Paris le 30 avril 2015

!
!
!"#$%&'()*+,&,"-(%)'%./&012%)*2)3456%')
!"#$%&#'"$()&*#(+#'",-"&.,"/",)!
Dans le contexte de numrisation globale de lensemble des activits humaines et des informations
qui leurs sont associes, la dtection dactivits terroristes, dont lextrme gravit est avre, motive
tout particulirement ce projet de loi relatif au renseignement.
Lanalyse qui suit a pour objectif de donner un point de vue technique sur les approches numriques
proposes dans ce projet de loi, en se basant sur les comptences en sciences et technologies du
1
numrique dInria . Cette analyse est complmentaire de celles, de grande qualit, qui ont t
conduites par la CNIL, le Conseil National du Numrique et la Commission de rflexion et de
proposition sur le droit et les liberts lge numrique de lAssemble nationale.
Lanalyse que nous menons nous amne attirer lattention du lgislateur sur les principaux
lments suivants :
Lanonymisation est un problme de recherche largement ouvert et il nexiste pas
aujourdhui de technique danonymisation sre. Un texte de loi ne devrait donc pas se
fonder sur la notion de donne anonyme ou anonymise mais plutt utiliser les notions de
donnes pseudo-anonymes ou encore de donnes personnelles ;
Les mthodes proposes dobservation des connexions numriques ou des contenus
sont facilement contournables mme sans connaissance technique informatique
labore ;
Le paradoxe statistique des faux-positifs doit tre parfaitement compris lors du
traitement automatique dinformation. Ce paradoxe conduit devoir effectuer le plus
souvent des traitements intrusifs de masse, formellement inoprants en pratique et pouvant
conduire des erreurs de classification avec des consquences potentielles srieuses ;
Laccessibilit des donnes et mta-donnes ncessaires au croisement
dinformations issues de bases de donnes est fortement limite, car elles sont le plus
souvent localises dans des centres de traitements trs majoritairement situs hors
du territoire franais.
1

Inria, institut de recherche ddi au numrique, promeut l'excellence scientifique au service du

transfert technologique et de la socit . Inria emploie 2700 collaborateurs issus des meilleures
universits mondiales, qui relvent les dfis des sciences informatiques et mathmatiques. Son
modle ouvert et agile lui permet dexplorer des voies originales avec ses partenaires industriels et
acadmiques. Inria rpond ainsi efficacement aux enjeux pluridisciplinaires et applicatifs de la
transition numrique. Inria est l'origine de nombreuses innovations cratrices de valeur et
d'emplois.

Nous dveloppons ces points dans la suite de ce document.

!"#$%$&'()#*(%$+
Lanonymisation consiste modifier un ensemble de donnes de manire ce quon ne puisse pas
identifier un ou plusieurs critres particuliers qui leur sont initialement attachs tels que lidentit de
personnes, la localisation de faits, lentit ayant recueilli les informations, etc.
Lanonymisation est aujourdhui le sujet de nombreux travaux de recherche visant soit augmenter
son efficacit, soit au contraire valuer sa rsistance la ds-anonymisation. Les techniques
danonymisation sont varies et pour certaines particulirement sophistiques, consistant par
exemple bruiter les donnes de manire approprie. Mais aucune de ces techniques ne rsiste
actuellement de manire robuste au croisement des sources dinformation. Par exemple, le
croisement dun fichier concernant, dans un hpital, un ensemble de patients dont on a supprim les
informations nominatives (et donc a priori anonyme ) avec les informations temporelles ou de
localisation de personnes accdant lhpital permet trs largement de des-anonymiser ce fichier
patient.
Par consquent un texte de loi ne devrait pas se fonder sur la notion de donne anonyme ou
anonymise, mais parler plutt de donnes pseudo-anonymes ou encore de donnes personnelles.

