Délibération 2026-010 du 5 février 2026

L’essentiel :

L’article 17 du projet de loi modifie l’article L. 851-3 du code de la sécurité intérieure (CSI) encadrant la technique dite "de l’algorithme", mise en œuvre pour le compte des services spécialisés de renseignement et permettant le criblage des données de connexion transitant sur le territoire national.

• D’une part, le projet ajoute une nouvelle finalité liée à la lutte contre le narcotrafic et la criminalité organisée. Sans remettre en cause la légitimité d’une telle évolution, la CNIL souligne que cette technique porte une atteinte significative à la vie privée ; il serait dès lors préférable que l’extension de son périmètre soit, dans un premier temps, prévue à titre expérimental.
• D’autre part, le projet redéfinit les conditions dans lesquelles les adresses complètes des ressources utilisées sur internet peuvent être collectées. Le projet n’explicite pas les conditions dans lesquelles ces données, lorsqu’elles sont chiffrées, pourraient le cas échéant être rendues exploitables. La CNIL estime que la possibilité d'accéder au contenu chiffré, dans l’hypothèse où elle serait effectivement mise en œuvre, serait susceptible de porter une atteinte grave aux libertés individuelles.

L’article 21 du projet de loi modifie par ailleurs les dispositions du code du service national, d’une part pour ajouter les "compétences attestées" aux données collectées lors de la déclaration de recensement et, d’autre part, pour prévoir que les participants à la "journée de mobilisation" nouvellement créée rempliront un questionnaire. Il est prévu qu’un décret précise les modalités d’application de cet article. La CNIL souligne que ce décret pourrait utilement préciser les caractéristiques des traitements mis en œuvre.

___________________

La Commission nationale de l'informatique et des libertés,

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ("loi informatique et libertés"), notamment son article 8 ;

Après avoir entendu le rapport de Mme Isabelle Latournarie-Willems, commissaire, et après avoir entendu les observations de M. Damien Milic, commissaire du Gouvernement,

Adopte la délibération suivante :

1. La saisine

La CNIL a été saisie en urgence, par le ministère des armées, d’une demande d’avis sur deux articles d’un projet de loi actualisant la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense.

D’une part, l’article 17 du projet modifie l’article L. 851-3 du code de la sécurité intérieure (CSI) relatif à la technique de renseignement dite "de l’algorithme".

D’autre part, l’article 21 modifie, en particulier, les dispositions relatives au recensement et à la journée de mobilisation au sein du code du service national.

A. Les dispositions relatives à la technique dite "de l’algorithme"

L’article L. 851-3 du code de la sécurité intérieure (CSI), dans sa rédaction issue la loi n° 2015-912 du 24 juillet 2015 relative au renseignement, autorisait les services spécialisés de renseignement, à titre expérimental et pour la seule finalité de prévention du terrorisme (4° de l’art. L. 811-3 du CSI), à recourir à un système de surveillance algorithmique permettant d’analyser automatiquement les données de connexion transitant par les opérateurs de communications électroniques et les fournisseurs de services internet. Cette technique, pérennisée par la loi n° 2021-998 du 30 juillet 2021 relative à la prévention d’actes de terrorisme et au renseignement, a également été autorisée pour la mise en œuvre d’un tel traitement sur les adresses complètes de ressources utilisées sur internet, dites "URL" (pour "uniform resource locator"). La CNIL s’est déjà prononcée sur les dispositions encadrant la mise en œuvre de cette technique (v. not. CNIL, SP, 5 mars 2015, avis sur un projet de loi relatif au renseignement, n° 2015-078, publié ; CNIL, SP, 8 avril 2021, avis sur un projet de loi relatif à la prévention d’actes de terrorisme et au renseignement, n° 2021-050, publié).

Initialement prévue pour détecter des menaces terroristes, la technique a été étendue, à titre expérimental jusqu’au 1^er juillet 2028, à la détection des ingérences étrangères et des menaces pour la défense nationale (loi n° 2024-850 du 25 juillet 2024 visant à prévenir les ingérences étrangères en France). Le Parlement a ensuite envisagé de l’étendre à la lutte contre la criminalité et la délinquance organisées dans la loi n° 2025-532 du 13 juin 2025 visant à sortir la France du piège du narcotrafic.

Par une décision n° 2025-885 DC du 12 juillet 2025, le Conseil constitutionnel a censuré l’extension du recours à des traitements automatisés pour la lutte contre la criminalité et la délinquance organisées, ainsi que l’intégration des URL à ces traitements pour l’ensemble des finalités, pour un motif tiré de l’encadrement insuffisant de ces techniques.

