Projet de loi relatif à la prévention d’actes de terrorisme et au renseignement : la CNIL publie ses avis

12 mai 2021

La CNIL s’est prononcée sur les dispositions du projet de loi qui intéressent la protection des données personnelles. Dans ses avis, elle rappelle notamment que les moyens mis en œuvre en matière de renseignement doivent être assortis de garanties fortes pour limiter les atteintes à la vie privée des personnes.

La CNIL s'est prononcée en urgence, dans trois avis en date du 8 avril, du 15 avril et du 3 mai 2021, sur certaines dispositions du projet de loi relatif à la prévention d’actes de terrorisme, dans leur version alors envisagée par le Gouvernement. L’intégralité du projet de loi ayant été publié le mercredi 12 mai, ces avis sont aujourd’hui rendus publics.

Dans la continuité de la loi de 2015 relative au renseignement, le projet vise à adapter les outils dont disposent actuellement les services de renseignement aux évolutions de la menace et des technologies de l’information. Il comprend plusieurs dispositions qui intéressent la protection des données personnelles ainsi que la vie privée et le Gouvernement en a donc saisi la CNIL pour avis.

Afin de garantir un équilibre entre les impératifs légitimes de sécurité et le respect de la vie privée, la CNIL estime nécessaire d’encadrer plus strictement les dispositifs prévus par ce projet de loi. Elle a émis plusieurs observations en ce sens, dont certaines ont été prises en compte dans la version adoptée par le Gouvernement. Il appartient maintenant au législateur d’apprécier et de définir les contours de cet équilibre au regard des exigences constitutionnelles et européennes. La CNIL devra néanmoins être consultée sur certaines dispositions réglementaires d’application de la loi qui sera finalement adoptée.

L’essentiel

  • S’agissant de la technique dite de « l’algorithme », la CNIL n’a pas disposé des éléments nécessaires pour lui permettre d’apprécier la nécessité de sa pérennisation, le bilan détaillé étant couvert par le secret de la défense nationale et n’étant accessible qu’à la Commission nationale de contrôle des techniques de renseignement (CNCTR) et à la délégation parlementaire au renseignement. Elle a demandé que l’éventuelle extension de cette technique aux URL fasse l’objet d’une nouvelle expérimentation, sans être suivie sur ce point par le Gouvernement.
  • Concernant les autres techniques de renseignement, la CNIL a relevé que des garanties importantes étaient mises en œuvre (limitation pour certaines finalités, durées de conservation, accès limités, etc.). Elle a néanmoins recommandé que des garanties complémentaires soient prévues par le projet de loi (limitation des finalités permettant de recourir à certaines techniques et précisions quant aux conditions de mise en œuvre, par exemple). Le projet de loi rectificatif donne suite à certaines de ces recommandations.
  • En ce qui concerne les données traitées par les services de communications électroniques, la CNIL a demandé que le texte soit précisé concernant les conditions de la conservation et de l’accès aux données d’identité et de connexion des utilisateurs à des fins de lutte contre les infractions pénales. Elle a été suivie sur ce point par le Gouvernement. 
  • Elle estime que le contrôle de la mise en œuvre de ces dispositions constitue une garantie essentielle afin de s’assurer que les atteintes aux droits des personnes sont effectivement limitées au strict nécessaire. Elle a demandé un renforcement des pouvoirs de la CNCTR, en recommandant un avis de celle-ci sur la décision de conserver les données de connexion et un véritable avis conforme à la mise en œuvre des techniques de renseignement, qui n’a pas été prévu dans le projet de loi déposé à l’Assemblée nationale.

La nécessité de dresser un bilan de la technique dite de « l’algorithme » et de son extension aux URL

En 2015, une nouvelle technique de renseignement a été créée afin de détecter automatiquement les connexions téléphoniques ou sur internet susceptibles de révéler une menace terroriste. Cette technique, dite de « l’algorithme », est particulièrement intrusive : elle ne procède pas à une surveillance ciblée mais analyse l’ensemble des données de connexion de groupes de personnes. Au titre des garanties devant encadrer cette technique, il avait alors été prévu de procéder à une expérimentation, conformément aux propositions de la CNIL à l’époque.

