[PLF 2025] Suivez en temps réel le projet de loi finance 2025 sur Pappers Politique !

Pappers Politique vous permet de rechercher et surveiller les amendements, rapports, questions, propositions de loi des députés et sénateurs
  • Suivi automatiquement de vos amendements
  • Suivez en temps réel les débats parlementaires
  • Cartographie parlementaire avancée
Réserver une démo

Délibération n° 2021-116 du 7 octobre 2021 portant avis sur un projet de décret portant création d'un traitement automatisé de données à caractère personnel visant à détecter et caractériser les opérations d'ingérence numérique étrangères aux fins de manipulation de l'information sur les plateformes en ligne (demande d'avis n° 21013837)

Données personnelles
Libertés publiques
Démocratie
Déposé le 6 octobre 2021 à 22h00, publié le 8 décembre 2021 à 23h00
Journal officiel

Texte

La Commission nationale de l'informatique et des libertés,
Saisie par le secrétaire général de la défense et de la sécurité nationale d'une demande d'avis concernant un projet de décret portant création d'un traitement automatisé de données à caractère personnel visant à détecter et caractériser les opérations d'ingérence numérique étrangères aux fins de manipulation de l'information sur les plateformes en ligne ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 31-II et son titre IV ;

Après avoir entendu le rapport de Mme Isabelle LATOURNARIE-WILLEMS, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l'avis suivant :
Le traitement dont la Commission nationale de l'informatique et des libertés (ci-après « la Commission ») a été saisie a pour finalité la caractérisation d'opérations d'ingérence numérique étrangères de nature à porter atteinte aux intérêts fondamentaux de la Nation grâce à la collecte et l'exploitation des contenus publiquement accessibles publiés sur Internet par les utilisateurs des opérateurs de plateformes en ligne. Ce traitement a vocation à être mis en œuvre par un service à compétence nationale dénommé « service de vigilance et de protection contre les ingérences numériques étrangères » (Viginum), créé par le décret n° 2021-922 du 13 juillet 2021, rattaché au secrétaire général de la défense et de la sécurité nationale (SGDSN). Le service « Viginum » agira en qualité de responsable du traitement. Dans la mesure où le traitement projeté intéresse la défense et la sûreté de l'Etat, et que des données mentionnées au I de l'article 6 de la loi du 6 janvier 1978 modifiée sont susceptibles d'être enregistrées, celui-ci doit faire l'objet d'un décret en Conseil d'Etat pris après avis motivé de la Commission.
L'activité de « Viginum » s'inscrit dans un contexte global de lutte contre la manipulation de l'information.
Le SGDSN fait valoir que la diffusion de fausses informations s'est généralisée sur les plateformes en ligne, notamment avec le développement des réseaux sociaux, et touche aussi bien les périodes électorales que les autres champs du débat public (faits d'actualités ou de société marquants). Le législateur a renforcé l'arsenal juridique permettant de lutter contre la publication de fausses informations pendant les périodes de campagne électorale, notamment avec la loi n° 2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l'information, tandis que les services de l'État ont mis en place un réseau de coordination interministérielle (comité de lutte contre la manipulation de l'information). Le Gouvernement souhaite renforcer ce dispositif en se dotant d'un service opérationnel destiné à détecter à tout instant les menaces informationnelles numériques provenant de l'étranger à l'aide d'un outil informatique que le projet de décret, soumis à l'avis de la Commission, a vocation à encadrer.
Le traitement est justifié par l'objectif légitime de préserver la sincérité du débat démocratique et de lutter contre les atteintes aux intérêts fondamentaux de la Nation. La Commission estime néanmoins que la mise en œuvre d'un tel traitement n'est pas neutre sur l'exercice des libertés publiques compte tenu de l'économie générale du traitement et des conséquences que ce traitement est susceptible d'avoir sur certains droits et libertés fondamentaux, dont la liberté d'expression et la liberté d'opinion. En outre, la Commission relève que le traitement envisagé s'appuie sur une veille permanente et, parce qu'il peut concerner tous les champs du débat public, est susceptible de permettre à tout instant une collecte massive de données à tout instant. De telles atteintes ne peuvent être admises que si des garanties suffisantes sont prévues. La Commission considère qu'une attention particulière doit être accordée au principe de transparence à l'égard du grand public et aux principes de minimisation des données et de respect de la vie privée dès la conception, en limitant le traitement de données non pertinentes au regard des finalités poursuivies et en limitant les périodes au cours desquelles ce traitement peut être mis en œuvre.
