N° de demande d’avis : 25013981	Thématiques : lutte contre les ingérences numériques étrangères ; moissonnage.
Organisme(s) à l’origine de la saisine : Secrétaire général de la défense et de la sécurité nationale (SGDSN)	Fondement de la saisine : Article 31-II de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés

L’essentiel :

La CNIL prend acte des justifications présentées par le SGDSN pour l’élargissement du périmètre des sources de données à caractère personnel collectées et l’allongement des durées de conservation de ces données, compte tenu des caractéristiques de la menace informationnelle, telle qu’elle est présentée par le service Viginum. Elle considère que le projet de décret comporte des garanties propres à assurer le respect du principe de minimisation des données lors de la collecte des données qui est rendue possible dès la phase de veille/détection.

Elle recommande au SGDSN de compléter le projet de décret afin de fixer les catégories de destinataires des notes d’analyse. Elle relève que la nouvelle mission de recherche et développement implique la réutilisation des données collectées par Viginum pour une nouvelle finalité, de conception, d’entraînement et de développement d’outils utilisant l’IA en appui aux missions du service. Elle recommande de préciser les personnes susceptibles d’avoir accès aux données pour cette finalité. Elle rappelle qu’une telle réutilisation devra respecter le principe de minimisation, qui doit conduire le service à ne traiter que les données strictement nécessaires au développement d’outils, d’algorithmes et de modèles.

Enfin, la CNIL adresse diverses recommandations au SGDSN pour garantir la conformité des traitements de données prévus, et souligne l’importance des analyses qui seront menées par Viginum avant toute diffusion des modèles produits dans le cadre de la nouvelle mission de recherche et développement. Elle souligne le rôle du CES dans le contrôle du traitement mis en œuvre par Viginum, et insiste sur l’importance qu’il dispose des moyens humains et techniques nécessaires à l’accomplissement de sa mission.

***

La Commission nationale de l’informatique et des libertés,

Saisie par le secrétaire général de la défense et de la sécurité nationale d’une demande d’avis concernant un projet de décret relatif aux missions et moyens du service de vigilance et de protection contre les ingérences numériques étrangères ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment le II de son article 31 et son titre IV ;

Après avoir entendu le rapport de M^me Isabelle Latournarie-Willems, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,

Adopte la délibération suivante :

I. La saisine

A. Le contexte

Le service de vigilance et de protection contre les ingérences numériques étrangères (Viginum) est un service à compétence nationale créé par le décret n° 2021-922 du 13 juillet 2021, rattaché au secrétaire général de la défense et de la sécurité nationale (SGDSN). La mission principale de Viginum est de détecter et de caractériser des ingérences numériques étrangères (INE) impliquant, de manière directe ou indirecte, un État étranger ou une entité non étatique étrangère, et visant à la diffusion artificielle ou automatisée, massive et délibérée d’allégations manifestement inexactes ou trompeuses de nature à porter atteinte aux intérêts fondamentaux de la Nation.

Le décret n° 2021-1587 du 7 décembre 2021, pris après avis de la CNIL (délibération n° 2021-116 du 7 octobre 2021), autorise Viginum à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la caractérisation d’opérations d’INE grâce à la collecte et l’exploitation des contenus publiquement accessibles sur Internet, publiés par les utilisateurs des opérateurs de plateformes en ligne.

Le SGDSN expose que la menace informationnelle a évolué et se caractérise désormais par une sophistication croissante des modes opératoires et par une diversification grandissante de ses vecteurs (notamment l’intelligence artificielle et les mécanismes algorithmiques des plateformes) et de ses cibles (publics vulnérables, institutions, médias, acteurs privés, organisations non gouvernementales, etc.). Dans ces conditions, il souhaite renforcer les missions et les moyens d’action de Viginum. Le bilan dressé après trois ans et demi d’activité du service le conduit à considérer que le cadre juridique actuel présente un certain nombre de limites opérationnelles dommageables à la bonne conduite de la mission du service face à la l’évolution de cette menace.

