Une information citoyenne au service d'une identité européenne
Réactions, commentaires et débats avec des invités

Glossaire interactif des termes de l'Espace de liberté, de sécurité et de justice
Observatoire législatif de l’Espace européen de liberté, de sécurité et de justice
Veille juridique et documentaire axée sur la Charte des droits fondamentaux de l’Union européenne
Actualités des grands projets de l'Union européenne
Dossiers documentaires thématiques
Actualités sur le rôle de l'Union européenne dans le monde
Une information citoyenne au service d'une identité européenne

«Electronic Mass Surveillance » enquête du Parlement européen : la nouvelle audition a porté sur  la nouvelle ligne sécuritaire de la cyberdéfense.

pdf mise en ligne :12 12 2013 ( NEA say… n° 139 )

DROITS FONDAMENTAUX > Protection des données personnelles

 La 13ème audition de la commission de LIBE du  5 décembre 2013 a principalement porté sur l'examen des aspects de  sécurité informatique ou cybersécurité au sein des institutions européennes, se focalisant entre autres sur le travail fourni par Europol et ENISA ( l'Agence européenne chargée de la sécurité des réseaux et de l'information).
 La 13ème audition de la commission de LIBE du  5 décembre 2013 a principalement porté sur l'examen des aspects de  sécurité informatique ou cybersécurité au sein des institutions européennes, se focalisant entre autres sur le travail fourni par Europol et ENISA ( l'Agence européenne chargée de la sécurité des réseaux et de l'information).
 
L'Office européen de police représenté par Olivier Burgersdijk a fait l'objet de critiques assez âpres suite à son discours au Parlement : si Europol maintient que son mandat ne lui permet en aucun cas d'enquêter sur des affaires d'espionnage et encore moins sur les actions des Etats, Jan-Philip Albrecht (Verts/Alliance libre européenne) a tenu à rappeler qu'Europol avait été créé pour accroître la sécurité au sein de l'espace européen et que la protection des données traite justement d'un domaine où la sécurité des européens est fortement mise en jeu. « Ce n'est pas juste question de cyber-attaque mais de cyber-guerre de l'information, d'actes de guerre électronique », a scandé Albrecht pour évacuer sa colère. « Faites votre job », a-t-il poursuivi. 

Mais Olivier Burgersdijk, en guise de défense, insiste sur le fait qu'Europol n'agit que par la coordination et la transmission  d'informations sous le contrôle et la responsabilité juridique des Etats membres. Europol se contente donc de soutenir  les orientations des Etats, restant aussi simplement  un centre d'appui aux autorités répressives nationales. Mais si Europol est parvenu à maintenir  un bon régime de protection par le passé, les députés européens se permettent aujourd'hui d'en douter au vu de la flexibilité existante pour croiser l'information stockée dans différentes bases de données. Il est donc essentiel qu'un organe tel que celui-là, dont les missions ont un impact direct sur la vie des citoyens et une portée internationale reconnue via ses accords de coopération, fasse l'objet d'un contrôle toujours plus perfectionné pour le futur par le Parlement européen et/ ou les parlements nationaux, comme le prévoient les Traités.

De son côté, l'agence ENISA semble avoir joué un rôle plus positif (mais essentiellement d'ordre technique) pour ce qui concerne la sécurisation des données personnelles soulignant dans un rapport certaines recommandations faisant notamment ressortir le rôle déterminant que peut jouer la cryptographie ( position cyberlibertaire) dans la protection des données personnelles. Les méthodes cryptographiques seraient une première étape à franchir si l'on veut résoudre au moins un des problèmes liés à la protection des données personnelles et la confidentialité, a mis en exergue Udo Helmbrecht (le directeur exécutif d'ENISA). Raison pour laquelle, il recommande aussi fortement de recruter du personnel spécialisé pour une bonne mise en application des dernières technologies cryptographiques pour la protection des données. Le Directeur exécutif a témoigné : « la cryptographie est une ancienne méthode de sécurisation des données mais elle est toujours actuelle aujourd'hui en ce qui concerne la protection des données en ligne ». ENISA a fait remarquer que la seule mise en œuvre de ses recommandations constituerait,à elle seule un grand progrès.

Aussi est-il attendu à l'avenir, une collaboration toujours plus étroite entre Europol et ENISA dans le cadre du traitement de toute information concernant une personne physique identifiée ou identifiable collectées seulement à des fins  déterminées, explicites et légitimes. Leur potentiel respectif devrait être utilisé pleinement car finalement : «  combien d'enquêteurs dans les Etats membres de l'UE ont-ils déjà réalisé qu'Europol peut demander au gouvernement des Etats-Unis d'effectuer des recherches dans le programme de surveillance du financement du terrorisme ? (question que Gilles De Kerchove, coordinateur  de l'UE pour la lutte contre le terrorisme avait déjà soulevé auparavant). Il est plus que temps d'utiliser au mieux ces agences sous-utilisées, par exemple, en améliorant la coopération inter-agences.