Sur l'économie générale du traitement de données à caractère personnel envisagé
Le dispositif considéré se décomposera en plusieurs phases. Tout d'abord, une phase de veille et de détection doit permettre de suivre les informations pertinentes sur des thématiques d'actualité afin d'identifier les acteurs ou les évènements ayant un intérêt au regard des missions du service « Viginum ». A ce stade du traitement, le service « Viginum » s'attache à détecter un soupçon relatif à « la diffusion d'allégations ou imputations de faits manifestement inexactes ou trompeuses » avant d'initier l'opération de collecte. Cette phase conduira à la rédaction de fiches dites de « traçabilité » qui détermineront les éléments techniques (mots-clés, éléments sémantiques comme des mots-dièses, éléments chiffrés, rapprochement entre des profils ou groupe de profils d'intérêts, etc.) qui permettront, après une validation humaine, d'orienter l'opération de collecte par la sélection des contenus nécessaires à la mission de caractérisation. La collecte des données à caractère personnel est alors activée sur l'ensemble des plateformes identifiées comme pertinentes, notamment par des techniques d'extraction du contenu de sites, via des scripts ou des programmes automatisés (« webscraping ») ou l'utilisation d'interfaces de mise à disposition des données fournies par les plateformes (ou API, pour « Application Programing Interface »), durant une période initiale de sept jours. Les données ainsi collectées font ensuite l'objet de traitements techniques automatisés afin de séparer les informations à conserver (celles qui correspondent aux catégories de données formant le modèle de données préalablement défini) de celles qui doivent être immédiatement supprimées. Les données conservées à l'issue de cette opération seront ensuite exploitées et analysées, afin de confirmer, le cas échéant, la présence d'une opération d'ingérence numérique étrangères. Les données exploitées peuvent être extraites pour les besoins de l'élaboration de notes d'analyse qui pourront être transmises à différents services étatiques et administrations ainsi qu'à des homologues étrangers.
En premier lieu, la Commission relève que le traitement envisagé soulève des difficultés particulières en termes de proportionnalité.
Tout d'abord, il implique une collecte automatisée de données publiées sur diverses plateformes (notamment les réseaux sociaux), en très grande quantité et susceptible d'intervenir à tout moment. Ces informations sont susceptibles de révéler des informations sur un nombre important d'aspects de la vie privée des personnes concernées, y compris des informations sensibles, telles que les opinions politiques, les convictions religieuses ou philosophiques ainsi que l'état de santé ou l'orientation sexuelle, alors que de telles données bénéficient d'une protection particulière. Ainsi, le traitement envisagé conduit une autorité publique à collecter des données relatives à l'activité de personnes sur les plateformes en ligne où elles sont inscrites, disposant ainsi, potentiellement, d'une information particulièrement riche et précise sur elles, indépendamment de toute enquête pénale ou procédure judiciaire et en dehors du cadre prévu pour les techniques de renseignement.
Par ailleurs, la collecte automatisée d'un grand nombre de données à partir des plateformes concernées, selon certains paramètres déterminés par avance (au sein des fiches dites de « traçabilité »), implique la collecte et le traitement de données non pertinentes au regard des finalités poursuivies.