!",--,.*(/(*0+
Les mesures proposes par le projet de loi consistent en particulier rendre possible la collecte de
donnes dans les entits sous juridiction franaise, en particulier localises sur le territoire franais.
Typiquement les donnes de connexion dun dispositif informatique (ordinateur portable ou pas,
smartphone, tablette, dispositif de rgulation ou industriel, etc.) situ sur le territoire franais vont
ncessairement passer par un oprateur ou un hbergeur de juridiction franaise.
Ces collectes de donnes peuvent tre facilement contournes, masques ou perturbes, voici trois
manires simples et efficaces de le faire.
La collecte de donnes de connexion est contournable.
Cette collecte peut tre facilement vite en utilisant par exemple une connexion chiffre vers le
serveur dun oprateur ou dun hbergeur extrieur la juridiction franaise. Techniquement cela se
ralise en utilisant un tunnel de communication scuris de type VPN (Virtual Private Network) ou la
mise en place dune communication chiffre avec un proxy hors juridiction franaise. Dans tous les
cas, ces contournements techniques sont faciles mettre en uvre et la seule information
exploitable sera ltablissement dune connexion chiffre entre une machine et un serveur tranger.
En particulier, aucune information sur le destinataire final de linformation ou le contenu du message
ne sera possible dans ce cas.
Le contenu des communications est chiffrable
Indpendamment des donnes de connexion, le contenu des messages ou des informations
changes peut tre chiffr avec des programmes librement disponibles et trs bien documents.
Leur utilisation permet, dans ltat actuel de nos connaissances, et en labsence dautre mthode
dacquisition de renseignement (eg par canal auxiliaire) de prserver linformation de manire forte.
On estime par exemple actuellement que dchiffrer une information chiffre en utilisant le protocole
RSA avec des clefs de 2048 bits prendrait plusieurs milliers dannes sur les plus gros calculateurs
actuels.
Des contremesures simples peuvent tre dveloppes
La collecte dinformation base sur laccs des sites considrs comme suspects peut tre
fortement perturbe ou brouille par des contremesures consistant faire accder massivement
ces sites suspects des internautes sans intention malveillante. Des entits malveillantes crent ainsi
indirectement des attaques de type DOS (Denial Of Service) consistant noyer les sites

dobservations par des accs massifs crs intentionnellement. Techniquement on pourra pour cela
soit utiliser des rseaux de botnets ou des techniques de spam, faisant cliquer sans intention
malicieuse des internautes sur des adresses numriques de sites considrs comme suspects.

!,+1#2#3%4,+3,)+5+-#6471%)(*(-)+8+
Le traitement par des programmes informatiques des donnes collectes, en particulier voqu dans
larticle L. 851-4 du projet de loi, doit faire lobjet danalyses formelles correctes. En particulier nous
attirons lattention du lgislateur sur ce que les statisticiens appellent le paradoxe des faux-positifs.
Son principe est le suivant. Supposons que lon recherche des terroristes dans une population. Tout
algorithme de dtection a une marge derreur cest dire va identifier des personnes sans intention
terroriste (des faux-positifs ). Si la marge derreur est de 1%, ce qui est considr ce jour comme
trs faible, lalgorithme identifiera quelques 600 000 personnes sur une population totale de 60
millions de personnes. Si le nombre de vrais terroristes est par exemple de 60, ces vrais terroristes
ne reprsenteront que 0,01% de la population identifie.
Ce phnomne scientifique bien connu et li lidentification statistique dvnements rares a donc
des consquences que le texte du projet de loi actuel ne prend pas en compte. Raffiner les
informations obtenues dans un tel contexte peut se faire en croisant les sources dinformations, avec
les limitations actuelles que nous voquons dans le paragraphe suivant.

!,+.2%(),',$*+3"($-%2'#*(%$)+
Le croisement dinformations, base sur le croisement de bases dinformations de nature varies,
incluant de manire fondamentale les mta-donnes, est aujourdhui trs efficace. Lacquisition quasi
systmatique dinformation faites par les applications ou les sites commerciaux, le traage des
activits des internautes permettent dobtenir des profilages prcis des utilisateurs. Ces traages
constituent un souci important quant au respect de la vie prive qui, comme le rappelle le premier
article du projet de loi, est un droit fondamental qui concerne le secret des correspondances et
linviolabilit du domicile, et auquel il conviendrait dajouter le secret des mta-donnes.
Si ce type de techniques peut certainement tre efficace des fins de renseignement il nous semble
trs difficilement utilisable dans le cadre de ce projet de loi. En effet ces techniques sappuient sur
des informations (donnes, mta-donnes,...) qui sont acquises et stockes quasi-exclusivement en
dehors du territoire ou de la juridiction franaise par Google, Bing, Facebook, Twitter, Amazon....
Bien entendu, il sera possible de contraindre les entreprises ou les services relevant de la juridiction
franaise, mais avec le risque fort de mettre mal leur comptitivit qui ne se comprend qu lchelle
de la plante.

"#$%&'()#$!
Inria est la disposition du lgislateur pour dtailler les lments techniques ci-dessus et laider
valuer les lments scientifiques et techniques des textes juridiques que celui-ci jugera appropris.
Une remarque complmentaire concerne la composition de la Commission nationale de contrle des
techniques de renseignement (CNCTR). Il nous semble en effet que compte tenu de la complexit
scientifique et technique des sujets numriques abords, la CNCTR bnficierait dune
reprsentation quilibre entre les comptences numriques et juridiques. Dans ce cadre, les statuts
de la CNCTR pourraient prvoir la nomination de membres par lARCEP, la CNIL et Allistene,
lalliance des organismes, universits et coles en sciences et technologies du numrique.