Les évolutions proposées dans le projet de décret s’inspirent notamment des recommandations du rapport annuel du comité éthique et scientifique (CES) de Viginum (juillet 2021 – décembre 2022), du rapport de la commission d’enquête du Sénat sur les politiques publiques face aux ingérences étrangères (rapport n° 739 (2023-2024), tome I, déposé le 23 juillet 2024) et du rapport des Etats généraux de l’information.

B. L’objet de la saisine

La CNIL a été saisie par le SGDSN d’une demande d’avis sur un projet de décret relatif aux missions et moyens de Viginum, qui prévoit de refondre les deux décrets initiaux dans un décret unique, et propose plusieurs évolutions.

L’article 2 du projet de décret, modifiant l’article 3 du décret du 13 juillet 2021, ajoute trois nouvelles missions à Viginum :

• une mission de documentation de la menace informationnelle (au 1°) ;
• une mission de sensibilisation du public à la lutte contre les manipulations de l’information et de contribution aux actions d’éducation aux médias (5° nouveau de l’article 3) ;
• une mission de contribution à la recherche et au développement d’outils, d’algorithmes et de modèles susceptibles d’être mobilisés dans l’exercice de la mission de Viginum de détection, caractérisation et documentation de la menace (1° bis).

Le projet prévoit de supprimer, d’une part, le seuil de cinq millions de visiteurs uniques par mois en deçà duquel la collecte sur les plateformes n’était pas autorisée et, d’autre part, l’interdiction d’automatiser la collecte des données lors de la phase de veille/détection ; il permet en outre une capitalisation de la connaissance en allongeant la durée de conservation et de renouvellement des collectes. Il autorise enfin le service à collecter et exploiter des données accessibles publiquement sur les moteurs de recherche et les interfaces en ligne.

II. L’avis de la CNIL

Par sa délibération du 7 octobre 2021 susmentionnée, la CNIL a admis que le traitement de données à caractère personnel nécessaire à l’activité de Viginum était justifié par l’objectif légitime de préserver la sincérité du débat démocratique et de lutter contre les atteintes aux intérêts fondamentaux de la Nation.

Le traitement qu’encadre le présent projet de décret implique le moissonnage de données publiquement accessibles en ligne et constitue, par nature, un traitement sensible compte tenu du nombre de personnes concernées, du volume des données susceptibles d’être traitées et des risques inhérents à l’utilisation de telles techniques pour les droits et libertés des personnes. De manière générale, la CNIL constate que les acteurs publics recourent de façon croissante aux outils permettant le moissonnage des données accessibles en ligne. Elle appelle le législateur à fixer un cadre général dans lequel les administrations pourraient, si nécessaire, recourir à de tels outils, afin de garantir un équilibre entre les missions des administrations et la protection des droits des individus.

Par ailleurs, bien que les dispositions du titre IV de la loi « informatique et libertés » ne le requièrent pas, le service a réalisé une analyse d’impact sur la protection des données (AIPD) en amont de la mise en œuvre du traitement. La CNIL invite le service à la mettre à jour afin de tenir compte des évolutions projetées du traitement.

A. Sur les nouvelles missions du service VIGINUM

A titre liminaire, la CNIL prend note de ce que ces nouvelles missions n’impliqueront pas de traiter des données à caractère personnel supplémentaires par rapport à celles collectées dans le cadre de la mission de détection et caractérisation des INE.

S’agissant de la mission de documentation des opérations d’INE

Viginum a développé une connaissance approfondie des acteurs de la menace informationnelle, de leurs modes opératoires ainsi que des différents vecteurs associés aux plateformes numériques et technologiques. Cette connaissance se matérialise par la rédaction de notes de synthèse (ou "notes d’analyse") au profit de ses partenaires ministériels, qui reflètent différentes étapes du travail d’investigation. Viginum souhaite documenter cette connaissance pour suivre l’évolution d’un mode opératoire, connaître les acteurs et leurs stratégies sur le temps long et cartographier un réseau d’acteurs et ses modes opératoires pour anticiper et détecter le plus tôt possible les manœuvres de dispositifs pré-positionnés.

Les notes d’analyse, qui sont transmises à de multiples partenaires (ministères, administrations, homologues étrangers dans le cadre de la coopération internationale, etc.), sont susceptibles de contenir des données à caractère personnel.