Le projet d’article 17 du projet de loi modifie l’article L. 851-3 du CSI en vue :

- d’étendre la possibilité de recourir aux dispositifs algorithmiques pour des menaces relatives à la criminalité et à la délinquance organisées ;

- d’encadrer le recours aux adresses complètes de ressources utilisées sur internet, dites "URL", afin de le rendre conforme aux exigences dégagées par la décision du Conseil constitutionnel.

Enfin, le projet de loi revoit l’architecture de l’article L. 851-3 afin de rendre la disposition plus intelligible et d’y ajouter certaines garanties.

B. Les dispositions relatives au recensement et à la journée de mobilisation au sein du code du service national

Le ministère fait état du besoin des forces armées de connaître les profils et compétences au sein de la société civile, dans le but de préparer la mise en œuvre éventuelle des lois permettant, en cas de crise ou de menace, de renforcer les moyens à disposition des armées par des ressources complémentaires issues de la population civile.

Lors de son allocution du 27 novembre 2025 à Varces, le Président de la République a annoncé la transformation de la journée de défense et citoyenneté en une journée de mobilisation (JDM) recentrée sur les fondamentaux de la défense. Cette journée sera l’occasion pour les jeunes Français d’indiquer, le cas échéant, s’ils sont volontaires pour un engagement au sein du "nouveau service national", dont le périmètre est défini dans le projet de loi.

Le projet d’article 21 soumis pour avis à la CNIL modifie plusieurs dispositions du code du service national et du code de la défense. Les principales modifications portent sur les modalités du recensement et sur l’instauration d’une journée de mobilisation, au cours de laquelle un questionnaire sera soumis aux participants.

2. L’avis de la CNIL

S’agissant de la modification de l’article L. 851-3 du CSI

A. Sur l’économie générale du dispositif

Au regard des évolutions projetées, la technique dite "de l’algorithme" permettra, pour de nouvelles finalités, le criblage algorithmique des données de téléphonie et des données issues des connexions sur internet. Les données traitées, qui concernent l’ensemble des appels et connexions réalisés sur le territoire national, correspondent :

- aux données de connexion et, plus précisément, aux données d’identification des abonnements, aux données recensant les lignes et abonnements d’une personne, aux données de localisation des équipements terminaux et aux données concernant le trafic des communications (numéros appelés et appelants, dates et durées) ;

- aux "adresses complètes de ressources sur internet" (désignées par ailleurs comme URL).

D’un point de vue procédural, la mise en œuvre de la technique se décompose en trois phases, que le projet de loi entoure de garanties supplémentaires :

La première phase consiste, sur demande des services spécialisés de renseignement dits du "premier cercle", à déterminer les paramètres de conception des traitements. Ces derniers sont précisés par une autorisation du Premier ministre, après avis préalable de la Commission nationale de contrôle des techniques de renseignement (CNCTR). Le projet intègre une nouvelle disposition prévoyant que, lorsque le traitement intègrera l’exploitation des URL, la première autorisation (qui peut être renouvelée, le cas échéant), est soumise pour avis à la formation plénière de la CNCTR. Dans l’hypothèse où l’avis de cette dernière est réputé rendu, faute d’avoir été transmis dans un délai de sept jours, le Conseil d’Etat est saisi pour avis ; l’autorisation ne peut être délivrée avant que celui-ci ait statué. Le traitement des URL est également davantage encadré (v. infra, C).

La deuxième phase consiste en la mise en œuvre de ces traitements par le groupement interministériel de contrôle (GIC), service rattaché au Premier ministre. Le projet de loi précise qu’aucun service spécialisé de renseignement ne pourra y accéder à ce stade de la procédure, ce qui constitue une nouvelle garantie prévue par le projet.

La troisième phase permet l’identification des personnes concernées lorsque les traitements mis en œuvre détectent des données susceptibles de révéler l’existence d’une ingérence ou d’une menace. Le cas échéant, cette phase est autorisée par le Premier ministre, après avis de la CNCTR. Les résultats sont alors transmis aux services spécialisés de renseignement concernés. Les autres données sont immédiatement détruites.

