pertinentes.

On constate ainsi que la législation de ces États membres de l’Union européenne utilisateurs de la technique algorithmique est moins limitative que la législation française au regard des finalités pouvant motiver le recours à cette technique : intérêt de la sûreté nationale, prévention ou détection de la criminalité grave et intérêt du bien-être économique pour le Royaume-Uni ; détection des menaces pour l’existence continue de l’ordre démocratique, la sécurité ou les autres intérêts vitaux de la Nation, en ce qui concerne les Pays-Bas. En France, seule la prévention du terrorisme peut justifier l’usage d’algorithmes.

En dehors du continent européen, les services américains et israéliens utilisent également ce type de techniques.

Q/R juridiques soulevées :

Qu’est-ce que l’algorithme défense et quel est son cadre légal ?

L’algorithme défense est un dispositif expérimental introduit par la loi n° 2015–912 du 24 juillet 2015 relative au renseignement. Ce dispositif a été prolongé jusqu’au 31 juillet 2021.

Il est défini par l’article L. 851-3 du code de la sécurité intérieure, qui stipule que cette technique algorithmique est utilisée pour détecter des connexions pouvant révéler une menace terroriste.

Les opérateurs de communications électroniques et les fournisseurs de services internet sont tenus de mettre en œuvre ces algorithmes, qui se basent sur des données de facturation des communications classiques, telles que les appels téléphoniques et les SMS.

Ces données sont conservées pendant un maximum de vingt-quatre heures pour être traitées par les algorithmes.

Quel est l’objectif principal de l’algorithme défense ?

L’objectif principal de l’algorithme défense est de détecter des signaux faibles qui pourraient indiquer une menace terroriste. Contrairement aux techniques de renseignement traditionnelles qui se concentrent sur des individus spécifiques, l’algorithme analyse un grand volume de données anonymes.

Cela permet de repérer des menaces dont les auteurs et les modes opératoires ne sont pas encore connus.

L’algorithme est donc un outil de détection ciblée, utilisant des paramètres précis pour identifier des comportements ou des connexions qui pourraient signaler une menace à la sécurité nationale.

Quelles sont les garanties encadrant l’utilisation de l’algorithme ?

L’utilisation de l’algorithme est soumise à plusieurs garanties pour protéger les libertés individuelles. Tout d’abord, son utilisation est limitée à la prévention du terrorisme.

De plus, un avis de la Commission nationale de contrôle des techniques de renseignement (CNCTR) est requis avant toute autorisation.

L’autorisation initiale pour l’utilisation de l’algorithme est limitée à deux mois, et la levée de l’anonymat des données n’est permise qu’en cas de menace caractérisée.

Les données collectées doivent être détruites dans un délai de 60 jours, sauf si des éléments sérieux confirment l’existence d’une menace terroriste.

Comment la jurisprudence Tele 2 Sverige influence-t-elle l’utilisation des algorithmes ?

La jurisprudence Tele 2 Sverige, établie par la CJUE, a un impact significatif sur l’utilisation des algorithmes en matière de renseignement. Cette décision a affirmé qu’une conservation généralisée et indifférenciée des données de communication est contraire au droit de l’Union.

La CJUE a précisé que la conservation ciblée des données, à des fins de lutte contre la criminalité grave, peut être conforme au droit de l’Union, à condition qu’elle soit limitée au strict nécessaire.

Cela signifie que la France doit veiller à ce que l’utilisation de l’algorithme respecte ces principes, en évitant toute atteinte disproportionnée aux droits fondamentaux.

Quels résultats l’algorithme défense a-t-il permis d’obtenir ?

Les résultats obtenus grâce à l’algorithme défense sont protégés par le secret de la défense nationale. Cependant, le Gouvernement a indiqué que ces algorithmes ont permis d’identifier des individus porteurs d’une menace terroriste.

Ils ont également aidé à détecter des contacts entre ces individus et à mettre en lumière des comportements suspects.

Ces résultats contribuent à améliorer la connaissance des services de renseignement sur les méthodes opératoires des individus liés à la mouvance terroriste, renforçant ainsi la sécurité nationale.

Comment l’algorithme défense se compare-t-il à des dispositifs similaires dans d’autres pays ?

L’algorithme défense est un outil également utilisé par d’autres puissances étatiques, comme le Royaume-Uni et les Pays-Bas. Au Royaume-Uni, l’Investigatory Powers Act de 2016 permet des traitements automatisés sur des données de connexion pour des finalités liées à la sûreté nationale et à la détection de la criminalité grave.

En revanche, la législation française est plus restrictive, ne permettant l’utilisation d’algorithmes que pour la prévention du terrorisme.

Les législations néerlandaise et britannique sont moins limitatives, autorisant des finalités plus larges, telles que la sécurité nationale et le bien-être économique.

Cela montre une différence significative dans l’approche des États membres de l’Union européenne concernant l’utilisation des algorithmes pour la sécurité.