Décret n° 2021-1587 du 7 décembre 2021 portant autorisation d’un traitement automatisé de données à caractère personnel dans le but d’identifier les ingérences numériques étrangères.

Ce décret vient compléter le décret n° 2021-922 du 13 juillet 2021 portant création, auprès du secrétaire général de la défense et de la sécurité nationale, d’un service à compétence nationale[1] dénommé « service de vigilance et de protection contre les ingérences numériques étrangères ».

Les opérations de manipulation de l’information se multiplient et constituent pour les démocraties un risque de déstabilisation majeur. Le référendum sur le Brexit, le 23 juin 2016, l’élection, la même année, du Président des États-Unis et le « Macronleaks », en 2017, ont mis en évidence le pouvoir de nuisance de la manipulation de l’information, orchestrée depuis l’étranger et pouvant porter atteinte à la sincérité du scrutin.

La loi n° 2018-1202 du 22 décembre 2018, relative à la lutte contre la manipulation de l’information, est une première réponse. Annoncée par le Président Macron lors de ses vœux à la presse, le 3 janvier 2018, le texte ne s’applique que pendant les trois mois précédant le premier jour du mois d’élections générales et jusqu’à la date du tour de scrutin où celles-ci sont acquises. L’application de la loi est donc restreinte dans le temps et dans son champ.

La diffusion de fausses informations est hélas ! une réalité quotidienne, en raison de la viralité des réseaux sociaux. Le 8 mars 2018, dans la revue Science, trois chercheurs du Massachussetts Institute of Technology (MIT) ont montré que les fausses informations se propagent plus rapidement sur les réseaux sociaux que les vraies. Selon eux « il faut six fois plus de temps à une information vraie pour atteindre 1 500 personnes qu’à une information fausse, et une information fausse a 70 % de chance de plus d’être reprise qu’une information vraie ».

VIGINUM, service à compétence nationale

Le décret du 13 juillet 2021 modifie les attributions du Secrétaire général de la défense et de la sécurité nationale (SGDSN) en lui confiant l’identification des opérations d’ingérence numérique étrangères de nature à porter atteinte aux intérêts fondamentaux de la Nation[2], l’analyse de leurs effets ainsi que l’animation et la coordination à l’échelon interministériel de la protection de l’État face à de telles opérations. La nouvelle rédaction de l’article R*1132-3 du code de la défense identifie les opérations qui impliquent, de manière directe ou indirecte, un État étranger ou une entité non étatique étrangère, et visent à la diffusion artificielle ou automatisée, massive et délibérée, par le biais d’un service de communication au public en ligne, d’allégations ou d’imputations de faits manifestement inexactes ou trompeuses de nature à porter atteinte aux intérêts fondamentaux de la Nation.

Pour l’exercice de ces attributions, le décret crée auprès du SGDSN un service à compétence nationale dénommé « service de vigilance et de protection contre les ingérences numériques étrangères ». Ce service a pour acronyme VIGINUM. Il doit détecter et caractériser les opérations mentionnées à l’article R*1132-3 du code de la défense en analysant les contenus accessibles publiquement sur les plateformes en ligne des opérateurs mentionnés au I de l’article L. 111-7 du code de la consommation[3] (principalement les moteurs de recherche et les réseaux sociaux), notamment, en liaison avec l’Autorité de régulation de la communication audiovisuelle et numérique (ARCOM), lorsque celles-ci sont de nature à altérer l’information des citoyens pendant les périodes électorales.

Un comité éthique et scientifique est chargé de suivre l’activité de ce service et peut adresser au chef du service toute recommandation sur les conditions d’exercice des missions du service.

Un traitement automatisé de données pour identifier les ingérences étrangères

Le décret n° 2021-1587 du 7 décembre 2021 autorise VIGINUM à mettre en œuvre un traitement automatisé de données à caractère personnel dans le but d’identifier les ingérences numériques étrangères.

« Ce traitement a pour finalités la détection et la caractérisation des opérations impliquant, de manière directe ou indirecte, un État étranger ou une entité non étatique étrangère, et visant à la diffusion artificielle ou automatisée, massive et délibérée, par le biais d’un service de communication au public en ligne, d’allégations ou imputations de faits manifestement inexactes ou trompeuses de nature à porter atteinte aux intérêts fondamentaux de la Nation, notamment lorsque ces opérations sont de nature à altérer l’information des citoyens pendant les périodes électorales ». Le traitement répond au besoin de caractériser une stratégie « hostile » entendue comme :

– une activité inauthentique (constituée par exemple de comportements techniques anormaux) ;

– dévoilant une intention malveillante à l’encontre des intérêts fondamentaux de la Nation avec pour objectif central la déstabilisation ;

– rattachable à une origine étrangère supposée, étatique ou non étatique.

