En 2024, la Commission nationale de contrôle des techniques de renseignement (CNCTR) a examiné 98 883 demandes de mise en œuvre de techniques de renseignement sur le territoire national. Au total, 24 308 personnes ont été surveillées par les services français. Le terrorisme est redevenu le premier motif. Et pour la première fois en 2024, un sixième algorithme de détection a été autorisé sur les réseaux des opérateurs télécoms.

Ces chiffres ne disent pas tout — la surveillance d'État ne se limite pas au renseignement. Elle s'étend aux caméras de vidéoprotection, aux drones, aux fichiers de police, à la lecture des données de connexion, à la reconnaissance faciale désormais accessible depuis les téléphones de service des policiers. Mais ils donnent la mesure : en France, en 2026, l'État peut vous surveiller. Pas n'importe comment, pas pour n'importe quoi — mais à un niveau d'intensité qui s'est densifié à chaque loi sécuritaire depuis dix ans.

Le constat est central : en France, on n'est pas dans un État policier ; on est dans un État qui peut, sous conditions, vous surveiller. La frontière entre les deux est plus juridique que technique. Elle dépend de la solidité des contrôles, de la transparence des usages, et de l'effectivité des recours.

Cet article explique ce qui est autorisé, ce qui ne l'est pas, qui contrôle quoi, et ce qu'un citoyen peut faire face à un dispositif de surveillance qui le concerne.

Trois régimes, pas un seul système

La première erreur, dans les débats publics français sur la surveillance, c'est de parler d'un système unique. Il n'y en a pas. Il existe trois régimes juridiques distincts, qui se superposent et qui n'ont ni les mêmes finalités, ni les mêmes contrôles, ni les mêmes recours.

Le renseignement. Surveillance secrète, à finalités stratégiques : sécurité nationale, terrorisme, criminalité organisée, ingérences étrangères, défense de la forme républicaine des institutions. Cadre : le livre VIII du Code de la sécurité intérieure (CSI), créé par la loi du 24 juillet 2015. Contrôle : la CNCTR, qui rend des avis préalables sur chaque demande, et le Conseil d'État en cas de contentieux. Sept finalités sont listées à l'article L. 811-3, dont la plus large — « la prévention de toute forme d'ingérence étrangère » — a été élargie en 2024.

La police administrative. Surveillance ouverte, à des fins de prévention et de maintien de l'ordre. Caméras de vidéoprotection sur la voie publique, drones de surveillance de manifestation, vidéo-algorithmique testée pendant les Jeux olympiques de Paris 2024. Cadre : le CSI et ses décrets d'application. Contrôle : les préfectures pour l'autorisation, la CNIL pour le respect des règles de protection des données.

La police judiciaire. Surveillance dans le cadre d'enquêtes pénales : géolocalisation d'un véhicule, écoutes ordonnées par un juge, exploitation des fichiers comme le TAJ (traitement des antécédents judiciaires) ou le FPR (fichier des personnes recherchées). Cadre : le Code de procédure pénale. Contrôle : le juge d'instruction, le procureur, et la CNIL pour les traitements de données.

Cette distinction n'est pas une subtilité juridique. Elle détermine ce que l'État a le droit de faire, et surtout ce que vous avez le droit de demander en retour. Une caméra de voie publique relève de la police administrative, et vous pouvez en contester la légalité auprès de la CNIL. Une écoute téléphonique ordonnée dans une enquête pénale relève du juge, et vous n'en aurez généralement connaissance qu'au stade de l'instruction. Une mesure de renseignement, elle, restera secrète — sauf à enclencher la procédure de droit d'accès indirect prévue par la loi.

Le renseignement, en chiffres

La CNCTR publie chaque année un rapport d'activité. C'est le document de référence sur l'ampleur réelle du renseignement français, dans la mesure où il est rendu public.

Quatre constats émergent du rapport 2024.

1. Le nombre de demandes a augmenté de 3 % par rapport à 2023, à un niveau historiquement élevé mais maîtrisé compte tenu du contexte (élections législatives anticipées, JO de Paris, troubles en Nouvelle-Calédonie et aux Antilles, réouverture de Notre-Dame). Sur cinq ans, la hausse est de 24,3 %.