En premier lieu, le SGDSN précise que le délai de conservation prévu par le projet de décret ne s’applique qu’aux jeux de données et à leur exploitation par les analystes, mais que les données présentes dans les notes d’analyse sont conservées au-delà de ce délai.

Le SGDSN confirme qu’il appliquera des durées de conservation appropriées pour les données à caractère personnel présentes dans ces notes, conformément au 5° de l’article 4 de la loi « informatique et libertés ». La CNIL l’invite à déterminer ces durées le plus en amont possible et à les documenter, afin de s’assurer du respect du principe de conservation limitée pour chacune de ces notes.

En deuxième lieu, certaines notes, susceptibles de contenir des données à caractère personnel sont transmises à de multiples partenaires, alors qu’à la date à laquelle elles sont transmises, elles ne concernent pas des INE caractérisées.

La CNIL rappelle que les données contenues dans les notes d’analyse n’ont vocation à concerner que les comptes ayant un lien direct et établi avec la possible caractérisation d’une opération d’INE. Elle prend acte de l’engagement du SGDSN de réserver le partage de données identifiantes aux hypothèses où la caractérisation de l’origine étrangère de l’ingérence est établie avec une probabilité suffisante, comme l’a recommandé le CES dans son rapport.

En troisième lieu, le projet de décret ne mentionne pas les destinataires. La CNIL rappelle que le 4° de l’article 35 de la loi « informatique et libertés » prévoit que les actes autorisant la création d’un traitement en application des articles 31 et 32 précisent les destinataires ou catégories de destinataires habilités à recevoir communication des données. Elle recommande donc, sur cette base, de compléter le projet de décret afin de prévoir les catégories de destinataires, sans qu’il soit nécessaire d’énumérer de manière exhaustive l’ensemble des destinataires, dès lors que ceux-ci sont susceptibles d’évoluer avec la menace.

S’agissant de la mission de "contribuer à la recherche et au développement d’outils, d’algorithmes et de modèles"

L’ajout d’une nouvelle mission de "recherche et de développement d’outils, d’algorithmes et de modèles" aux attributions de Viginum doit permettre de développer des solutions d’analyse de données en appui des opérations de détection et de caractérisation d’une INE. Cette mission aboutit à créer une nouvelle finalité au traitement, visant à constituer et entraîner des outils d’intelligence artificielle susceptibles de permettre aux analystes du service de développer et d’automatiser certains processus d’analyse. Par ailleurs, le SGDSN indique qu’au titre de sa mission de sensibilisation, Viginum pourrait être amené à mettre à disposition du public du code ou des outils en open source visant à outiller la société civile pour la détection de contenus inauthentiques. Le SGDSN précise que pour développer ces outils, les analystes doivent disposer de jeux de données sur un temps long, afin d’élaborer des modèles, de les entraîner et de les optimiser.

La CNIL relève donc que cette nouvelle mission de recherche et développement implique la réutilisation des données collectées par Viginum dans le cadre de ses missions de détection et de caractérisation des INE pour une nouvelle finalité. Elle prend acte du fait que :

• le service n’utilisera que les données collectées dans le cadre de ses missions de détection et de caractérisation des INE, notamment les contenus publiquement accessibles diffusés ou relayés au moyen des comptes et les indicateurs d’audience associés ;
• l’utilisation des données dans le cadre du développement d’outils ne conduira pas à allonger les durées de conservation prévues au nouvel article 7 octies du projet de décret.

En premier lieu, s’agissant du régime juridique applicable, la finalité principale du traitement des données dans le cadre de la mission de recherche et développement est de concevoir et développer des outils utilisant l’IA en appui aux opérations de détection et caractérisation des INE. Dans la mesure où l’usage opérationnel de l’outil est identifié dès son développement et que les traitements mis en œuvre en phase de développement poursuivent la même finalité que ceux en phase de déploiement, il est possible de considérer qu’ils relèvent généralement du même régime juridique (Conseil d’État, 22 juillet 2022, n° 451653).

En deuxième lieu, le SGDSN précise que cette mission s’exerçant dans le cadre juridique déjà posé pour le traitement de détection et de caractérisation des INE, il ne lui est pas apparu nécessaire de prévoir un encadrement spécifique pour la réutilisation des données à caractère personnel dans le cadre de cette mission.