En deuxième lieu, la Commission souligne, eu égard aux volumes de données potentiellement collectées, la nécessité d'assurer un contrôle externe, effectif et adapté aux caractéristiques propres au traitement envisagé, afin de garantir que celui-ci s'inscrive dans les limites et critères définis à l'article 1er du projet de décret et, dès lors, concerne bien « la diffusion d'allégations ou imputations de faits manifestement inexactes ou trompeuses ». Il pourrait notamment appartenir au comité éthique et scientifique, créé par le décret n° 2021-922 du 13 juillet 2021, de veiller effectivement à ce que les opérations de collecte ne soient déclenchées qu'au vu d'éléments les justifiant suffisamment, et pour un périmètre de données pertinent. Les moyens du comité devraient être proportionnés à ses missions, afin qu'il puisse réagir rapidement à toute fiche de traçabilité transmise.
En troisième lieu, la Commission souligne que certaines données à caractère personnel, présentes dans les notes d'analyse précédemment évoquées, seront adressées à de multiples services étatiques et administrations ainsi qu'à des homologues étrangers, dans les conditions détaillées ci-après.
Au regard de ces éléments, la Commission considère qu'il s'agit d'un traitement d'une extrême sensibilité, tant en raison du nombre de personnes concernées (potentiellement plusieurs centaines de milliers de personnes) et du volume de données dont la collecte peut être déclenchée à tout moment, que de l'absence de contrôle externe dans le projet dont elle a été saisie. Ce constat guide les observations que la Commission entend faire sur les garanties que le texte encadrant un tel dispositif devrait prévoir.
Sur la nature du texte autorisant la création du traitement
La Commission relève que la mise en œuvre d'un tel traitement interviendra de facto dans le champ des libertés publiques. En effet, l'existence de cette surveillance qui, à la différence de la procédure mise en place par la loi du 22 décembre 2018, n'est pas bornée dans sa durée, est susceptible d'avoir des conséquences sur l'exercice de la liberté d'opinion et d'expression des utilisateurs des plateformes concernées, dès lors que la collecte de l'ensemble des « données publiquement accessibles sur les plateformes en ligne des opérateurs mentionnés au I de l'article L. 111-7 du code de la consommation » est susceptible de modifier leur comportement. Certains d'entre eux pourraient, en effet, faire le choix de ne plus s'exprimer afin d'éviter une collecte des données qui les concernent.
Elle considère donc qu'une atteinte particulièrement importante au droit au respect de la vie privée et à la protection des données à caractère personnel est caractérisée. De telles atteintes ne peuvent être admises que si elles apparaissent strictement nécessaires au but poursuivi, et si des garanties suffisantes au regard du respect des principes fondamentaux du droit à la protection des données à caractère personnel sont prévues.
Or, la Commission appelle l'attention du Gouvernement sur le fait que le législateur a précédemment considéré qu'il lui appartenait de fixer les règles en matière de lutte contre la manipulation de l'information (loi n° 2018-1202 du 22 décembre 2018) et concernant les dispositifs de collecte de données accessibles sur les réseaux sociaux ayant vocation à être mis en œuvre, par exemple, par le pôle d'expertise de la régulation numérique (projet de loi relatif à la régulation et à la protection de l'accès aux œuvres culturelles à l'ère numérique), le Conseil supérieur de l'audiovisuel (article 42 de la loi n° 2021-1109 du 24 août 2021 confortant le respect des principes de la République), l'administration fiscale et l'administration des douanes et droits indirects (article 154 de la loi de finances pour 2020).
Compte tenu de ce qui précède, la Commission estime souhaitable de laisser la possibilité au législateur, au terme d'un débat démocratique, d'apprécier la proportionnalité d'un tel dispositif et de fixer les règles en encadrant et en limitant l'usage, ainsi que les modalités de son contrôle.
Par ailleurs, la Commission souhaite formuler les observations suivantes.
Les garanties à prévoir par le texte encadrant le traitement
A titre liminaire, la Commission rappelle que la légalité du dispositif pourra être contrôlée par la Commission dans le cadre des pouvoirs de contrôle prévus à l'article 19 de la loi du 6 janvier 1978 modifiée (ci-après la loi « Informatique et Libertés »).
