Le gendarme du renseignement décrypte les « boîtes noires » algorithmiques
Back in black, I hit the sack
CNCTR
Le 26 juin 2025 à 17h43
Alors que le Conseil constitutionnel vient de censurer la surveillance algorithmique des URL, le rapport 2024 de la Commission nationale de contrôle des techniques de renseignement revient sur les garde-fous mis en œuvre afin que les « boîtes noires », qui avaient cristallisé les critiques lors de l’adoption de la loi Renseignement de 2015, ne puisse pas relever de la « surveillance de masse ». Si les trois premiers algorithmes ne traitaient que les seules métadonnées téléphoniques, on peine par contre à comprendre comment les deux autres pourraient analyser des métadonnées Internet.
Le gendarme du renseignement décrypte les « boîtes noires » algorithmiques
Back in black, I hit the sack
CNCTR
Alors que le Conseil constitutionnel vient de censurer la surveillance algorithmique des URL, le rapport 2024 de la Commission nationale de contrôle des techniques de renseignement revient sur les garde-fous mis en œuvre afin que les « boîtes noires », qui avaient cristallisé les critiques lors de l’adoption de la loi Renseignement de 2015, ne puisse pas relever de la « surveillance de masse ». Si les trois premiers algorithmes ne traitaient que les seules métadonnées téléphoniques, on peine par contre à comprendre comment les deux autres pourraient analyser des métadonnées Internet.
Droit
Droit
15 min
Vincent Mazauric, conseiller d’État nommé le 28 mars président de la Commission nationale de contrôle des techniques de renseignement (CNCTR) suite au décès de son prédécesseur, Serge Lasvignes, en a présenté ce mercredi le rapport annuel 2024 à un petit comité de journalistes de l’AFP, AEF, Intelligence Online, Le Figaro, Libération, Le Monde et Next.
Énarque, le haut fonctionnaire a passé la majeure partie de sa carrière aux impôts, avant de devenir directeur général adjoint des finances publiques puis de prendre la direction générale de la Caisse nationale d’allocations familiales. Auditionné à l’Assemblée et au Sénat en prévision de sa nomination, il avait déclaré que « le monde et le droit du renseignement assurément seront nouveaux pour moi », avant de rajouter : « je crois que cela me gardera de l’implicite dans les échanges avec les partenaires de la CNCTR ».
Lors de la présentation du rapport, Vincent Mazauric s’est retranché, plusieurs fois, derrière le secret de la défense nationale pour justifier ce pourquoi il ne pouvait pas répondre précisément à certaines questions posées, telles que le nombre de personnes qui auraient été identifiées par les fameuses « boîtes noires », ou encore combien d’entre-elles moulinent des données téléphoniques, et/ou Internet.
Il n’en a pas moins tenté d’expliciter certains points particuliers, de façon implicite, précisant notamment que « nous évoquons plus, eu égard au secret de la défense nationale, ce que l’algorithme ne fait pas que ce qu’il permet de faire ».
Interrogé sur les contrôles effectués au sujet de ces algorithmes, Vincent Mazauric nous répond, là aussi de manière implicite, que la CNCTR peut être amenée à constater qu’un algorithme ne serait pas très utile. Soit parce qu’il est trop ciblé. Soit parce qu’a contrario, s’il entraîne un nombre très important de signalements, c’est probablement qu’il brasserait trop large.
Toujours pas de surveillance algorithmique des URL et ingérences étrangères
Suite à l’autorisation d’un premier algorithme en octobre 2017, le rapport 2018 de la CNCTR révélait que deux nouveaux algorithmes avaient été autorisés, portant à trois le nombre de « boîtes noires » mis en œuvre depuis l’adoption de la loi Renseignement en 2015. Next relevait par la suite que « seule près d’une dizaine de personnes ont été surveillées individuellement suite au déploiement des trois boîtes noires activées en France ».
Le rapport 2020 de la CNCTR précisait que ces trois algorithmes étaient limités aux seules données téléphoniques. À l’occasion des débats parlementaires consacrés au fait de pouvoir les étendre au traitement des URL, on apprenait aussi que, « pour la seule année 2020, 1739 alertes ont été émises par les algorithmes, donnant lieu à autant de levées de doutes effectuées par les services », mais également que les données téléphoniques traitées seraient, en tout ou partie, basées sur les factures détaillées :
« Actuellement, les trois algorithmes en cours d’utilisation ne s’étendent qu’aux factures détaillées (fadet), encore appelées métadonnées – données d’identification des numéros d’abonnement, données de connexion à des services de communications électroniques et données de localisation. »
Depuis, deux autres algorithmes ont été autorisés, mais sans qu’il ait été précisé s’ils portaient eux aussi sur des métadonnées téléphoniques, et/ou Internet. Le rapport 2024 de la CNCTR souligne qu’un sixième algorithme a été autorisé en 2024, mais également que « l’un d’entre eux a été abandonné » cette même année, sans plus d’explications.