La CNIL considère au contraire que le projet de décret devrait être complété afin de prévoir, sur certains points, les garanties appropriées s’agissant de la réutilisation des données nécessaire aux phases d’apprentissage et ainsi améliorer la transparence du dispositif.

Ainsi, si l’article 3 du décret du 13 juillet 2021 est bien complété afin de mentionner la mission de recherche et développement du service, la CNIL recommande de préciser quelles sont les personnes susceptibles d’avoir accès aux données pour cette finalité. Elle prend acte de l’engagement du SGDSN en ce sens.

Elle rappelle, en tout état de cause, qu’une telle réutilisation devra respecter l’ensemble des obligations prévues par les dispositions applicables de la loi « informatique et libertés », et notamment le principe de minimisation qui doit conduire le service à ne traiter que les données strictement nécessaires au développement d’outils, d’algorithmes et de modèles. La CNIL a d’ailleurs publié, sur son site, de nombreuses recommandations sur le développement de systèmes d’intelligence artificielle : elle invite le service Viginum à en prendre connaissance pour assurer la conformité des traitements de données qu’implique une telle réutilisation.

En troisième lieu, dans la mesure où certains des modèles produits ont vocation à être mis à disposition du public, la CNIL insiste sur l’importance :

• de mener systématiquement une étude avant cette diffusion pour analyser la possibilité d’extraire des données à caractère personnel des modèles (en étudiant par exemple la mise en œuvre de techniques d’inversion ou d’inférences d’appartenance) ;
• d’analyser la possibilité de la présence de biais dans ces modèles, notamment dans la mesure où ils pourraient être mis en œuvre par des acteurs ne possédant ni l’encadrement légal ni l’expertise opérationnelle de Viginum.

B. Sur la suppression du seuil de collecte de cinq millions de visiteurs uniques par mois et l’élargissement de la collecte des données aux moteurs de recherche et aux interfaces en ligne

L’article 2 du projet de décret propose d’élargir le périmètre des sources des données collectées en incluant toute plateforme en ligne, quel que soit le nombre de visiteurs uniques par mois, les moteurs de recherche en ligne et les interfaces en ligne, au sens de l’article 3 du règlement européen 2022/2065 du 19 octobre 2022 (le règlement sur les services numériques).

Sur la suppression du seuil de collecte, le SGDSN expose que le calcul du nombre de visiteurs uniques par mois repose sur un système peu fiable (système déclaratif, absence de prise en compte de l’utilisation de réseaux privés virtuels, etc.). Il souligne également que la première période d’exercice du service a permis de constater, à de multiples reprises, que des plateformes dont l’activité est inférieure au seuil de cinq millions de visiteurs étaient régulièrement utilisées dans le cadre de manœuvres informationnelles. L’une des explications possibles de cette tendance tiendrait au fait que les politiques de modération sur ces plateformes sont plus souples qu’ailleurs.

La suppression du seuil de cinq millions de visiteurs uniques par mois est d’ailleurs préconisée par la commission d’enquête du Sénat pour ces mêmes raisons.

Sur l’élargissement de la collecte des données aux moteurs de recherche et aux interfaces en ligne, le SGDSN indique que, dans le cadre de ses investigations, le service Viginum peut être amené à évaluer les résultats fournis par les moteurs de recherche et collecter des données issues de registres de publicité mis à disposition par les plateformes en ligne et les moteurs de recherche, au titre de l’article 39 du DSA.

De plus, dans le cadre de ses investigations portant sur l’exploitation des outils d’IA générative par les acteurs de la menace, le service peut être amené à interroger des agents conversationnels (tels que chatGPT) pour évaluer la pénétration de narratifs étrangers dans les réponses de ces outils. Ce type de recherche pourrait permettre à Viginum d’évaluer dans quelle mesure les stratégies de création et de propagation de contenus inexacts ou trompeurs par des acteurs étrangers malveillants parviennent à être référencés sur les moteurs de recherche et les outils d’IA conversationnels.