Sur les finalités du traitement
Le deuxième alinéa de l'article 1er du projet de décret prévoit que le traitement a pour finalité « la collecte et l'exploitation des contenus publiquement accessibles sur les plateformes en ligne ». La Commission rappelle que la collecte n'est qu'un moyen et que la finalité du traitement est décrite au premier alinéa de l'article 1er, à savoir « la caractérisation des opérations impliquant, de manière directe ou indirecte, un Etat étranger ou une entité non étatique étrangère, et visant à la diffusion artificielle ou automatisée, massive et délibérée, par le biais d'un service de communication au public en ligne, d'allégations ou imputations de faits manifestement inexactes ou trompeuses de nature à porter atteinte aux intérêts fondamentaux de la Nation » (troubles à l'ordre public, déstabilisation des élections, etc.). La Commission prend acte de l'engagement du Gouvernement de préciser la finalité dans le projet de texte encadrant le traitement.
Le traitement vise à répondre aux besoins de caractériser une stratégie « hostile » entendue comme :



- une activité inauthentique (constituée par exemple de comportements techniques anormaux) ;
- dévoilant une intention malveillante à l'encontre des intérêts fondamentaux de la Nation avec pour objectif central la déstabilisation ; et
- rattachable à une origine étrangère supposée, étatique ou non étatique.



La Commission relève qu'il ressort de l'analyse d'impact sur la protection des données (AIPD) que chaque opération de collecte et d'analyse de données à caractère personnel sera encadrée par une fiche dite « de traçabilité » qui déterminera les indicateurs pertinents à suivre (mots-clés, éléments sémantiques comme des mots-dièses, éléments chiffrés, rapprochement entre des profils ou groupe de profils d'intérêts, etc.). Elle appelle l'attention du Gouvernement sur la nécessité de définir de manière plus précise les opérations de collecte dans les fiches de traçabilité. Elle relève que la conformité de ces fiches de traçabilité aux finalités définies à l'article 1er n'est soumise à aucun contrôle externe.
Compte tenu de ce qui précède, la Commission considère que la finalité de détection et de caractérisation d'une opération d'ingérence numérique étrangère est déterminée, explicite et légitime, conformément au 2° de l'article 4 de la loi « Informatique et Libertés ».
Sur les différentes phases du traitement
La Commission relève que le projet de décret n'encadre le traitement qu'à compter de la phase de caractérisation. Or, comme détaillé précédemment, la phase de caractérisation est précédée d'une phase de veille et de détection, réalisée via des moyens automatisés ou humains, qui implique un traitement de données à caractère personnel. Au surplus, il apparaît essentiel que le décret prévoie cette opération, qui vise à garantir qu'une opération de collecte de données n'est déclenchée que lorsqu'il existe un soupçon suffisamment étayé de « diffusion d'allégations ou imputations de faits manifestement inexactes ou trompeuses ».
Sur les catégories de données à caractère personnel
S'agissant de la notion de « contenus publiquement accessibles » et les plateformes visées
L'article 1er du projet de décret limite la collecte de données aux « contenus publiquement accessibles » sur les plateformes en ligne des opérateurs concernés. L'article 3 du projet autorise la création de comptes dédiés sur les plateformes concernées ainsi que des comptes destinés à être utilisés par l'intermédiaire d'API.
La Commission prend acte de ce que la référence aux « contenus publiquement accessibles » dans le projet de décret exclut les contenus faisant l'objet d'un accès restreint, notamment lorsqu'ils nécessitent une demande d'accès préalable ou une étape de validation de connexion (par exemple, un groupe fermé sur un réseau social ou un service de messageries en ligne).
Toutefois, elle relève que le champ des plateformes concernées par le projet d'article est particulièrement étendu. En l'état des justifications fournies, elle s'interroge sur la nécessité de viser l'ensemble des plateformes mentionnées au I de l'article L. 111-7 du code de la consommation, dont certaines ne paraissent pas pertinentes au regard de l'objectif poursuivi (par exemple, s'agissant des plateformes en ligne de mise en relation de plusieurs parties en vue de la vente d'un bien, de la fourniture d'un service). En tout état de cause, la Commission considère que le choix des plateformes visées devra être documenté et justifié au regard notamment de leur caractère « systémique » et du nombre d'abonnés. A cet égard, elle prend acte de la précision du Gouvernement selon laquelle les plateformes concernées sont uniquement celles dépassant un seuil de connexion de 5 millions de visiteurs uniques par mois et par plateforme.