On peut cela dit en déduire, en creux, que le ou les services qui l’exploitaient n’en ont plus trouvé l’utilité. Le communiqué de presse précise en effet, au sujet des six algorithmes autorisés par la CNCTR, que « l’un d’entre eux cesse d’être exploité », pas qu’il n’aurait pas été ré-autorisé, ni que son autorisation aurait été abrogée.
Le rapport 2024 relève également que la faculté ouverte par la loi du 30 juillet 2021 relative à la prévention d’actes de terrorisme et au renseignement (PATR) d’étendre la technique de l’algorithme aux « adresses complètes de ressources utilisées sur internet » (abusivement assimilées à la seule notion d’« URL »), de même que celle de recourir à la technique pour d’autres finalités que celle tenant à la prévention du terrorisme, ouverte par la loi du 25 juillet 2024 visant à prévenir les ingérences étrangères en France, « n’ont toutefois pas encore été mises en œuvre ».
La censure du Conseil constitutionnel n’a pas d’impact sur les algorithmes existants
Vincent Mazauric est par ailleurs revenu sur la récente censure par le Conseil constitutionnel de la surveillance algorithmique des URL qui, relève-t-il, « n’a pas d’impact sur les algorithmes existants ». Il souligne en outre qu’il « n’a pas interdit la collecte technique des URL », mais leur traitement.
L’article L851-3 du Code de la sécurité intérieure ne porte pas, en effet, sur la collecte de données transitant par les opérateurs de télécommunications, mais sur les traitements algorithmiques censés permettre de « détecter des connexions susceptibles de révéler des ingérences étrangères, des menaces pour la défense nationale ou des menaces terroristes » :
« Ces traitements automatisés utilisent exclusivement les informations ou documents mentionnés à l’article L. 851 - 1 ainsi que les adresses complètes de ressources utilisées sur internet, sans recueillir d’autres données que celles qui répondent à leurs paramètres de conception et sans permettre l’identification des personnes auxquelles les informations, documents ou adresses se rapportent.
Dans le respect du principe de proportionnalité, l’autorisation du Premier ministre précise le champ technique de la mise en œuvre de ces traitements. »
Vincent Mazauric explique dès lors attendre avec impatience la publication du commentaire détaillé, tout en relevant que, forte de 600 considérants, la décision du Conseil constitutionnel serait « la plus longue décision jamais rendue », et qu’il ne sait donc pas quand elle sera disponible.
Dissiper les craintes que suscite le terme même d’algorithme
Rebondissant sur les deux lois ayant autorisé, en 2024, le recours à la surveillance algorithmique en matière de prévention des ingérences étrangères et de lutte contre le narcotrafic, le rapport de la CNCTR consacre par ailleurs une étude dédiée de 46 pages au cadre juridique de l’algorithme, au motif qu’ « il importe, en effet, de dissiper les craintes que suscite le terme même d’algorithme » et que « ce que permet le code de la sécurité intérieure n’est ni une surveillance de masse ni un automatisme ».
Si la loi renseignement de 2015 a autorisé la mise en œuvre de traitements algorithmiques sur les données des opérateurs de communications électroniques et des fournisseurs de services internet « en vue de détecter des connexions susceptibles de révéler une menace terroriste », « il est essentiel de préciser que le lot de données sur lequel s’exécute l’algorithme n’est pas mis à disposition des services, seules les quelques portions associées aux résultats positifs de détection le sont », souligne la CNCTR.
Le Conseil constitutionnel avait de son côté souligné que ces algorithmes utilisent exclusivement des données de connexions « sans recueillir d’autres données que celles répondant à leurs paramètres de conception et sans permettre l’identification des personnes auxquelles les informations ou documents se rapportent ».
Il relevait également que, « lorsqu’une donnée détectée par le traitement automatisé est susceptible de caractériser l’existence d’une menace terroriste, une nouvelle autorisation du Premier ministre sera nécessaire, après avis de la commission nationale de contrôle des techniques de renseignement, afin d’identifier la personne concernée ».