La CNIL prend acte de ces justifications et relève que les informations sont régulièrement transmises au CES (nouvel article 7 terdecies) qui est ainsi mis en mesure d’exercer un contrôle a posteriori des sources de collecte.

C. Sur l’utilisation d’outils de collecte automatisés dans le cadre de la phase de de veille/détection

Le dispositif prévu par le décret n° 2021-1587 du 7 décembre 2021 distinguait la phase de veille et de détection de celle de caractérisation de l’INE. Cette phase, durant laquelle les agents observaient le débat public numérique dans son ensemble, conduisait à la rédaction de fiches dites de « traçabilité » contenant des critères techniques (mots-clés, éléments sémantiques comme des mots-dièse, etc.) et précédait donc le lancement de la collecte de données. Ces critères permettaient justement, après une validation humaine, d’orienter l’opération de collecte destinée à caractériser, ou non, l’INE. Cette distinction s’est traduite dans le deuxième alinéa de l’article 2 du décret n° 2021-1587 qui dispose qu’aucune collecte automatisée de données à caractère personnel n’est mise en œuvre à l’occasion des travaux de veille.

Or, le SGDSN considère que la collecte automatisée de données est indispensable au cours de la phase de veille qui s’opère, en réalité, en parallèle, voire se confond avec la phase de détection et de caractérisation. Le projet de décret (nouvel article 7 ter) supprime donc l’interdiction de collecte automatisée durant cette phase.

Sur les garanties que la collecte ne sera déclenchée qu’en cas de soupçon suffisamment étayé de "diffusion d’allégations manifestement inexactes ou trompeuses"

Le nouvel article 7 ter impose toujours que la sélection des données à collecter s’opère de manière proportionnée. Pour ce faire, le projet de décret impose toujours l’identification de critères techniques en amont de la collecte et prévoit explicitement qu’ils doivent être définis "pour les besoins de chaque opération de collecte". Le nouvel article 7 sexies maintient également l’obligation de supprimer, de manière automatisée après la collecte, les données qui ne correspondent pas aux catégories prévues par le texte et qui auraient pu, en raison des contraintes opérationnelles liées aux modalités techniques de collecte, être collectées. Par ailleurs, le projet conserve la garantie procédurale attachée aux collectes : toutes les collectes lancées ou renouvelées par le service sont renseignées dans les fiches de traçabilité transmises de manière hebdomadaire au CES (nouvel article 7 terdecies) qui contrôle a posteriori les collectes effectuées durant cette phase.

Par ailleurs, le SGDSN a précisé que la veille effectuée par les analystes du service se concentre principalement sur des comptes et acteurs d’intérêt déjà identifiés par le service pour avoir été impliqués dans de précédentes manœuvres informationnelles. Les collectes réalisées par le service portent donc majoritairement sur l’activité de ces acteurs.

Enfin, la CNIL rappelle qu’elle pourra contrôler ce traitement dans le cadre des pouvoirs de contrôle prévus à l’article 19 de la loi « informatique et libertés ».

La CNIL considère que l’ensemble des garanties mentionnées ci-dessus sont de nature à concourir au respect du principe de minimisation des données et, partant, au caractère proportionné du traitement.

Sur l’utilisation d’outils de collecte automatisés dans le cadre des travaux de veille et de détection

Le SGDSN indique que, dans la pratique, la phase de veille et de détection repose sur l’utilisation d’outils, internes ou externes, de détection et de collecte automatisés comme moyen de qualifier la manœuvre étudiée. L’utilisation de tels outils serait nécessaire car ils constitueraient le seul moyen de suivre rapidement certains réseaux d’acteurs malveillants particulièrement actifs, d’identifier rapidement les primo-diffuseurs, l’ampleur réelle d’une manœuvre, d’évaluer l’inauthenticité d’un compte ou encore de mesurer le risque d’impact d’une manœuvre.

La CNIL prend acte du souhait du SGDSN de pouvoir utiliser de tels outils afin de détecter et caractériser les opérations d’INE. Elle souligne toutefois l’importance que ces outils permettent d’assurer la protection des données à caractère personnel dès la collecte et par défaut. A titre d’exemple, l’outil doit permettre de filtrer la recherche selon des critères suffisamment précis et pertinents pour empêcher la collecte de catégories de données à caractère personnel qui ne correspondraient pas aux finalités du traitement. Les conditions d’utilisation de ces outils devraient faire l’objet d’une analyse de risque au sein de l’AIPD.