S'agissant des modalités de collecte des données
A titre liminaire, et afin d'éviter toute confusion sur le terme de collecte, la Commission appelle l'attention du SGDSN sur la nécessité de différencier, dans le texte qui autorisera le traitement, les notions de collecte et de conservation, qui recouvrent des acceptions différentes dans le projet de décret. En effet, les catégories de données visées à l'article 4 du projet de décret ne concernent que celles ayant vocation à être conservées, et non l'ensemble des données susceptibles d'être collectées. La Commission prend acte de l'engagement du Gouvernement de modifier sur ce point le projet de texte encadrant le traitement.
Le projet de décret prévoit que l'opération de collecte déclenchée à partir de la « fiche de traçabilité » pourra en pratique conduire à copier des données excédant les catégories visées à l'article 4 du projet de décret, dès lors qu'elles sont en lien avec les indicateurs préalablement définis dans le cadre de ces fiches. Ces données extraites seront immédiatement et automatiquement retraitées pour supprimer celles qui excèdent les catégories de l'article 4. En raison de ces modalités techniques de collecte qui résulteraient de contraintes opérationnelles et qui conduisent à traiter des données non pertinentes au regard des finalités poursuivies, qui ne seront finalement pas conservées, la Commission appelle l'attention du Gouvernement sur la nécessité de mettre en place des garanties appropriées afin de s'assurer du respect des principes de minimisation des données et de protection des données dès la conception.
En premier lieu, la Commission considère que la phase de veille et de détection, qui permettra de déterminer, au sein de fiches dites de « traçabilité », les éléments de la collecte (mots-clés, éléments de sémantiques comme des hashtags, éléments chiffrés, rapprochement entre des profils ou groupe de profils d'intérêts, etc.), doit permettre de s'assurer que seules les informations en lien avec les thématiques et acteurs présumés étrangers d'intérêt soient collectées. Ce traitement en deux temps doit permettre de s'assurer que l'intégralité des données à caractère personnel publiquement accessibles sur les plateformes en ligne ne soit pas collectée.
En deuxième lieu, elle souligne la nécessité de s'assurer de l'effectivité des mesures permettant, à l'issue de leur collecte, de procéder à la suppression immédiate des données considérées comme non pertinentes pour la phase d'exploitation, à défaut de procédés techniques permettant d'opérer, en amont de la collecte, une distinction quant à la nature des données collectées.
En troisième lieu, elle considère que des mesures techniques contraignantes doivent être prévues afin de garantir que personne n'accèdera à celles des données collectées qui seront identifiées comme devant être immédiatement et automatiquement supprimées. Elle relève toutefois, que certains administrateurs individuellement habilités pourront avoir accès à l'outil de suppression des données. A cet égard, elle recommande que les actions d'activation, de modification et d'accès sur ce procédé automatisé ne soient pas techniquement possibles pour les agents du service « Viginum » et que ces accès fassent l'objet des mesures de journalisation permettant de garantir la fiabilité des traces associées, ainsi que leur analyse régulière afin de détecter les accès non autorisés.
En outre, l'article 5 du projet de décret prévoit que les données non pertinentes sont « immédiatement détruites ». La Commission considère que cette formulation omet d'indiquer l'étape précédant la destruction des données. Elle invite le Gouvernement à préciser, dans le texte encadrant le traitement, que les données non pertinentes doivent être détruites immédiatement après l'opération de collecte, garantissant ainsi que l'accès par les opérateurs humains ne sera possible que pour les seules données visées à l'article 4 du projet de décret.