2. Le nombre de personnes effectivement surveillées s'est stabilisé : +0,4 % par rapport à 2023, à 24 308. Cela signifie que les services demandent en moyenne plus de techniques par personne ciblée — autrement dit, qu'ils approfondissent davantage leur surveillance.

3. Le terrorisme est redevenu, pour la première fois depuis trois ans, le premier motif de surveillance — devançant la criminalité organisée. 30 % des personnes surveillées le sont à ce titre, soit 7 264 individus. La progression de la criminalité organisée s'est arrêtée. Les ingérences étrangères, elles, continuent de monter et représentent désormais plus de 20 % des techniques utilisées.

4. Les techniques les plus intrusives — écoutes, recueil de données informatiques, captation à distance — progressent plus vite que les autres. Le recueil de données informatiques a plus que doublé en cinq ans.

Le contrôle préalable existe. La CNCTR rend un avis sur chaque demande, transmis au Premier ministre qui décide en dernier ressort. 0,8 % des avis ont été défavorables en 2024. Et le Premier ministre a suivi tous les avis défavorables — un fait que la commission souligne dans son rapport.

Le chiffre paraît bas. Il l'est. Mais cela n'indique pas, en soi, une faible intrusivité globale. C'est l'argument central des observateurs critiques : un faible taux d'avis défavorables atteste surtout d'un contrôle préalable sur des demandes déjà juridiquement calibrées. Les services apprennent à formuler des demandes recevables. Le filtre existe, mais il s'exerce avant la transmission à la commission.

Les techniques disponibles : un inventaire

Le livre VIII du CSI liste les techniques que les services peuvent utiliser, chacune avec ses propres règles d'autorisation et de durée.

TechniqueArticle CSIUsage
Données de connexion en temps différéL. 851-1Identifier, localiser, retracer des communications via les opérateurs
Géolocalisation en temps réel d'un terminalL. 851-4Suivre un téléphone en mobilité
Géolocalisation en temps réel par baliseL. 851-5Pose d'un dispositif sur un véhicule, un objet
IMSI-catcherL. 851-6Fausse antenne-relais qui capte les téléphones proches
AlgorithmesL. 851-3Traitements automatisés sur données transitant chez les opérateurs
Interceptions de sécuritéL. 852-1Écoutes téléphoniques, en complément ou en substitution
Captation de parolesL. 853-1Pose de micros dans des lieux privés
Captation d'imagesL. 853-1Caméras dans des lieux privés
Recueil ou captation de données informatiquesL. 853-2Accès à un ordinateur, lecture de l'écran, du clavier, des fichiers

Les « algorithmes » méritent un développement particulier, parce qu'ils touchent un public bien plus large que les autres techniques. Ils ne portent pas, en principe, sur le contenu des correspondances : ils analysent les métadonnées — qui appelle qui, à quelle heure, depuis quel lieu, vers quel numéro étranger, en quelle quantité. Sur cette base, des modèles algorithmiques cherchent à détecter des comportements suspects.

Six algorithmes ont été autorisés depuis la création du dispositif en 2015. La CNCTR confirme dans son rapport 2024 qu'un nouveau a été autorisé cette année-là, mais qu'un autre, en service jusqu'alors, a cessé d'être utilisé. Le nombre exact d'algorithmes en activité, leurs cibles précises et leur efficacité opérationnelle ne sont pas publics — secret défense.

La loi du 25 juillet 2024 sur la prévention des ingérences étrangères a élargi le champ : les algorithmes peuvent désormais détecter non seulement des menaces terroristes (objectif initial de 2015), mais aussi des ingérences étrangères et des menaces pour la défense nationale.

En juin 2025, le Conseil constitutionnel a toutefois censuré une partie du dispositif. La nouvelle rédaction permettait l'analyse d'« adresses complètes de ressources utilisées sur internet » — autrement dit, des URL exactes consultées par les internautes. Le Conseil a jugé que cette précision allait au-delà des seules métadonnées et touchait au contenu des communications, sans garantie suffisante. Censuré.

