Lutte antiterroriste : qu’est-ce que la surveillance par algorithme ?

« Que faisons-nous ? Nous appliquons à internet, ce que nous appliquons aujourd’hui aux téléphones ». Invité de France Inter, ce mercredi, le ministre de l’Intérieur s’est efforcé de synthétiser la partie la plus technique du nouveau projet de loi antiterroriste : la technique de l’algorithme. Un sujet au combien sensible en matière de libertés publiques : outil de détection de signaux faibles ou outil de surveillance de masse ?

L’article L 851-3 du code de sécurité intérieure, introduit par la loi de 2015 sur le Renseignement, prévoit que le Premier ministre peut, après avis de l’autorité administrative indépendante, la Commission de contrôle des techniques de renseignement (CNCTR) « imposer aux opérateurs de communications électroniques et aux fournisseurs de services sur internet la mise en œuvre sur leurs réseaux de traitements automatisés (algorithme) destinés à détecter des connexions susceptibles de révéler une menace terroriste. Les algorithmes ne peuvent porter que sur des données de connexion et ne doivent pas permettre l’identification des personnes auxquelles ces données se rapportent.

L’identification de la personne n’est permise que si l’algorithme a détecté des données susceptibles de caractériser une menace terroriste.

Il faudra attendre 2017, pour voir apparaître la mise en place d’un premier algorithme. « Il était centré sur la géolocalisation des téléphones, le bornage ou les numéros de téléphone en provenance de la zone irako-syrienne par exemple même si on ne sait pas réellement ce que fait l'algorithme car c'est couvert par le secret défense » rappelle Bastien Le Querec, doctorant en droit public et membre de la Quadrature du Net.

Deux nouveaux apparaîtront l’année suivante. La loi renseignement avait prévu une clause de revoyure sur leur application en juin 2018. Mais au vu de leur mise en œuvre tardive, la loi pour renforcer la sécurité intérieure et la lutte contre le terrorisme, dite « loi SILT » de 2017 prorogera leur expérimentation jusqu’au 30 décembre 2020 puis jusqu’au 31 juillet 2021.

Pour autant, sur France Inter ce matin, Gérald Darmanin assure : « Aujourd’hui, si une personne se connecte et regarde plusieurs fois des vidéos de décapitation sur Internet, nous ne le savons pas. Avec la nouvelle loi, nous connaîtrons ces connexions », assure-t-il.

Etendre l’algorithme à l’URL 

Le ministre fait ici référence à l’évolution contenue dans le projet de loi antiterroriste visant à améliorer l’efficacité des algorithmes en l’étendant aux adresses web (« URL ») complètes. « Cette technique existe déjà mais elle est limitée au nom de domaine. Par exemple publicsenat.fr et la page article de publicsenat.fr », explique Bastien Le Querec, docteur en droit public et membre de la Quadrature du Net.

Dans son rapport sur l’évaluation de la loi renseignement remis en juin 2020, la mission d’information de l’Assemblée nationale notait un « champ relativement limité des données qui peuvent faire l’objet de l’algorithme ». « Les données pouvant nourrir l’algorithme sont en effet limitées aux seules données de connexion ne révélant aucun contenu, à l’exception, donc des URL […] ». Parmi leurs préconisations, les députés demandaient d’étendre le champ de l’algorithme aux URL mais dans le cadre d’une expérimentation de 5 ans. Mais ils s’interrogeaient sur le périmètre de l’URL. « A partir de quelle barre oblique (« slash ») de l’URL une donnée cesse-t-elle d’être une donnée de connexion pour devenir une donnée de correspondance ? » Une adresse web rend effectivement beaucoup plus délicate la distinction entre le contenant et le contenu de la connexion. Soit par exemple, la différence entre Facebook.fr et https://www.facebook.com/giletsjaunes.

Quel périmètre de l’URL ?

C’est ce à quoi Gérald Darmanin fait référence en parlant de vidéos de décapitations. Mais comme l’explique Bastien Le Querec, l’évolution plébiscitée par l’exécutif va se heurter à une barrière technique. « À partir du moment où un site internet utilise httpps :// il y a une couche cryptographique impossible à casser. Les services de renseignement ne pourront pas savoir si une personne regarde des vidéos de décapitation sur Youtube. Il faudrait que cette vidéo soit reprise sur un site à audience plus faible qui n’utilise pas https ://. Le chiffrement de la connexion va limiter drastiquement les informations accessibles aux algorithmes », souligne-t-il.

