Extension du dispositif des « boîtes noires » : un débat à la jonction du droit français du renseignement et des exigences européennes

L'adoption par l'Assemblée nationale, en mai 2026, d'une nouvelle extension du dispositif dit des « boîtes noires », issu de la loi relative au renseignement de 2015, ravive un débat juridique récurrent depuis plus d'une décennie. Ce débat oppose, d'un côté, l'impératif opérationnel de détection des menaces à caractère terroriste invoqué par les services spécialisés, et de l'autre, les exigences constitutionnelles et européennes relatives au respect de la vie privée, à la protection des données à caractère personnel et au secret des correspondances. La portée exacte de l'extension votée ne pourra être appréciée qu'à la lumière du texte définitivement adopté, sous réserve d'une éventuelle saisine du Conseil constitutionnel et de la publication des décrets d'application.

1. Ce qui est en jeu

Le terme de « boîte noire » désigne, dans le langage parlementaire courant, les traitements automatisés mis en œuvre sur les réseaux des opérateurs de communications électroniques et des hébergeurs afin de détecter, à partir d'algorithmes paramétrés par les services de renseignement, des connexions susceptibles de révéler une menace de nature terroriste. Le dispositif ne repose pas sur l'identification a priori de personnes ciblées : il consiste, sur autorisation et sous contrôle, à appliquer des paramètres techniques à des flux de données pour faire émerger des configurations jugées suspectes.

Créé à titre expérimental par la loi du 24 juillet 2015 relative au renseignement, ce mécanisme est codifié à l'article L. 851-3 du code de la sécurité intérieure (CSI). Initialement bornée dans le temps, l'expérimentation a été reconduite à plusieurs reprises avant d'être pérennisée et étendue par la loi du 30 juillet 2021 relative à la prévention d'actes de terrorisme et au renseignement. Le périmètre matériel et technique du dispositif a ainsi fait l'objet, depuis son origine, de réajustements successifs, chacun ayant donné lieu à des débats parlementaires nourris et, le cas échéant, à un contrôle de constitutionnalité.

L'extension adoptée à l'Assemblée nationale en mai 2026 — dont l'intitulé exact et le numéro de loi devront être confirmés au Journal officiel après promulgation — s'inscrit dans cette trajectoire de stratification normative. Sa portée précise dépendra du texte définitivement adopté, des éventuelles déclarations d'inconstitutionnalité partielle prononcées par le Conseil constitutionnel s'il est saisi, ainsi que des décrets d'application qui en préciseront les modalités techniques.

2. Le cadre juridique applicable

Au niveau interne, l'article L. 851-3 du CSI constitue le siège du dispositif. Issu de la loi n° 2015-912 du 24 juillet 2015 et modifié par la loi n° 2021-998 du 30 juillet 2021, il encadre la mise en œuvre des traitements algorithmiques de détection des menaces terroristes, en précisant notamment leurs finalités, la nature des données concernées et les garanties procédurales applicables.

Au niveau constitutionnel, la décision n° 2015-713 DC du 23 juillet 2015 du Conseil constitutionnel a posé les jalons de l'examen de conformité du dispositif initial aux droits et libertés constitutionnellement garantis. Cette décision, et celles qui l'ont suivie à l'occasion des réformes ultérieures, ont mis l'accent sur le caractère proportionné des mesures, sur la limitation des données traitées et sur l'existence de garanties effectives, en particulier le contrôle préalable exercé par la Commission nationale de contrôle des techniques de renseignement (CNCTR).

Au niveau européen, l'arrêt de la Cour de justice de l'Union européenne du 6 octobre 2020, La Quadrature du Net e.a. (affaires jointes C-511/18, C-512/18 et C-520/18), a profondément renouvelé le cadre d'analyse. La Cour y précise les conditions dans lesquelles les États membres peuvent imposer une conservation des données de connexion et y mobiliser une exception de sécurité nationale, en consacrant le principe d'une conservation ciblée et différenciée. Cette jurisprudence européenne a été reçue, en droit interne, par la décision du Conseil d'État, Assemblée, 21 avril 2021, French Data Network et autres (n° 393099), qui a articulé les exigences du droit de l'Union et celles du droit constitutionnel français en matière de surveillance et de renseignement.