 Mr Florian Walther (consultant en IT security), a déclaré: le  "cyberspace" (sorte de vase communiquant où les membres vont et viennent) reste  une réelle menace en l'absence de réponses européennes adéquates ; voilà pourquoi il serait urgent de mettre en place de nouvelles infrastructures informatiques. Selon lui, l'Europe des institutions consacrerait plus de budget  en termes de «  papier toilette » qu'en matière de sécurité. Or les Etats-Unis ont développé un arsenal assez lourd en « cyber-armes » que l'on pourrait définir comme un « élément logique (code) servant à mettre le système d'information d'un adversaire  ou tout équipement qui en est doté » hors de combat. Pour lui, ce type de menaces rencontrées aujourd'hui justifie qu'il y ait une réponse étatique adaptée, si bien qu'il serait bon de s'interroger sur la compétence des cyber spécialistes certainement moins professionnels que les hackers ou pirates informatiques américains qui pour reprendre les mots tels quels de l'intervenant « connaissent mieux vos systèmes informatiques que vous-mêmes, européens ». Effectivement, l'Europe accuse encore un important retard concernant les moyens et effectifs des agences chargées de la sécurité des systèmes d'information, par rapport à ceux dont disposent leurs homologues américains (c'est tout l'enjeu que représente la cyber-guerre sur le web faisant parfois même appel à des agents intelligents non-humains remplaçant tant dans l'offensive que la défensive les personnes physiques). « La cyber-guerre ne connaît ni chômage, ni crise aux Etats-Unis ; si vous ne désirez pas être dépendant  des Etats-Unis, ni en matière de défense, ni en matière de sécurité, ni en matière de renseignement, … alors il faut vous investir politiquement et vous doter des bonnes ressources humaines », a conseillé Florian Walther.

A ce concert de bonnes intentions mis en musique par les intervenants, le Parlement répond que tout cela n'est pas aussi simple à mettre en œuvre en raison de la variété des acteurs intervenant dans ce cyberspace, de la défiance relative existante entre eux mais surtout de l'inexistence de frontières physiques ce qui en premier caractérise le cyberspace. Tout comme pour les questions liées au droit, on ne peut  plus dans le cas du piratage internet, se référer à un seul territoire géographique.

Dans la deuxième partie du débat, ont été brièvement présentés les différents rapports/documents de travail rendus par  les députés : Claude Moraes, Jan Philipp Albrecht, Sophia In't Veld et Cornelia Ernst.

      -. 1 Concernant d'abord (document de travail n°1) l'étude sur les programmes de surveillance US/UE et leur impact sur les droits fondamentaux des citoyens européens, Claude Moraes nous a sous forme d'historique rappelé que les programmes PRISM, Xk eyscore, Bullrun et Muscular sont présumés pouvoir fournir un accès direct de la NSA aux serveurs centraux de neuf grandes sociétés Internet américaines leur permettant de collecter des informations  incluant l'historique  de recherche, le contenu de leurs e-mails, les transferts de fichiers et les « chats » en live. L'administration américaine a d'ailleurs confirmé à Washington l'existence de tels programmes. Sur notre vieux continent, d'après les articles parus dans la presse, l'agence de renseignement britannique, la GCHQ est présumée avoir eu accès à des communications collectées au travers du programme PRISM leur ayant permis de contourner le cadre national légal sur l'accès à des données personnelles en provenance d'un fournisseur Internet basé à l'étranger. Nombreux rapports ont de même pointé la participation conjointe du GCHQ avec la NSA dans le programme MUSCULAR (le programme NSA  d'espionnage de Google et Yahoo). Des fortes présomptions ont également émergées en France sur l'existence d'une DGSE (Direction générale de la sécurité extérieure) interceptant et collectant des métadonnées par l'utilisation d'un « supercomputer »  capable de collecter, d'emmagasiner, d'extraire et de traiter des informations stockées sur des puces tout comme en Allemagne où le Service fédéral de renseignement (le Bundesnachrichtendienst)  se serait engagé dans l'analyse et la collecte d'importants volumes de données ; un programme qui aurait eu pour objectif d'infiltrer les ordinateurs et réseaux pour accéder à certain type de données. Un ensemble de systèmes européens dont les dimensions dépassent fortement l'entendement, souligne Moraes dans son dernier rapport.