Les algorithmes appelés « boîtes noires » en raison de l’opacité de leur fonctionnement, « traitent déjà les URL complètes mais un paramètre les oblige à les ignorer. C’est pourquoi le gouvernement a besoin de faire évoluer la loi. Mais ça va avoir des effets de bords désastreux pour les libertés fondamentales. Les boîtes noires font du chalutage de donnés pour découvrir une menace. A partir d’une URL, on va cibler un réseau, un quartier, une résidence » s’inquiète Bastien Le Querec.

Le projet de loi porte également à deux mois, contre un seul aujourd’hui, la durée autorisée pour recueillir des données informatiques. Au-delà, ces données sont considérées comme « mortes » mais pourront être conservées pendant cinq ans aux fins de recherches et développement et faire progresser l’intelligence artificielle des « boîtes noires » des services de renseignement.

A la sortie du Conseil des ministres, Gérald Darmanin a indiqué qu’il avait entendu « la volonté du Parlement de contribuer davantage au contrôle de l’action des services de (renseignement). Sur Public Sénat, le ministre en charge des relations avec le Parlement, Marc Fesneau a par ailleurs précisé que le « texte sera présenté début juin à l’Assemblée nationale (…) avec un objectif très court de vote définitif, avant la fin du mois de juillet ».

Le recours aux algorithmes sera-t-il uniquement limité à la lutte contre le terrorisme ?

« C’est un sujet très complexe et sensible qui nécessite un contrôle régulier du Parlement dès lors qu’il porte atteinte aux libertés publiques. Nous sommes face à des personnes qui se radicalise très rapidement sur les réseaux sociaux. Les algorithmes sont des outils nécessaires dès lors qu’ils sont limités à la lutte contre le terrorisme et à la criminalité grave », souligne Agnès Canayer sénatrice LR membre de la délégation parlementaire au renseignement. La sénatrice fait ici référence à une récente décision du Conseil d’Etat en date du 21 avril.

Le Conseil d’Etat juge conforme à aux exigences constitutionnelles l’obligation faite aux opérateurs de télécommunication, aux fournisseurs d’accès Internet et aux hébergeurs de conserver pendant un an, de manière généralisée et indifférenciée, les données de connexion de leurs utilisateurs en raison de la menace pour la sécurité nationale ininterrompue depuis 2015. La plus haute juridiction administrative française a donc pris ses distances avec la jurisprudence de la Cour de justice de l’Union européenne.

Dans une décision d’octobre 2020, la CJUE avait jugé contraire au droit de l’Union cette conservation généralisée et proposait de les limiter aux besoins d’une enquête en matière de criminalité grave.

Une distinction inopérante pour le Conseil d’Etat qui s’en tient « principe de proportionnalité entre gravité de l’infraction et importance des mesures d’enquête mises en œuvre, qui gouverne la procédure pénale ».

Membre de la CNIL, le sénateur centriste, Loïc Hervé observe que depuis la loi de finances 2020, le gouvernement autorise le fisc à scruter par des algorithmes les réseaux sociaux pour mieux lutter contre la fraude fiscale. « L’enfer est pavé de bonnes intentions. C’est à nous, législateur, de définir un régime d’autorisation, une doctrine d’emploi qui garantit les libertés publiques. C’est ce que nous avons fait sur l’emploi des drones lors de l’examen de la proposition de loi Sécurité globale », rappelle-t-il.

La question de la proportionnalité du recours aux algorithmes sera, à n’en pas douter, au cœur des débats lors de l’examen du projet de loi au Sénat qui devrait arriver à la fin du mois de juin. Pour mémoire, le 10 mars dernier, lors des questions d’actualité au gouvernement, interrogé sur les rixes entre adolescents, le ministre de l’Intérieur en appelait au soutien de la majorité sénatoriale lors de l'examen du texte pour pouvoir « permettre aux services de renseignements de surveiller ces réseaux sociaux qui sont aujourd’hui aveugles pour les services de police ».