Sur le plan institutionnel enfin, la CNCTR exerce un contrôle préalable indépendant sur la mise en œuvre des techniques de renseignement, dont les traitements algorithmiques relevant de l'article L. 851-3. Ses avis, sans être juridiquement contraignants, jouent un rôle structurant dans la pratique administrative et conditionnent largement la robustesse juridique du dispositif.

3. Analyse juridique du cabinet

L'examen de l'extension annoncée fait apparaître trois lignes de tension principales que le cabinet XXI avocats identifie comme structurantes pour l'appréciation juridique du texte définitif.

La première porte sur la définition matérielle des données soumises au traitement algorithmique. La jurisprudence constitutionnelle et européenne attache une importance déterminante à la nature précise des informations exploitées — données de connexion, données de localisation, métadonnées, données de contenu — ainsi qu'à la finalité strictement délimitée du traitement. Toute extension du champ matériel doit, pour franchir le contrôle, s'inscrire dans une logique de proportionnalité strictement encadrée.

La deuxième tension réside dans l'articulation avec les exigences du droit de l'Union, telles qu'elles résultent de la jurisprudence La Quadrature du Net et de ses prolongements. Le principe d'une conservation ciblée et différenciée, conjugué à la portée précise de l'exception de sécurité nationale, dessine un cadre dans lequel toute généralisation du recours aux traitements algorithmiques doit être justifiée par une menace grave, réelle, actuelle ou prévisible. La marge nationale, bien réelle, demeure encadrée par le contrôle de la Cour de justice.

La troisième question concerne l'effectivité du contrôle. Elle se décline en trois dimensions complémentaires : la qualité de l'avis rendu par la CNCTR en amont de l'autorisation, la traçabilité des paramètres techniques effectivement appliqués aux flux de données, et les voies de recours offertes par la formation spécialisée du Conseil d'État, compétente pour connaître des contentieux relatifs aux techniques de renseignement. Cette architecture de contrôle, longuement bâtie depuis 2015, constituera vraisemblablement le terrain principal d'appréciation de l'extension votée, qu'elle soit examinée par le Conseil constitutionnel ou ultérieurement par les juridictions ordinaires.

4. Points pratiques pour les praticiens

Pour les opérateurs de communications électroniques et les hébergeurs, l'extension annoncée justifie une revue attentive des chaînes techniques de mise en œuvre, depuis l'interception des données jusqu'à leur communication aux services concernés, en passant par la documentation des paramètres employés. La conformité opérationnelle au futur cadre dépendra autant des décrets d'application que de la qualité des procédures internes mises en place.

Pour les directions juridiques des plateformes, l'articulation avec le règlement (UE) 2022/2065 du 19 octobre 2022 (Digital Services Act) constitue un point d'attention particulier. Les obligations imposées par le DSA aux services intermédiaires en ligne — transparence, traçabilité des décisions, gestion des risques systémiques — peuvent interagir avec les obligations issues du droit national du renseignement, sans que les modalités de cette interaction soient à ce jour stabilisées.

Pour les associations et les organisations de défense des libertés publiques, les voies de recours contentieux demeurent un levier essentiel : recours pour excès de pouvoir contre les décrets d'application, questions prioritaires de constitutionnalité, recours devant la formation spécialisée du Conseil d'État, voire saisine indirecte de la Cour de justice de l'Union européenne par la voie préjudicielle.

Le calendrier opérationnel précis dépendra de la publication du décret d'application et, le cas échéant, du résultat de la procédure devant le Conseil constitutionnel.

Sources et avertissement

Sources officielles consultées : Légifrance (code de la sécurité intérieure, article L. 851-3 ; loi n° 2015-912 du 24 juillet 2015 ; loi n° 2021-998 du 30 juillet 2021), Conseil constitutionnel (décision n° 2015-713 DC du 23 juillet 2015), CURIA (CJUE, 6 octobre 2020, La Quadrature du Net e.a., C-511/18, C-512/18 et C-520/18), site du Conseil d'État (Ass., 21 avril 2021, French Data Network et autres, n° 393099), site de la CNCTR, EUR-Lex (règlement (UE) 2022/2065).

Le présent décryptage a une vocation exclusivement informative et ne constitue pas une consultation juridique. L'intitulé exact, le numéro et la portée définitive de la loi adoptée en mai 2026 demeurent sous réserve de confirmation au Journal officiel après promulgation et, le cas échéant, de la décision du Conseil constitutionnel.