A titre liminaire, la CNIL rappelle que l’utilisation d’une telle technique porte une atteinte particulièrement forte à la vie privée des individus et au droit à la protection des données à caractère personnel, puisque, loin de procéder de façon ciblée, elle consiste à analyser l’ensemble des données de connexion transitant par les opérateurs de communications électroniques et les fournisseurs de services internet. La mise en œuvre d’une surveillance de l’intégralité des données de connexion est susceptible, à elle seule, d’entraîner des effets dissuasifs sur l’exercice de la liberté d’information et d’expression. En outre, les modalités particulières de mise en œuvre de la technique, reposant sur la duplication de l’ensemble des données au bénéfice d’un service du Premier ministre, accentuent l’atteinte portée au respect de la vie privée des personnes et à la protection de leurs données personnelles (v. à ce propos CNIL, SP, 8 avril 2021, précité).

En outre, la CNIL observe que le projet de loi encadre les modalités de collecte d’une technique de renseignement. Les données doivent ensuite être traitées, au sein de différents fichiers mis en œuvre par les services concernés, dans le respect du droit à la protection des données à caractère personnel et notamment du titre IV de la loi "informatique et libertés". Cependant, la CNIL rappelle que la plupart d’entre eux (énumérés au sein du décret n° 2007-914 du 15 mai 2007) bénéficient d’un régime dérogatoire, lequel permet de les exclure du champ de contrôle a posteriori de la Commission, conformément au IV de l’article 19 de la loi du 6 janvier 1978 modifiée.

Au regard de l’économie générale du dispositif, la CNIL rappelle, ainsi qu’elle l’a fait par le passé, qu’elle demande à pouvoir exercer ses pouvoirs de contrôle sur ces traitements. Si elle relève que tant la CNCTR que le GIC disposent de prérogatives visant notamment à assurer la légalité des pratiques mises en œuvre, la CNIL estime que son contrôle, qui porterait sur les conditions de mise en œuvre globales desdits fichiers et devrait être assorti de garanties adaptées à leur nature particulière, devrait compléter ceux déjà réalisés par ces deux entités et constituerait une garantie supplémentaire (v. CNIL, SP, 8 avril 2021, précité).

B. Sur l’extension des finalités de la technique

L’article L. 851-3 du CSI actuellement en vigueur autorise la mise en œuvre de la technique dite "de l’algorithme" pour les seules finalités prévues aux 4° de l'article L. 811-3 du CSI, ainsi qu’à titre expérimental jusqu’au 30 juin 2028, aux 1° et 2° du même article. Sont ainsi autorisés les traitements automatisés destinés à détecter des connexions susceptibles de révéler des menaces terroristes, des menaces pour la défense nationale ou des ingérences étrangères.

Le projet de loi prévoit de réécrire l’article L. 851-3 du CSI dans un souci d’intelligibilité et y ajoute une nouvelle finalité, relative à la prévention de la criminalité et de la délinquance organisées (6° de l’article L. 811-3 du CSI) : il s’agira de détecter des connexions susceptibles de révéler "des menaces relatives à la criminalité organisée et à la délinquance organisée portant sur des délits punis de dix ans d’emprisonnement en tant qu’elles concernent le trafic de stupéfiants, le trafic d’armes et de produits explosifs, l’importation et l’exportation de ces marchandises prohibées commises en bande organisée ainsi que le blanchiment des produits qui en sont issus".

Le ministère justifie l’ajout de cette finalité par l’intensification des menaces liées au narcotrafic et à la criminalité organisée, qui sont responsables d’une part importante des violences urbaines et des homicides, et dont les flux financiers illicites déstabilisent l’économie légale.

Sans remettre en cause la légitimité d’une telle évolution, la CNIL estime que l’extension de la technique à une nouvelle finalité devrait être prévue à titre expérimental. Cela permettrait :

- d’apprécier la proportionnalité d’un dispositif dont le périmètre aura été élargi alors qu’il était initialement limité à la prévention du terrorisme ;

- d’aligner le dispositif projeté sur le régime prévu pour l’extension de la technique à la détection d’ingérences étrangères et de menaces pour la défense nationale, mise en œuvre à titre expérimental pour une durée de trois ans.

C. Sur la collecte des adresses complètes de ressources sur internet

Le projet de loi réintroduit la possibilité de cribler, outre les données de connexion, les "adresses complètes de ressources sur internet" (ou URL). Ces dernières, nécessaires à l’acheminement des communications, sont susceptibles de faire apparaître des informations relatives au contenu des éléments consultés ou des correspondances échangées.

A titre liminaire, la CNIL observe que la notion d’URL, en tant que cette donnée est susceptible d’être collectée à partir des requêtes d’usagers d’internet, n’est pas équivalente à celle "d’adresses complètes de ressources sur internet", dès lors que ces requêtes contiennent également des séries de paramètres en supplément de l’adresse des ressources. Elle prend acte des précisions apportées par le ministère, selon lesquelles ces paramètres sont inclus dans les données collectées dès lors qu’ils font partie de l’URL.

