- Texte visé : Projet de loi actualisant la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense, n° 2630
- Stade de lecture : 1ère lecture (1ère assemblée saisie)
- Examiné par : Commission des lois constitutionnelles, de la législation et de l'administration générale de la République
Supprimer l'alinéa 8.
Cet amendement du groupe Ecologiste et Social vise à supprimer l’alinéa 8, qui autorise d'inclure, dans les traitements automatisés de surveillance, des adresses complètes de ressources utilisées sur internet (URL) « présentant des caractéristiques techniques de nature à révéler des ingérences ou menaces ».
Une telle rédaction apparaît particulièrement large. Elle s’inscrit dans la continuité d’un dispositif déjà censuré par le Conseil constitutionnel dans la décision du 12 juin 2025, au motif qu’il permettait de traiter de manière générale et indifférenciée l’ensemble des données transitant par les réseaux des opérateurs de communications électroniques.
La notion d’URL présentant des « caractéristiques techniques de nature à révéler des ingérences ou menaces » fait en effet peser un risque analogue de surveillance généralisée. Dans son étude d’impact, le Gouvernement précise que cette catégorie vise des URL dont les caractéristiques seraient propres à des modes opératoires utilisés dans le cadre de cyberattaques. Concrètement, cela pourrait recouvrir des requêtes consistant à accéder à des interfaces d’administration ou de connexion, à manipuler des paramètres dans une URL ou encore à solliciter des ressources techniques sensibles. Toutefois, le texte ne définit pas précisément les caractéristiques en cause.
Par ailleurs, ce n’est pas tant l’utilisation isolée d’une URL présentant certaines caractéristiques techniques qui permet de caractériser une activité malveillante, mais leur utilisation répétée ou automatisée dans un contexte particulier. En l’absence de prise en compte de ces éléments de contexte, le dispositif repose sur des indices techniques insuffisamment discriminants.
Ainsi, le seul fait qu’une URL présente des similitudes avec des formats utilisés dans le cadre de cyberattaques ne permet pas d’en déduire qu’elle est effectivement utilisée à de telles fins, pas plus que toutes les personnes disposant de gants et d’un tournevis ne sauraient être présumées cambrioleurs.
Enfin, la rédaction retenue soulève des interrogations quant à son champ réel. Elle pourrait notamment englober des URL composées de suites aléatoires de chiffres et de lettres, qui peuvent certes être utilisées pour dissimuler certaines activités, mais qui constituent également un standard technique courant pour sécuriser les accès (liens de réinitialisation de mot de passe, accès privés, etc.).
Dans ces conditions, l’alinéa 8 apparaît insuffisamment précis et susceptible de conduire à une collecte excessive de données. Il convient donc de le supprimer.