Le TAJ, fichier-cathédrale de la police judiciaire

Si les chiffres du renseignement impressionnent, ceux de la police judiciaire sont d'une autre échelle. Le TAJ — traitement des antécédents judiciaires — est le principal fichier de la police nationale et de la gendarmerie. Il sert à enquêter, à identifier, à recouper.

D'après les chiffres rapportés par la presse spécialisée et les enquêtes parlementaires en 2026, le TAJ contient :

  • environ 17 millions de fiches de personnes mises en cause dans des procédures pénales ;
  • environ 48 millions de fiches de victimes ;
  • des informations détaillées : état civil, adresse, profession, photographie, parfois affiliation politique ou religieuse selon les procédures.

Soit, au total, des données concernant l'équivalent de plus du tiers de la population française.

Le fichier est ancien — il existe sous d'autres formes depuis les années 2000, le TAJ proprement dit a été créé en 2014 — mais il a connu deux mutations récentes qui en changent la portée.

Mutation 1 : la mobilité. Depuis le 1er mai 2024, l'accès au TAJ par moyens techniques mobiles est ouvert à certaines catégories d'agents habilités. Concrètement : les policiers et gendarmes peuvent consulter le fichier depuis leur téléphone de service NEO (« Nouvel Équipement Opérationnel »), et plus seulement depuis leur poste au commissariat.

Mutation 2 : la reconnaissance faciale. Les fiches du TAJ contiennent des photographies enregistrées avec des caractéristiques techniques permettant le rapprochement biométrique. Une fonctionnalité officielle existe depuis 2022 dans les terminaux NEO : la prise de photo sur le terrain, suivie d'une recherche dans le TAJ via reconnaissance faciale.

Cette fonctionnalité est juridiquement encadrée. Elle est réservée aux enquêtes judiciaires et accessible uniquement aux agents individuellement désignés et spécialement habilités. Une circulaire du ministère de l'Intérieur de février 2022, citée par Disclose, interdit explicitement son usage lors d'« opérations de contrôle d'identité ».

C'est sur ce point que tout a basculé en mars 2026.

L'enquête Disclose : la reconnaissance faciale dans la rue

Le 16 mars 2026, le média d'investigation Disclose publie une enquête qui fait l'effet d'un détonateur. Selon ses révélations, étayées par des témoignages de personnes contrôlées et au moins un témoignage policier, des agents de police et de gendarmerie utilisent régulièrement la reconnaissance faciale du TAJ lors de simples contrôles d'identité dans l'espace public.

Le mécanisme est simple : un agent prend en photo une personne lors d'un contrôle, importe l'image dans son téléphone NEO, lance une recherche, et obtient en quelques secondes une liste de correspondances issues du TAJ — avec accès aux informations personnelles attachées.

L'usage de cette fonctionnalité s'est massivement développé. Les consultations du TAJ associées à de la reconnaissance faciale sont passées de 375 000 en 2019 à près d'un million en 2024. Un triplement en cinq ans. Le rapport d'activité 2023 de l'IGPN, cité par Disclose, alertait déjà — en interne — que ce fichier était « fréquemment utilisé sur la voie publique lors de contrôles d'identité », et qu'il y avait un « risque d'accroissement des consultations injustifiées » avec l'arrivée des terminaux mobiles.

L'enquête a entraîné plusieurs réactions :

  • L'organisation Amnesty International France et La Quadrature du Net ont publié un guide juridique commun expliquant en quoi cette pratique est triplement illégale : photo prise hors cadre, accès TAJ sans habilitation, reconnaissance faciale non prévue par la loi pour ce type d'usage.
  • L'Assemblée nationale a enregistré plusieurs questions écrites de parlementaires.
  • La CNIL a annoncé fin mars 2026 préparer « plusieurs contrôles » pour vérifier l'existence d'usages effectifs de reconnaissance faciale lors de contrôles d'identité.
  • Le ministère de l'Intérieur a répondu publiquement que « des rappels sont régulièrement réalisés dans les services de police et de gendarmerie ».