En dernier lieu, il ressort du projet de décret que seules les données publiquement accessibles sur les plateformes en ligne peuvent être collectées. Le décret prévoit que le service « Viginum » pourra recourir à des sous-traitants : les données ainsi collectées le seront sur instruction et sous la responsabilité de « Viginum ». La Commission souligne par ailleurs que, si des données complémentaires devaient pouvoir être obtenues auprès de tiers, il serait souhaitable que cette modalité de collecte soit mentionnée dans le décret. Les données ainsi obtenues devraient alors correspondre aux sources et catégories de données prévues par le décret, avoir été rassemblées par ces tiers dans des conditions respectant la réglementation européenne et française protégeant les données à caractère personnel, et être traitées pour les finalités prévues par le décret et dans le respect de ses dispositions.
S'agissant de la définition des catégories de données conservées
Les catégories mentionnées à l'article 4 du projet de décret appellent les observations suivantes.
En premier lieu, la Commission considère que la notion de « données de caractérisation de l'activité et de l'audience des comptes » ne permet pas de comprendre de manière précise le périmètre de cette catégorie de données. Elle comprend des échanges avec le Gouvernement que la « caractérisation de l'activité » peut inclure la collecte de données versées ou relayées par l'utilisateur, et non de simples informations décrivant l'intensité ou certaines modalités d'utilisation du compte. Elle lui demande de préciser sur ce point le texte encadrant le traitement.
En deuxième lieu, la Commission invite le Gouvernement à préciser, dans le projet de texte encadrant le traitement, que les « données d'identification déclarées par les titulaires de comptes ouverts sur les plateformes en ligne » concernent les données déclaratives qui apparaissent sur le compte, afin d'éviter toute confusion avec les données d'identification définies par la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique. La Commission prend acte de l'engagement du Gouvernement de compléter le projet de texte encadrant le traitement sur ce point.
En troisième lieu, la Commission estime que la collecte des « publications diffusées au moyen des comptes et les indicateurs d'audience associés » est susceptible de révéler des pans importants de la vie privée des internautes. Il sera donc particulièrement important que les données qui se révéleraient inutiles pour la détection d'une manipulation d'information d'origine étrangère soient détruites le plus tôt possible, avant même la durée maximale d'exploitation de quatre mois fixée par l'article 9 du projet de décret.
En dernier lieu, la Commission rappelle que toute évolution des catégories de données devra entraîner une modification du texte.
S'agissant du traitement de catégories particulières de données à caractère personnel
L'article 6 du projet de décret précise que les informations collectées peuvent contenir des données sensibles, au sens de l'article 6 de la loi « Informatique et Libertés ».
La Commission prend acte de ce que la collecte de telles données est inhérente à l'activité du service « Viginum ». Les garanties soulignées par la Commission (suppression immédiate et automatisée des données non pertinentes, transparence, etc.) doivent être appliquées avec d'autant plus de rigueur dans l'exploitation et la conservation de ces données.
Par ailleurs, elle considère que certaines catégories de données sont susceptibles de soulever des difficultés particulières comme, par exemple, les photographies. Si elle prend acte des précisions apportées, selon lesquelles aucun dispositif de reconnaissance faciale ne sera mis en œuvre, elle demande néanmoins que le texte encadrant le traitement exclue expressément la possibilité d'y recourir, ce à quoi le Gouvernement s'est engagé.
S'agissant des périodes de collecte et de la profondeur historique des données collectées
La période au cours de laquelle les données peuvent être collectées, à l'issue de la phase de veille et détection, est limitée à sept jours et peut être reconduite à la suite d'un contrôle et d'une validation humaine. La Commission considère que le texte encadrant le traitement devra préciser la durée de la collecte et invite le SGDSN à documenter, dans le cadre des fiches de traçabilité, les raisons des éventuelles reconductions. La Commission prend acte de l'engagement du Gouvernement de compléter le projet de texte encadrant le traitement en précisant la période de collecte.