La finalité de détection et de caractérisation d’une opération d’ingérence numérique étrangère est déterminée, explicite et légitime, comme l’exige le 2° de l’article 4 de la loi du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés.

La collecte et l’exploitation des contenus ne concernent que ceux accessibles sur des plateformes, ce qui exclut les contenus dont l’accès est restreint (groupe fermé sur un réseau social ou service de messageries en ligne). Un seuil d’activité sur le territoire français est fixé : cinq millions de visiteurs uniques par mois, y compris lorsque l’accès à ces plateformes requiert une inscription à un compte.

De la veille à la caractérisation des contenus

L’action de VIGINUM commence par une phase de veille et de détection qui doit permettre de suivre les informations pertinentes sur des thématiques d’actualité afin d’identifier les acteurs ou les événements entrant dans ses attributions. Cette veille précède la collecte qui est réalisée sur la base de fiches de « traçabilité ». Celles-ci déterminent les éléments techniques (mots-clés, éléments sémantiques comme des mots-dièse, des éléments chiffrés, des rapprochements entre des profils ou groupe de profils d’intérêts, etc.). Une validation humaine permet d’orienter l’opération de collecte sur l’ensemble des plateformes identifiées comme pertinentes, par l’extraction des contenus nécessaires à la caractérisation d’allégations ou d’imputations de faits manifestement inexactes ou trompeuses. Des notes d’analyse ont pour objet de restituer les résultats des analyses menées par VIGINUM et de proposer des perspectives d’actions à mettre en œuvre dans le cadre des opérations de veille.

Pour la collecte des contenus, VIGINUM est autorisé à créer des comptes sur les plateformes ainsi que des comptes destinés à être utilisés par l’intermédiaire d’interfaces de programmation mises à disposition par les opérateurs de ces plateformes. Les agents de ce service ne sont pas autorisés à utiliser ces comptes pour entrer en relation avec d’autres détenteurs de compte, ni à diffuser des contenus, ni à exercer une activité autre que celle prévue au premier alinéa du présent article. Des tables informatiques précisent les catégories de données nécessaires à la réalisation des finalités et devant être conservées :

1° Les données d’identification déclarées par les titulaires de comptes ouverts sur les plateformes en ligne mentionnées à l’article 1er, lorsqu’ils diffusent ou relaient des contenus publiquement accessibles ou y réagissent, telles qu’elles apparaissent sur ces comptes ;

2° Les données permettant de caractériser l’activité et l’audience de ces comptes, notamment les indicateurs quantitatifs relatifs au nombre d’abonnés et au nombre de publications ;

3° Les contenus publiquement accessibles, diffusés ou relayés au moyen de ces comptes et les indicateurs d’audience associés.

Le président du comité éthique et scientifique est immédiatement informé du déclenchement de la collecte et, le cas échéant, de son renouvellement.

La protection des données à caractère personnel

S’agissant des garanties apportées en matière de données à caractère personnel, aucune collecte automatisée de données à caractère personnel n’est mise en œuvre à l’occasion des travaux de veille. Dans la phase d’exploitation, il est interdit de sélectionner dans le traitement une catégorie particulière de personnes à partir des seules données sensibles, celles qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ou de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. Est exclu tout recours à un système de reconnaissance faciale ou d’identification vocale.

La transparence de l’activité de VIGINUM

L’activité de VIGINUM sera rendue publique par un rapport annuel établi par le comité éthique.

Ce rapport annuel comprendra notamment :
1° Une synthèse des collectes effectuées, des conditions de leur déclenchement et des moyens mis en œuvre à cet effet ;
2° La liste des plateformes en ligne sur lesquelles des données ont été collectées ;
3° Des éléments chiffrés relatifs à l’exercice des droits d’accès, de rectification et d’effacement ;
4° Une information quant aux mesures de sécurité mises en place afin d’assurer la confidentialité et l’intégrité des données collectées, s’agissant notamment des conditions de sous-traitance des opérations de collecte, d’exploitation et d’hébergement ;
5° Une évaluation générale de la mise en œuvre du traitement de données à caractère personnel créé par le décret n° 2021-1587 du 7 décembre 2021 portant autorisation d’un traitement automatisé de données à caractère personnel dans le but d’identifier les ingérences numériques étrangères.

[1] Les services à compétence nationale ont été définis par le décret du 9 mai 1997. Ce sont des services dont les attributions ont une portée nationale, par opposition aux services déconcentrés de l’État qui ont une compétence territoriale.

[2] On notera que ces intérêts fondamentaux ne sont pas définis par référence à un texte législatif. La liste énoncée par l’article 410-1 du code pénal diffère de celle figurant à l’article L811-3 du code de la sécurité intérieure relatif aux services de renseignement.

[3] Il s’agit des services de communication au public en ligne reposant sur le classement ou le référencement, au moyen d’algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers et sur la mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.