Quelques jours après l'enquête de Disclose, la Cour de justice de l'Union européenne a, dans son arrêt « Comdribus », jugé que les pratiques françaises de prise de signalétique (photographies et empreintes digitales) lors de certains contrôles étaient contraires au droit européen — disproportionnées. Combinée à l'enquête, la décision met le ministère face à un cumul d'illégalités difficile à esquiver.

À ce stade, aucune décision juridictionnelle française de fond n'a tranché spécifiquement la question de la reconnaissance faciale mobile. Mais la conjonction d'une enquête de presse documentée, d'une décision européenne et d'une démarche CNIL crée un faisceau qui rendra la régularisation politique — soit par interdiction explicite, soit par adaptation du cadre — difficile à éviter en 2026.

Caméras, drones, vidéo-algorithmique

Trois autres dispositifs concernent directement la vie quotidienne des Français — bien plus, statistiquement, que les techniques de renseignement.

La vidéoprotection. L'installation de caméras filmant la voie publique relève d'une autorisation préfectorale de cinq ans, renouvelable. La CNIL contrôle la conformité du dispositif (durée de conservation, information du public, sécurité). Le nombre exact de caméras opérationnelles en France n'est pas publié de manière consolidée — chaque commune dispose des siennes, certaines préfectures coordonnent des plans départementaux. Selon les estimations de la presse spécialisée, plusieurs centaines de milliers de caméras de vidéoprotection couvrent l'espace public français.

Les drones. Leur usage par les forces de l'ordre a été chaotique sur le plan juridique. En mai 2020, le Conseil d'État ordonne l'arrêt de la surveillance par drone des règles sanitaires (Covid). En décembre 2020, il suspend l'usage de drones pour surveiller des manifestations, faute de base légale adéquate. La loi « sécurité globale » de 2021 tente d'organiser un cadre, mais le Conseil constitutionnel le censure partiellement. Un nouveau cadre est validé en janvier 2022, sous conditions strictes : interdiction de la captation du son, interdiction de la reconnaissance faciale en temps réel, restrictions sur la captation des domiciles, autorisation préfectorale.

La vidéo-algorithmique. C'est l'innovation majeure des années 2023-2026. La loi du 19 mai 2023 dite « JO » a autorisé une expérimentation de l'analyse algorithmique des images de vidéoprotection en temps réel, pour détecter des « événements prédéterminés » — mouvement de foule anormal, colis abandonné, intrusion dans une zone interdite. La reconnaissance faciale est exclue du dispositif.

L'expérimentation a couvert les Jeux olympiques de Paris 2024 et plusieurs événements ultérieurs. En mars 2026, la CNIL a publié un nouvel avis dans lequel elle juge le bilan « mitigé » et met en garde contre une extension qui, de fait, transformerait l'exception en norme. La vidéo-algorithmique, écrit la commission, n'est pas une simple amélioration technique : « les personnes ne sont plus seulement filmées, elles sont analysées en temps réel ».

C'est la mise en garde centrale du débat. Pas l'illégalité d'un outil isolé. L'effet cumulatif d'un empilement d'outils dont chacun, pris séparément, peut sembler proportionné.

Deux caméras de vidéoprotection installées sur un bâtiment, surveillant l'espace public dans une ville française.

Recours : ce qu'un citoyen peut faire

Le système français prévoit plusieurs voies de recours. Elles sont techniques, fragmentées, mais elles existent. Connaître la bonne porte est la première étape.

Pour une caméra de vidéoprotection sur la voie publique. La voie la plus simple est la plainte à la CNIL. La commission peut contrôler la validité de l'autorisation préfectorale, la durée de conservation des images, la sécurité du dispositif, l'information du public (panneaux signalétiques visibles). La plainte est gratuite et se dépose en ligne.

Pour une caméra dans un lieu privé ouvert au public (commerces, transports, parties communes d'immeuble). Même voie : plainte CNIL.