L'obsession technologique et son évolution à vitesse grandissante ont présentement permis à tous ces Etats d'en connaître davantage sur leurs propres ressortissants comme jamais cela avait été possible dans l'histoire. Alors qu'auparavant, des efforts considérables (notamment une proximité physique) devaient être fournis pour espionner une personne, la technologie d'aujourd'hui permet de telles actions à une échelle mondiale sans précédent. Ces systèmes de surveillance de masse sans aucune distinction faite ont bien entendu assez lourdement impacter sur les droits fondamentaux du citoyen. Alors que des cadres légaux sont mis en place, des questions subsistent quant à savoir si ces divers programmes respectent ou non l'esprit et les  intentions réelles de ces mêmes cadres ? Autrement dit,  ces programmes sont-ils pondérés, nécessaires et proportionnels aux risques courus dans nos sociétés démocratiques ? C'est ici que l'on perçoit toute la complexité de la problématique.
A ce jour, la liberté sur internet est supposée englober un éventail plus large de droits de l'homme au-delà de la liberté d'expression. Ceux-ci comprennent s'en pour autant s'y limiter, le droit à la vie privée, la liberté d'expression (incluant la liberté des médias et celles des « lanceurs d'alerte »), la liberté de réunion et d'association, la liberté de pensée, de religion et d'opinion ainsi que le droit aux recours et à un procès équitable. Tout cela générant un grand problème de confiance de la part des usagers,entreprises et administrations dans ces systèmes avec le risque de voir la liberté sur internet compromise et tous les avantages de l'environnement numérique annihilés pour tous.
Ce rapport vient dresser le bilan des défis et menaces concernant la liberté sur internet et analyse les rôles et responsabilités des acteurs étatiques et non étatiques dans la protection de cette liberté (il identifie aussi les éléments pour l'élaboration de réponses et de lignes d'action souhaitables dans le cadre du mandat du Conseil  de l'Europe relatif au traitement des menaces pour la liberté sur internet émanant des Etats). 

      -. 2 Le document de travail numéro 3 co-écrit avec Jan Philipp Albrecht apporte un complément avec d'autres recommandations et conclusions, à savoir :
- les systèmes juridiques des Etats Membres devraient tous s'accorder avec les droits fondamentaux  et principes de droit fondamentaux comme exprimé par l'article 6 du Traité de l'UE et la Charte des droits fondamentaux de l'Union ;
- la protection des données est un droit fondamental contraignant prévu sous le coup de l'article 8 de la Charte des droits fondamentaux, reflétant lui-même l'article 8 de la Convention européenne des droits de l'Homme mais disposant aussi par ailleurs d'une base légale en l'article 16 du TFUE ;
- les Etats Membres sont liés par plusieurs législations concernant la protection des données tout comme la cyber-sécurité. Il faudrait davantage examiner si  une quelconque activité de surveillance de masse est ou n'est pas  conforme avec le droit Européen (primaire ou secondaire) tout comme de savoir si ces mêmes activités ne violent pas les obligations reprises dans le contexte des conventions du Conseil européen ;
- étant donné l'existence d'exceptions pour la surveillance des données, le Parlement attend, lui, une définition plus claire et transparente sur le concept de « sécurité nationale ». Qu'est-ce que cela signifie réellement ? Quelles sont les limites de ce champ d'exception?;
- les députés voudraient donner la priorité à la réforme prévue sur la protection des données personnelles: après l'adoption des rapports de la commission LIBE et  la négociation des mandats le 21 octobre 2013, le Conseil devrait maintenant adopter sa position dans les négociations le plus vite possible de manière à ce qu'un arrangement soit trouvé avant la fin de la législature ;
- les négociations entre l'UE et les Etats-Unis sur un accord-cadre pour la protection des données dans le domaine de la coopération policière et judiciaire devrait rapidement être conclu, avant l'été 2014 si possible ;
- la future règlementation d'Europol devrait inclure un article établissant qu'une information obtenue en violation des droits fondamentaux en conformité avec l'article 6 du TUE et la Charte européenne des droits fondamentaux ne sera pas traitée ;
- la Convention sur la cybercriminalité du Conseil de l'Europe et son protocole additionnel  devrait absolument venir compléter les accords multilatéraux et autres instruments de coopération judiciaire garantissant une meilleure protection des données avec respect du droit ;
- toutes ces allégations de programmes de surveillance mis au point par les Etats membre ont indiqué une progressive fusion/combinaison d'acteurs (police, services de renseignement, acteurs militaires) et de pratiques créant une insécurité juridique et une incertitude dans les actions et la crédibilité des agences de l'Union elles-mêmes ; relevant de plus un déficit démocratique auquel doit s'attaquer l'Europe…

      -. 3 Enfin Claude Moraes présente dans son document de travail n°5  (co-écrit avec Sophia In't Veld et Cornelia Ernst), un compte rendu sur le contrôle démocratique des services de renseignement des Etats Membres et des  organismes de renseignement européens en général.