Enfin, la profondeur historique de récupération des données pourra concerner aussi bien plusieurs années que seulement quelques jours en fonction du sujet étudié et de l'antériorité nécessaire pour comprendre la situation (par exemple, l'identification de périodes dites de « réveils » pour des évènements particuliers pourra justifier une période de récupération longue). La période de récupération des données ne saurait ainsi être uniforme et prédéterminée. La Commission invite donc le Gouvernement à définir au cas par cas la période de récupération des données, qui devra être documentée dans le cadre des fiches de traçabilité.
Sur la durée de conservation des données à caractère personnel conservées
L'article 9 du projet de décret prévoit que les données collectées sont détruites à l'issue de leur exploitation et, au plus tard, au terme d'un délai de quatre mois à compter de la date de leur collecte.
La Commission prend acte de la durée de conservation retenue par le SGDSN et rappelle qu'il s'agit d'une durée maximale : les données considérées comme non pertinentes pour la phase d'exploitation devront être immédiatement supprimées, sans attendre l'expiration du délai de quatre mois.
Sur la production de notes d'analyse
S'agissant de l'élaboration des notes d'analyse
L'article 10 du projet de décret prévoit que les données exploitées sont extraites pour les besoins de l'élaboration de notes d'analyse.
Le SGDSN a précisé que les notes d'analyse ont pour objet de restituer les résultats des analyses menées par le service « Viginum » et de proposer des perspectives d'actions à mettre en œuvre dans le cadre des opérations de veille. Dans ce cadre, ces notes sont susceptibles de contenir des données à caractère personnel nécessaires à la caractérisation d'une opération d'ingérence numérique étrangère et son imputation ou son attribution ; aucune limitation n'est prévue concernant leur conservation.
La Commission estime que les données contenues dans ces notes doivent impérativement se limiter au strict nécessaire et ne concerner que les comptes ayant un lien direct et établi avec la caractérisation d'une opération d'ingérence numérique étrangère : en aucun cas, ces notes ne pourraient contenir des données des internautes de bonne foi ayant par exemple relayé une « fausse information ». Leurs données devraient être détruites à l'issue de l'exploitation.
La Commission considère qu'en l'état actuel de sa rédaction, le projet de décret n'apporte pas assez de garanties sur ce point, et invite donc le Gouvernement à préciser en ce sens le texte encadrant le traitement. Par ailleurs, elle rappelle qu'une durée de conservation devra être prévue, conformément au 5° de l'article 4 de la loi « Informatique et Libertés ».
S'agissant de la transmission des notes d'analyse
L'article 12 du projet de décret prévoit que les notes d'analyse pourront être transmises à différents services étatiques et administrations ainsi qu'à des homologues étrangers.
Bien que ne pouvant comporter que des données de comptes liés à des ingérences étrangères, la Commission considère que le transfert des notes d'analyse à des tiers doit être encadré de manière plus précise.
En premier lieu, la Commission regrette que la liste des destinataires des notes d'analyse soit imprécise. Tout d'abord, elle relève que le comité éthique et scientifique, créé par l'article 5 du décret n° 2021-922 du 13 juillet 2021, n'est pas mentionné à l'article 12 du projet de décret, alors que le SGDSN a confirmé qu'il serait rendu destinataire des notes d'analyse pour remplir ses missions. La Commission prend acte de l'engagement du Gouvernement de compléter le projet de texte encadrant le traitement sur ce point.
En outre, le SGDSN a précisé que la référence aux « autorités administratives participant aux instances de coordination des travaux interministériels en matière de protection contre les opérations d'ingérence numérique étrangères » renvoyait aux autorités administratives participant au comité de lutte contre la manipulation de l'information qu'il pilote. Ce comité est composé des représentants du ministère de l'Europe et des affaires étrangères, du ministère de l'intérieur, du ministère des armées, du ministère de la culture, du ministère de la justice, du ministère de l'éducation nationale, du porte-parole du Gouvernement, de certains services du Premier ministre ainsi que de certains services de renseignement.
La Commission considère donc que le texte encadrant le traitement doit mentionner tous les destinataires des notes d'analyse, en ce compris les services de renseignement.