Une expérimentation initialement prévue jusqu’en 2018, puis 2028
La technique avait initialement été votée, à titre expérimental, jusqu’au 31 décembre 2018, avant d’être depuis prolongée à deux reprises, « en raison des difficultés rencontrées dans la mise au point » des algorithmes, « conjuguées au contrôle rigoureux exercé par la CNCTR sur cette expérimentation » :
« Après validation du cadre technique général, des études supplémentaires ont été nécessaires pour construire le premier algorithme, en particulier pour déterminer les paramètres d’alerte susceptibles d’être l’indice d’une menace terroriste et choisir les données traitées afin de construire un dispositif opérationnel, pertinent et proportionné. La complexité de ces travaux préparatoires explique que la première mise en œuvre d’un d’algorithme n’ait finalement été autorisée par le Premier ministre que le 12 octobre 2017. »
Une seconde prolongation avait été justifiée par la volonté « de tenir compte de l’impact de la crise sanitaire résultant de l’épidémie de Covid-19 sur le travail gouvernemental et le calendrier parlementaire ». La loi relative à la prévention d’actes de terrorisme et au renseignement (PATR) a depuis pérennisé la technique de l’algorithme, assortissant cette pérennisation de « nouvelles garanties, tenant essentiellement à la limitation des services de renseignement susceptibles de solliciter sa mise en œuvre et à l’habilitation exclusive du GIC pour exécuter, à la demande des services, les traitements autorisés ».
La loi visant à sortir la France du piège du narcotrafic a ensuite et de nouveau prolongé l’expérimentation des nouveaux usages de l’algorithme jusqu’au 31 décembre 2028.
Aucun service de renseignement ne peut accéder aux données traitées
Soulignant que « la technique ne permet en aucune façon aux services de renseignement d’accéder à l’ensemble des données des réseaux des opérateurs et de les analyser », la CNCTR explique que cette technique de renseignement fonctionne en deux temps.
Le Groupement interministériel de contrôle (GIC), chargé de la mise en œuvre des techniques de renseignement approuvées par le Premier ministre après avis de la CNCTR, analyse dans un premier temps « des flux de données » (non spécifiés ni détaillés par la CNCTR) en fonction de paramètres préétablis au moment de sa conception en vue de détecter une activité suspecte au regard de la finalité visée, et « sans qu’il soit possible pour les services de renseignement d’accéder directement à ces flux » :
« Ce n’est que si, et seulement si, le traitement algorithmique détecte une activité répondant à ses critères de conception (« hit »), que les services de renseignement sont alertés et peuvent, dans un second temps, accéder aux seules données correspondant à ce « hit » ainsi qu’à l’identification des personnes auxquelles elles se rapportent, en formulant une demande de levée d’anonymisation […], sans que ce signalement ne contienne ni ne révèle les données qui l’ont déclenché. »
Cette demande de levée d’anonymisation est ensuite soumise à l’avis préalable de la CNCTR puis à l’autorisation du Premier ministre. Si cette autorisation est obtenue, le GIC réunit les données et les
communique au service. Dès lors, « aucun service de renseignement ne peut accéder aux données soumises aux traitements automatisés » :
« Les seules données susceptibles de leur être transmises sont celles qui ont donné lieu à une alerte de la part d’un algorithme autorisé par une première décision du Premier ministre, puis dont l’anonymat est levé par une nouvelle décision du Premier ministre. »
Ce n’est que dans un troisième temps, nécessitant là aussi une autorisation du Premier ministre pris après avis de la CNCTR, que la personne dont l’anonymat aura été levé pourra elle-même faire l’objet d’une ou plusieurs autres techniques de renseignement (obtention des données de connexion, interception de sécurité, etc.) le ciblant nommément :
« La technique algorithmique prévue par le code de la sécurité intérieure ne peut ainsi être assimilée, ni dans sa finalité, ni dans sa construction, ni dans son fonctionnement légal, à un instrument de surveillance générale des informations ou communications échangées par les individus dans la sphère numérique. »
Les données non détectées doivent être « immédiatement détruites »
La CNCTR reconnaît cela dit que cette technique « a suscité d’importantes craintes » en raison des « risques intrinsèques d’atteinte aux droits et libertés, en particulier au droit au respect de la vie privée et des données personnelles, du seul fait qu’ils permettent le traitement et l’analyse massifs de données numériques ».
