Des algorithmes : de quoi parle-t-on ?
Il apparait, à titre liminaire, intéressant de relever le fait que les services de renseignement nationaux utilisent depuis de nombreuses années des algorithmes dans le cadre des missions qui leur sont confiées. Cette utilisation a néanmoins connu une évolution qu’il apparait utile ici de relever. Il s’agit en vérité de technologies qui sont utilisées afin de déceler de possibles menaces par l’analyse préalable de données numériques. Cependant, ces technologies ont posé un certain nombre de questions, qu’il s’agisse des libertés individuelles aussi bien que du nécessaire respect de la vie privée. Ceci explique alors l’évolution de cette utilisation qui a été impactée par le nécessaire équilibre entre les droits fondamentaux reconnus à tout un chacun et la sécurité du pays.
Services de renseignement français et utilisation étendue des algorithmes
Depuis 2015 et la loi du 24 juillet de la même année, il existe des dispositions particulières contenues au sein de l’article L. 851-3 du code de la sécurité intérieure. Ces dispositions permettent, sous couvert de respecter certaines conditions, l’utilisation de ces algorithmes par les services de renseignement français, afin de déceler des menaces possibles. En effet, cette utilisation a pour finalité d’identifier des connexions qui semblent suspectes et qui pourraient mettre en lumière des menaces.
Si, initialement, les algorithmes en cause étaient utilisés afin d’identifier des menaces inhérentes au terrorisme, il n’en reste pas moins que, depuis, ceux-ci sont aussi utilisés dans le cadre de la défense nationale ainsi que dans le cadre des ingérences étrangères. Le Conseil d’État, dans son avis rendu en mars dernier, a insisté sur le fait que cette évolution démontre que le droit français s’adapte face aux défis sécuritaires qui ne cessent d’apparaitre. Une évolution de leur utilisation a donc eu lieu, mais il nous faut également noter que les données ont, elles aussi, évolué. Au départ, seules étaient utilisées les données de connexion : toutefois, une évolution est apparue grâce à la loi du 30 juillet 2021 qui a finalement permis l’utilisation des URL, c’est-à-dire l’adresse d’une ressource unique sur internet (Uniform Resource Locator), et non plus uniquement des données comme la localisation d’une communication. Ce type d’adresse ne comprend pas le contenu d’un message, mais il est possible que des informations indirectes soient mises au jour grâce à lui.
Le Conseil constitutionnel s’était-il déjà emparé de cette question ?
Il est intéressant de noter le fait que le Conseil constitutionnel a rendu une décision au début de l’été 2025 lorsqu’il avait été saisi sur les dispositions contenues au sein de l’article 15 de la loi visant à sortir la France du piège du narcotrafic. Dans cette décision, le Conseil constitutionnel avait considéré que le fait d’ajouter ces adresses URL dans la catégorie des données pouvant être utilisées méconnaissait le texte constitutionnel suprême (cf. Cons. const., 12/06/2025, n° 2025-885 DC). Pourquoi ? Selon les Sages, il était fort à parier qu’il aurait porté atteinte à la vie privée des internautes de manière disproportionnée, faute de conditions suffisamment précises au regard de la nature des données qui auraient été mises au jour par ces adresses. À défaut d’équilibre effectivement rencontré entre la nécessaire protection des droits fondamentaux d’une part, et la sécurité d’autre part, ces derniers n’ont eu d’autre choix que de juger ainsi. Notons aussi que la Cour européenne des droits de l’homme est elle aussi vigilante sur cette thématique, même si elle laisse le soin aux États membres de décider en la matière.
Quelles sont les nouvelles menaces qui ont été insérées dans ce projet de loi récemment voté par les députés ?
Il nous faut garder à l’esprit que ce projet de loi vise notamment l’élargissement du champ des menaces qui peuvent faire l’objet d’un tel traitement par des algorithmes. Cet élargissement intéresse aussi bien le trafic d’armes, que le trafic de stupéfiants, que la criminalité organisée. Aussi, ce projet vise à introduire de nouveau cette utilisation des adresses URL dans le cadre spécifique des données qui peuvent être collectées et exploitées. Précisons d’ailleurs qu’ici, l’accent est mis sur le respect des droits fondamentaux et de la vie privée des personnes concernées afin de s’assurer une conformité à la Constitution en prévoyant notamment une définition précise des menaces en cause, insérées à l’article L. 811-3 du code de la sécurité intérieure, de même qu’une proportionnalité dans l’usage qui sera fait desdits algorithmes.
Il est par ailleurs à noter que ce texte présenté aux députés prévoit des mesures temporaires (jusqu’en 2029), et qu’un contrôle peut être effectué d’un point de vue de la loi ainsi que d’un point de vue des institutions, et de la justice.
Il ressort de l’avis rendu au printemps par le Conseil d’État que ce que prévoit ce projet de loi devrait être conforme au texte constitutionnel suprême en ce sens, notamment où l’usage qui sera fait des algorithmes est strictement encadré par la loi ; qu’il existe aussi de réelles garanties afin que soit respecté le droit à la vie privée, car il est prévu des contrôles par les autorités compétentes ; qu’il existe des limites visant à éviter l’apparition d’abus suite à des jurisprudences nationales et européennes (notamment de la CEDH) ; ou encore qu’il apparait l’existence d’un équilibre entre la nécessaire protection de la sécurité nationale et le respect des libertés et des droits fondamentaux.
Le traitement général, mais aussi indifférencié des URL observé en 2025 par le Conseil constitutionnel n’est plus d’actualité dans le cadre de notre projet de loi, dans la mesure où des garanties ont été prévues afin de ne pas porter atteinte de manière excessive à la vie privée. Les URL concernées sont spécifiquement définies et encadrées. Ces garanties résident dans une utilisation des URL strictement nécessaire au but poursuivi ; l’utilisation doit également être justifiée et être analysée par la CNCTR (ou Commission nationale de contrôle des techniques de renseignement). Il est par ailleurs prévu que le Conseil d’État pourra, lui aussi, intervenir dans le cadre d’un contentieux qui pourrait apparaitre. L’on observe donc que le traitement des données concernées est à la fois encadré, mais surtout restreint à ce qui est nécessaire afin que les objectifs poursuivis soient utilement atteints.
Reste maintenant à observer ce qu’il adviendra de ce texte prochainement soumis au Sénat…