Concernant par ailleurs le ciblage des collectes des URL, celui-ci repose sur la définition des paramètres de conception de l’algorithme, qui feront l’objet d’une autorisation par le Premier ministre et d’un avis de la CNCTR. Or, la nature même de cette méthode reposant sur un calibrage a priori ne permet pas raisonnablement d’écarter le risque de conduire à la collecte incidente d’une certaine quantité de données qui ne rempliront pas les critères définis au III. C’est pourquoi la CNIL considère comme essentiel à l’effectivité des garanties prévues par le dispositif que la CNCTR dispose des moyens suffisants pour exercer l’ensemble des contrôles nécessaires, y compris en aval des collectes, à travers les facultés que lui ouvre le V de l’article.

S’agissant des modifications apportées aux dispositions du code du service national relatives au recensement et à la journée de mobilisation

Le projet d’article 21 introduit deux modifications : l’une porte sur la procédure de recensement ; l’autre instaure une journée destinée à sensibiliser les jeunes Français aux fondamentaux de la défense qui remplace la "journée défense et citoyenneté" par une "journée de mobilisation" (JDM).

Il prévoit que ses dispositions seront précisées par un décret en Conseil d’Etat, dont la CNIL sera saisie.

A. Sur les informations déclarées dans le cadre du recensement

Le recensement est une démarche obligatoire qui permet notamment de préparer la convocation à la journée de mobilisation des jeunes Françaises et Français, ainsi que de faciliter l’inscription d’office sur les listes électorales. Il concerne tous les Français compris dans la tranche d’âge de seize à vingt-cinq ans. Les modifications projetées concernant la déclaration de recensement s’appliqueront donc à toute personne de moins de vingt-cinq ans au moment de l’entrée en vigueur de cette disposition.

Le projet de loi prévoit que la procédure de recensement permet la collecte de deux nouvelles catégories de données : les informations de contact et les compétences attestées. Ces dernières doivent permettre d’identifier les profils les plus adaptés, dans l’hypothèse d’un besoin national spécifique.

La CNIL observe que l’ajout, dans la déclaration de recensement, des données de contact et des compétences attestées concourt à fiabiliser les données de recensement destinées à permettre d’identifier les profils pertinents susceptibles d’être sollicités en cas de crise ou de menace nécessitant l’appui de la population civile.

La CNIL s’interroge néanmoins sur le périmètre de la notion de "compétences attestées". Cette notion, et les caractéristiques du traitement mis en œuvre dans ce cadre, pourraient utilement être précisées par le décret en Conseil d’Etat, pris après avis de la CNIL, prévu par le projet de loi.

Le projet dispose par ailleurs que les informations et compétences devront être mises à jour annuellement par l’intéressé, de son recensement à l’âge de cinquante ans. Le projet de loi prévoit que la déclaration de recensement puisse se faire par voie dématérialisée.

B. Sur les données collectées lors de la journée de mobilisation

Le projet de loi crée un nouvel article L. 113-2-1 dans le code du service national, disposant que dans le cadre de la journée de mobilisation, les Français renseignent un questionnaire destiné à apprécier leurs éventuelles disponibilité, motivation et aptitudes pour servir au sein des forces armées et formations rattachées. Plusieurs modalités peuvent être proposées aux volontaires, telles que le nouveau service national volontaire, la réserve opérationnelle, les volontariats, ou encore l’engagement en tant que militaire d’active.

Ce questionnaire, qui implique un traitement de données à caractère personnel, vise à permettre une meilleure connaissance, par les forces armées, des éventuels candidats et le renforcement du vivier de recrutement selon les différentes modalités précitées. Plus précisément, les données collectées dans ce cadre conduiront à apprécier la disponibilité, la motivation et les aptitudes des volontaires pour servir au sein des forces armées.

La CNIL estime que ces objectifs sont légitimes.

S’agissant des données susceptibles d’être traitées, le projet de loi exclut la collecte de données sensibles au sens de l’article 6 de la loi "informatique et libertés". Par dérogation, sous réserve du consentement des intéressés, des données relatives à l’engagement associatif et à la santé pourront être collectées. La CNIL rappelle que l’information des personnes sur la collecte de cette catégorie de données devra être claire et effective.

Enfin, la CNIL souligne que les caractéristiques du traitement mis en œuvre dans ce cadre pourraient utilement être précisées par le décret en Conseil d’Etat, pris après avis de la CNIL, prévu par le projet de loi.

La présidente,

M.-L. Denis