En second et dernier lieu, la Commission prend acte de la transmission possible des notes aux homologues étrangers du service « Viginum ». Elle rappelle, en tout état de cause, que le transfert de données à caractère personnel à des Etats n'appartenant pas à l'Union européenne doit se faire dans le respect des conditions des articles 123 et 124 de la loi « Informatique et Libertés ».
Sur l'information et les droits des personnes concernées
L'article 13 du projet de décret encadre les modalités d'exercice des droits des personnes concernées, au regard des dispositions du titre IV de la loi « Informatique et Libertés ».
S'agissant de l'information des personnes concernées
La Commission prend acte de ce que le projet exclut le droit à l'information sur le fondement de l'article 116 de la loi mais qu'une information collective sera délivrée sur le site web du SGDSN ou sur celui du service « Viginum ». Elle insiste sur la nécessité de délivrer une information compréhensible par le plus grand nombre afin de permettre aux internautes de prendre conscience des conditions précises dans lesquelles leurs données à caractère personnel sont susceptibles d'être collectées à tout moment.
S'agissant de l'exercice indirect des droits d'accès, de rectification et d'effacement
L'article 13 du projet de décret prévoit que les droits d'accès, de rectification et d'effacement s'exerceront de manière indirecte auprès de la Commission, selon la procédure prévue à l'article 118 de la loi « Informatique et Libertés ».
La Commission considère que le SGDSN n'a pas justifié des raisons lui permettant de faire application de ces dispositions. Elle rappelle que l'exercice des droits des personnes, et notamment la possibilité de demander à accéder aux données les concernant, constitue une garantie importante en vue de prévenir des atteintes à leur vie privée. Elle estime donc que les droits d'accès, de rectification et d'effacement devraient, dans un souci de transparence, s'exercer directement auprès du service « Viginum » en application de l'article 119 de la loi « Informatique et Libertés ». L'exercice direct des droits des personnes concernées devrait s'appliquer à toutes les phases du traitement. Seules les données contenues dans les notes d'analyse, en raison de leur sensibilité, pourraient légitimement faire l'objet des droits d'accès, de rectification et d'effacement indirects auprès de la Commission.
Sur l'utilisation de traitements algorithmiques pour l'analyse des contenus
Le SGDSN prévoit l'utilisation de traitements algorithmiques pour analyser les contenus collectés, et notamment l'utilisation de techniques de reconnaissances d'image, afin notamment d'apprécier le caractère authentique ou non de l'activité de certains comptes.
La Commission souligne que de nombreuses failles ont été identifiées lors de l'utilisation de telles techniques, qui ont parfois eu des impacts discriminatoires sur les personnes. La Commission recommande ainsi que, s'ils sont utilisés, ces outils fassent l'objet d'une étude d'impact approfondie, notamment en ce qui concerne leurs biais discriminatoires possibles. Elle invite le SGDSN à réaliser une AIPD pour chaque nouvel algorithme utilisé dans le cadre du traitement envisagé et prend acte de l'engagement du Gouvernement en ce sens.
Sur la nécessité de fournir un bilan annuel
La Commission demande qu'un bilan annuel sur le traitement projeté soit réalisé dans un délai maximal d'un an à compter du déploiement du dispositif. Ce bilan devra être rendu public dans un objectif de transparence à l'égard des personnes concernées.
Ce rapport devrait être le plus précis possible sur les opérations de collecte effectivement menées. Il devrait contenir a minima :



- une synthèse des fiches de traçabilité qui ont servi comme base des collectes de données ;
- la liste exhaustive des sites/sources Internet sur lesquels les données ont été collectées ;
- une information générale sur les moyens utilisés pour obtenir les données ;
- des éléments chiffrés sur l'exercice des droits ;
- des éléments sur les mesures de sécurité mises en place afin d'assurer la confidentialité et l'intégrité des données collectées ;
- des éléments de conclusion généraux relatifs au fonctionnement du traitement, aux éventuelles difficultés rencontrées, aussi bien juridiques que techniques.

La présidente,


M.-L. Denis