Dans son avis sur ce nouveau projet de loi, la CNIL a cependant estimé qu’elle n’avait pas disposé d’un bilan assez précis (ces éléments étant protégés au titre du secret de la défense nationale) pour porter une appréciation sur la nécessité de pérenniser ce dispositif. Un bilan détaillé a été communiqué à la CNCTR et à la délégation parlementaire au renseignement. Il revient au Parlement d’apprécier si les moyens traditionnels de surveillance ciblée ne permettent pas d’assurer de façon satisfaisante la protection de la population contre les menaces terroristes et si la pérennisation de cette technique de surveillance « par algorithme » peut être envisagée.

La CNIL a également souligné que l’extension de cette technique aux adresses des sites internet, les URL, en modifie fortement la portée. Elle a demandé qu’une telle extension fasse à nouveau l’objet d’une phase expérimentale, sans être suivie sur ce point par le Gouvernement.

Des observations visant à compléter ou préciser les garanties prévues

Dans ses avis, la CNIL relève que le Gouvernement, tout en démontrant l’utilité opérationnelle des différentes évolutions envisagées par le projet de loi, a encadré ces dispositifs de garanties importantes, dans la continuité de l’encadrement des techniques de renseignement en 2015.

Elle a néanmoins estimé qu’afin d’assurer un juste équilibre entre les impératifs de sécurité et les atteintes portées à la vie privée des personnes concernées, des garanties supplémentaires devaient être prévues.

Sur la mise en œuvre d’une nouvelle technique de renseignement permettant des interceptions satellitaires

Compte tenu de la nouveauté de cette technique, la CNIL a considéré pertinent de procéder à une expérimentation et a demandé à ce qu’un bilan intermédiaire soit réalisé. Elle a également estimé que les finalités permettant de justifier la mise en œuvre de cette technique devaient être limitées, dans un cadre expérimental, aux seuls objectifs d’intérêt général les plus impérieux, et considérés comme les plus graves. Le Gouvernement a donné suite à cette observation, en limitant dans le texte la mise en œuvre de cette technique à certaines finalités. 

Sur la conservation des données de connexion par les opérateurs et les fournisseurs d’accès

De manière générale, la CNIL a relevé que le projet de loi visait principalement à tenir compte des décisions du Conseil d’État et de la Cour de justice de l’Union européenne (CJUE). Tout en rappelant que certaines modalités de mise en œuvre seront précisées par voie réglementaire (et notamment les données précisément collectées), elle a estimé que des précisions pourraient toutefois être apportées au projet de loi pour tenir compte de ces décisions. Elle a été suivie par le Gouvernement dans le projet de loi rectifié :

  • les finalités pour lesquelles l’adresse IP et les données d’identité seront conservées figurent expressément dans le texte ;
  • des dispositions spécifiques encadrent la conservation et l’accès aux données de connexion pour les besoins de la recherche et de la poursuite d'infractions pénales.

Sur le contrôle de la Commission nationale de contrôle des techniques de renseignement (CNCTR)

Il s’agit, pour la CNIL, d’une composante essentielle de l’équilibre recherché : la loi doit prévoir les garanties appropriées pour limiter au strict nécessaire les atteintes aux droits des personnes, mais elle doit également prévoir les mécanismes de contrôle permettant de s’assurer du respect de ces garanties. Si la CNIL a accueilli favorablement les évolutions envisagées visant à tenir compte des exigences posées par la CJUE et le Conseil d’État, elle a néanmoins considéré :

  • que la CNCTR devrait être consultée pour avis sur le principe de la conservation des données de connexion par les opérateurs de communications électroniques ;
  • qu’il fallait instituer un véritable avis conforme de la CNCTR au lieu, comme le prévoit le texte, de permettre au premier ministre d’autoriser formellement la mise en œuvre d’une technique de renseignement à l’encontre de l’avis de la CNCTR et de s’en remettre aux diligences de la CCNTR pour saisir le Conseil d’État.

Sur le contrôle de la CNIL

Enfin, comme en 2015, la CNIL a rappelé sa demande que ses pouvoirs de contrôle puissent être mis en œuvre concernant les fichiers de renseignement alimentés par ces techniques de manière adaptée à leurs spécificités. Elle rappelle que les fichiers des services de renseignement sont soumis à la loi Informatique et Libertés mais que leurs conditions de mise en œuvre effectives ne font l’objet d’aucun contrôle de sa part.