Pour le TAJ ou un autre fichier de police judiciaire. Depuis août 2018, le droit d'accès et de rectification au TAJ, au SIS et au FPR est devenu direct : vous pouvez écrire au procureur de la République compétent pour demander à savoir si vous y figurez et, le cas échéant, demander rectification ou effacement. Une décision CNIL SAN-2024-017 du 17 octobre 2024 a sanctionné les ministères de l'Intérieur et de la Justice pour la mauvaise gestion de ce fichier. Selon cette décision, le ministère de la Justice a indiqué que plus d'un million de décisions devraient donner lieu à des mises à jour chaque année, mais qu'il n'en compte qu'environ 300 000. La CNIL leur a enjoint de se mettre en conformité avant le 31 octobre 2026.

Pour les fichiers liés à la sûreté de l'État, à la défense ou à la sécurité publique. Le droit d'accès est indirect : vous saisissez la CNIL, qui vérifie pour vous. La commission ne vous dit pas si vous êtes fiché — elle vous dit si elle a constaté ou non une irrégularité, et fait procéder aux corrections nécessaires. La procédure est lente, peu lisible, mais elle existe.

Pour une mesure de renseignement contre vous. La voie est la même : droit d'accès indirect via la CNIL, puis éventuellement contentieux devant une formation spécialisée du Conseil d'État si la CNIL ne donne pas satisfaction. Le Conseil d'État statue à huis clos, en présence des seules parties habilitées au secret défense.

Pour un usage de drone, une captation algorithmique ou une caméra-piéton. Plainte CNIL pour les questions de protection des données ; recours pour excès de pouvoir devant la juridiction administrative pour contester l'autorisation préfectorale ou le décret d'application. Plusieurs grandes décisions du Conseil d'État (drones Covid, drones manifestations, GendNotes, données de connexion) sont nées de tels recours, souvent portés par des associations comme La Quadrature du Net ou la Ligue des droits de l'Homme.

Un détail pratique : si vous estimez avoir été photographié, identifié ou contrôlé dans un cadre pénal (procédure d'enquête, garde à vue), le recours principal passe par votre avocat dans le cadre de la procédure elle-même — soulèvement de nullités, demandes d'annulation d'actes. C'est un sujet distinct, traité dans notre guide complet sur les droits en garde à vue.

La zone grise : ce que la loi ne dit pas encore

Malgré la densité du cadre, plusieurs zones d'ombre subsistent. Elles concernent moins la légalité que la transparence des usages effectifs.

Les IMSI-catchers. Ces fausses antennes-relais, qui captent les téléphones à proximité, sont autorisées par l'article L. 851-6 du CSI. Mais le contingent national (le nombre maximal d'appareils utilisables simultanément) et les registres d'usage sont classifiés. Personne en dehors des services concernés et de la CNCTR ne sait combien d'IMSI-catchers sont déployés en pratique chaque année, ni dans quels contextes opérationnels.

Les logiciels d'analyse vidéo. L'affaire BriefCam illustre le problème. Ce logiciel d'analyse rétrospective de vidéos, vendu par une société israélienne (filiale Canon), a été acquis par plusieurs services de police et de gendarmerie sans que la CNIL en soit officiellement informée — ce qui a fait l'objet de révélations en novembre 2023. Une enquête administrative a été menée. Selon les réponses ministérielles publiées en 2024-2025, la gendarmerie a suspendu son usage, et un engagement de conformité a été pris auprès de la CNIL pour les services de police. Mais le constat reste sévère : acquisition opaque, vide juridique initial, usages discutables. D'autres logiciels similaires sont vraisemblablement utilisés sans que leur recensement public soit accessible.

L'OSINT administratif. Plusieurs administrations — police, gendarmerie, fisc, CAF, douanes, Viginum (service spécialisé dans les ingérences numériques étrangères) — utilisent l'OSINT, c'est-à-dire le renseignement en sources ouvertes : exploitation de réseaux sociaux, recoupement d'informations publiques, ciblage par profils numériques. Le RGPD et la loi Informatique et Libertés s'appliquent, mais la frontière entre « donnée publique » et « donnée librement réutilisable » reste floue. En pratique, chaque administration développe ses propres outils, sans cadre commun ni recensement public.