Elle rétorque cela dit que le recours à l’algorithme ne peut être fondé que sur trois finalités (ingérences
étrangères, menaces pour la défense nationale ou menaces terroristes) parmi les huit prévues par la CSI, que seuls les six services dits du « premier cercle » sont autorisés à y avoir recours, après avoir obtenu « deux autorisations successives ».
Sa durée de mise en œuvre initiale est limitée à deux mois, et son renouvellement, pour quatre mois, doit faire l’objet d’une motivation particulière comportant « un relevé du nombre d’identifiants signalés par le traitement automatisé et une analyse de la pertinence de ces signalements ».
Par ailleurs, « signe de l’importance accordée par la CNCTR au contrôle des demandes de renouvellement des algorithmes, leur examen est toujours effectué par son collège siégeant en formation plénière, bien que la loi ne l’impose pas ».
Les données détectées comme étant « susceptibles de caractériser l’existence d’une menace » ne peuvent, par ailleurs, être conservées que « pendant soixante jours, sans possibilité de prolongation de ce délai d’exploitation ». En outre, la loi impose désormais que les données non détectées par les traitements comme susceptibles de révéler une menace doivent, elles, être « immédiatement détruites ».
Reste l’inconnu des métadonnées Internet
La CNCTR rappelle qu’en 2015, le projet de loi Renseignement avait initialement envisagé de demander aux opérateurs de mettre en œuvre eux-mêmes les traitements automatisés en plaçant des dispositifs de détection en plusieurs points de leurs réseaux. Une modalité d’exécution qui avait toutefois été abandonnée « au vu de ses inconvénients pratiques (risque de perturbation de la sécurité de ces réseaux, amoindrissement de la capacité de détection du fait de la multiplicité des réseaux, divulgation aux opérateurs des paramètres de détection retenus) ».
Le gouvernement s’était alors orienté vers une « modalité d’exécution centralisée des algorithmes, consistant à dupliquer les flux de données de connexion sur les réseaux des opérateurs puis à les acheminer vers le GIC, chargé d’exécuter tous les traitements automatisés » effectués pour le compte des services de renseignement :
« Faisant écran entre les données analysées par les algorithmes et les services de renseignement ayant demandé leur mise en œuvre, cette centralisation au GIC est apparue comme un garde-fou technique essentiel pour s’assurer que les services de renseignement ne puissent à aucun moment accéder directement aux données soumises aux traitements automatisés. »
Si le transfert des factures détaillées (fadet) par les opérateurs téléphoniques au GIC ne semble guère poser de problèmes, reste à savoir quels types de métadonnées Internet pourraient être transmis au GIC par les FAI, et comment ces derniers pourraient les collecter.
Contrairement aux factures détaillées, les métadonnées Internet ne peuvent pas, en effet, être « centralisées », du fait de l’architecture maillée et décentralisée d’Internet d’une part, que les FAI ne voient passer que les noms de domaine, et pas les URL d’autre part, nonobstant le fait que plus de 99% de ces dernières sont chiffrées (HTTPS), et donc a priori indéchiffrables.
La section du Code des postes et des communications électroniques consacrée à la protection de la vie privée des utilisateurs de réseaux et services de communications électroniques dispose par ailleurs que les données conservées par les opérateurs « portent exclusivement sur l’identification des personnes utilisatrices des services fournis par les opérateurs, sur les caractéristiques techniques des communications assurées par ces derniers et sur la localisation des équipements terminaux » :
« Elles ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit, dans le cadre de ces communications. »
Commentaires (9)
Le 26/06/2025 à 18h47
(et accessoirement un routeur de FAI n'a rien à carrer de l'URL, ce n'est pas une information pertinente pour l'acheminement d'un paquet, cette information est directement échangée par les 2 extrémités client / serveur et est totalement inconnue du FAI avec le chiffrement des couches applicatives)
Le 27/06/2025 à 09h13
Le 27/06/2025 à 09h32
Le 07/07/2025 à 16h20
Le principe c'est "ce qui n'est pas explicitement interdit est autorisé", et pas l'inverse ;)
Le 27/06/2025 à 10h03
En TLS, suivant le cas, le nom du serveur peut être transmis en clair ou chiffré (SNI ou ESNI). Il y a aussi une évolution plus récente (ECH) qui chiffre tout ce qui n'a pas besoin d'être en clair, mais je ne crois pas que ça soit normalisé.
Le 27/06/2025 à 10h05
Le 27/06/2025 à 10h10
Le 27/06/2025 à 12h29
Le 26/06/2025 à 21h12
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?