D. Sur l’allongement des durées de conservation des données à caractère personnel

Le nouvel article 7 octies porte de quatre mois à un an la durée maximale de conservation des données collectées à compter de la date de leur collecte.

Le SGDSN fait valoir que plusieurs dispositifs sophistiqués, mis en place par des acteurs de la menace, présentent un caractère persistant qui impose au service de documenter sur la durée les modes opératoires mis en œuvre et leur évolution, afin de pouvoir retracer l’ensemble des évolutions de ces dispositifs. En outre, d’autres dispositifs présentent un caractère intermittent, ce qui justifierait de conserver, pour mieux anticiper leur résurgence, certaines données qui les caractérisent. Enfin, le service souhaiterait pouvoir mettre en place un dispositif de vigilance en amont de grands événements au-delà de quatre mois afin d’assurer une posture de vigilance face à d’éventuels risques pouvant porter atteinte aux intérêts fondamentaux de la Nation.

La CNIL considère, au regard de ces éléments, que l’allongement des durées de conservation paraît justifié. Elle rappelle toutefois qu’afin de respecter le principe de minimisation, seules les données nécessaires à la capitalisation des connaissances doivent être conservées durant cette période, ce qui implique de ne pas nécessairement conserver l’intégralité des données collectées jusqu’au terme du délai prévu.

E. Sur l’allongement de la limite de renouvellement des collectes et la durée maximale de renouvellement

Le projet d’article 7 ter prévoit que les données sont collectées pendant une période maximale de quinze jours, au lieu des sept jours actuellement en vigueur, et que cette période peut être renouvelée dans la limite d’une durée qui ne peut excéder un an à compter du déclenchement de l’opération, au lieu de six mois actuellement.

Le SGDSN souligne que sous l’empire des dispositions actuellement en vigueur, la limite de renouvellement a été atteinte à plusieurs reprises dans le cadre d’opérations qui s’inscrivaient dans la durée. La nécessité d’interrompre ces collectes a pu gêner des investigations en cours et faire perdre de la connaissance sur les acteurs ou encore le caractère coordonné de leurs manœuvres.

La CNIL considère, au regard de ces éléments, que l’allongement de la limite de renouvellement des collectes et de la durée maximale de renouvellement peut être considéré comme justifié.

F. Sur la redéfinition des interactions entre le CES et le service Viginum

Le CES est informé non seulement du déclenchement de la collecte et de son renouvellement, mais aussi des informations relatives à ces collectes (nouvel article 7 terdecies). La CNIL souligne le rôle du CES dans le contrôle du traitement mis en œuvre par Viginum. Afin que ce contrôle soit effectif et adapté aux caractéristiques propres au traitement, elle insiste sur la nécessité que le CES dispose des moyens humains et techniques proportionnés à sa mission, et soit composé des profils les plus compétents.

Par ailleurs, l’article 4 du projet de décret modifie l’article 6 du décret n° 2021-922 du 13 juillet 2021 et prévoit les éléments suivants :

• Viginum doit transmettre régulièrement au CES les informations précédemment contenues dans le rapport public. Sur ce point, la CNIL prend acte de l’engagement du SGDSN de modifier la référence à la liste des plateformes en ligne sur lesquelles des données ont été collectées afin de mentionner les moteurs de recherche et interfaces désormais inclus ;
• Le service établit lui-même le rapport annuel dressant le bilan de son activité, sur lequel le CES émettra un avis motivé, et qui comprend notamment une évaluation générale de la mise en œuvre du traitement de données à caractère personnel. La CNIL prend acte de l’engagement du SGDSN de compléter l’article 4 du projet de décret afin de prévoir que le rapport annuel contiendra a minima les éléments qui figurent aux 1° à 4° de l’article 6 du décret n° 2021-922.

Les autres dispositions du projet de décret n’appellent pas d’observations de la part de la CNIL.

La présidente,

M.-L. Denis