Le décompte des caméras. Aucun chiffre national consolidé ne permet de savoir combien de caméras de vidéoprotection sont en activité, combien sont effectivement exploitées (certaines tournent à vide), combien sont reliées à des centres de supervision urbains, combien à un système d'analyse algorithmique. La transparence statistique en matière de surveillance de l'espace public est l'un des angles morts du système français.

L'effet cumulatif, vraie question démocratique

À la fin, le sujet n'est peut-être pas chacun des dispositifs pris isolément, mais leur accumulation. Une caméra de vidéoprotection est légale. Un fichier de personnes mises en cause dans une enquête est légal. Une recherche par photographie sur ce fichier, à des fins d'enquête, est encadrée. La conservation des données de connexion par les opérateurs est encadrée.

Pris séparément, chacun de ces dispositifs respecte des règles. Combinés, ils permettent à l'État de relier des éléments d'information sur la même personne beaucoup plus rapidement et largement qu'il y a quinze ans. La Cour européenne des droits de l'homme, dans plusieurs décisions sur la surveillance de masse, a souligné cette dimension : il faut des « garanties de bout en bout » contre l'arbitraire — pas seulement des règles éparses sur chaque outil.

La CNIL, dans son avis de mars 2026 sur la vidéo-algorithmique, parle dans le même esprit du risque de « surveillance généralisée ». Pas d'un ennemi, pas d'un complot — mais d'un glissement dans lequel l'exception devient la règle, l'expérimentation devient la pratique, et l'outil devient l'évidence.

C'est sur cette pente que se joue la question démocratique. Pas sur le fait que la France soit, ou non, un État policier — elle ne l'est pas, et son cadre juridique est plus contrôlé que dans nombre de pays comparables. Mais sur le fait que, à mesure que les techniques se diversifient, le travail concret de contrôle (par la CNCTR, la CNIL, le juge administratif, le juge pénal) devient quantitativement plus difficile, et qualitativement plus complexe.

Le citoyen, lui, conserve des recours. Mais pour les utiliser, il faut connaître la bonne porte. La plupart des plaintes CNIL concernant la vidéoprotection sont déposées par des particuliers seuls, sans avocat. La plupart des contentieux sur les fichiers de police aboutissent à des rectifications, parfois à des effacements, presque jamais à des sanctions visibles publiquement. C'est un combat juridique à bas bruit, qui n'a pas l'éclat des grandes affaires de surveillance qu'on voit dans les médias étrangers.

Quelques réflexes utiles

Pour les lecteurs qui veulent réduire leur exposition aux dispositifs de surveillance — qu'ils relèvent de l'État ou d'acteurs privés —, plusieurs réflexes sont solidement étayés.

  • Séparer les identités numériques : ne pas utiliser le même nom d'utilisateur, la même photo de profil ou la même adresse e-mail sur des plateformes destinées à des usages différents.
  • Limiter la géolocalisation : couper le service de localisation des applications qui n'en ont pas un usage utile et permanent.
  • Vérifier les paramètres de confidentialité des réseaux sociaux ; ce qui est public est librement consultable par les services qui font de la veille.
  • Éviter la publication croisée des mêmes photos sur des plateformes différentes — c'est le mécanisme principal d'une réidentification par OSINT.
  • Connaître le régime de chaque dispositif rencontré (caméra, drone, contrôle policier) : à quel cadre il appartient, à quelle autorité il est rattaché, à quel recours il ouvre droit.

Aucune de ces précautions ne vous met « hors radar ». Aucune ne devrait l'être : si vous êtes la cible légitime d'une enquête pénale ou d'une mesure de renseignement justifiée par une menace, le cadre prévu doit s'appliquer. Mais elles permettent de réduire votre exposition non choisie à un empilement de dispositifs qui ne vous concernaient pas au départ et qui, par recoupement, finissent par révéler beaucoup plus que prévu.

Sources