Ils préconisent dans ce document d'accroître la transparence et donc le contrôle exercé par le citoyen. Malgré qu'une transparence totale dans ce domaine soit quasiment impossible, les organes de renseignement tendent toujours vers une attitude excessive et obsessionnelle vis-à-vis du secret ou de la confidentialité. Cette confidentialité-là devrait être perçue davantage comme une exception, exigeant des justifications convaincantes et motivées avec une référence aux préjudices graves et spécifiques qui pourraient provenir de la diffusion publique des données, au lieu d'être uniquement basée sur le large, ambitieux et mal défini concept de « sécurité nationale ». Il nous faut de nouveaux critères de transparence construit sur le principe général de l'accès à l'information et des  standards ainsi nommés « les  principes de Tshwane » sur la sécurité nationale et le droit à l'information ,conduit sous l'égide de l'Open Society Justice Initiative.

Une autre recommandation est de renforcer les systèmes de contrôle nationaux. Cela devrait s'appliquer en termes d'autorisation « ex-ante » délivrée par un magistrat indépendant qui serait suffisamment qualifié dans l'appréciation juridique des droits de l'homme. En plus,  un  contrôle ex-post de leurs activités exercé par le Parlement ou d'autres organes d'expertise indépendants devrait lui aussi être renforcé en leur fournissant d'abord un accès complet à l'information (en ce compris l'information classée,  tout comme l'information en provenance d'autres services) mais aussi le pouvoir de conduire des inspections sur place avec un assortiment de pouvoirs d'investigation assez robuste et une indépendance garantie par les différents gouvernements. Ces mêmes organes devraient ensuite avoir l'obligation de rendre compte à leurs parlements respectifs. Toute cela serait de plus complété par des standards européens et directives minimales fondés sur de bonnes pratiques et recommandations faites par des organes internationaux (le Conseil, les Nations-Unies…) déterminant comment le contrôle des services de renseignement doit-il s'exercé ?
Enfin une dernière suggestion serait de permettre aux organes de contrôle européens de travailler en coordination pour conjurer certaines menaces et contrôler des réseaux par delà les frontières ; ces organes devraient coopérer sur un niveau international et ce dans le principal but de maintenir l'ensemble de ces services responsables. Une concertation mutuelle est utile et nécessaire. Il s'agirait de faire suite à la Déclaration de Bruxelles qui spécifie que : « nous reconnaissons le besoin et l'utilité d'un échange d'informations plus intensif entre les organes de contrôle parlementaires » bien que les résultats n'aient jamais été au niveau des espérances.  En dehors  d'une collaboration très occasionnelle avec des pays qui disposent d'un organe de contrôle externe, tels que les Pays-Bas, l'Allemagne ou encore la Norvège, on ne peut pas parler de coopération. Le rapport encourage ainsi à la création d'un « High-Level Group » ou « Groupe de haut niveau» qui pourrait déterminer en collaboration avec les différents parlements, de nouvelles étapes à prendre pour une meilleure collaboration dans le contrôle européen, incluant  la surveillance exercée par IntCen ou Sitcen (the European Intelligence Analysis Centre).Rappelons,concernant le Sitcen, (puisque les participants semblent l'avoir oublié,) qu'il y a quelques mois Pierre Vimont Secrétaire général du Service Extérieur a présenté Sitcen à LIBE , dans le détail et avec ses collaborateurs. 

Prochaine étape :
S'est tenu  lundi 9 décembre 2013 à Strasbourg, la 14ème audition de la commission d'enquête sur la surveillance de masse électronique. La Vice-Présidente de la Commission, Viviane Reding a été entendue au sujet des récentes communications faites par la Commission  sur les questions liées au transfert des données UE/USA ( Safe Harbour, le rapport sur le groupe transatlantique d'experts). La réunion s'est aussi focalisée sur la résolution 1954 (2013) du Conseil de l'Europe sur « la sécurité nationale et l'accès à l'information » et s'est conclu par la suite sur des présentations des différents documents de travail rédigés par les rapporteurs et rapporteurs fictifs. Un prochain article de Nea say sera consacré  au compte rendu de l'audition.

Géraldine Magalhães

Pour en savoir plus :

      -. European Parliament- Committee on Civil Liberties, Justice and Home Affairs, Working document 1 on the US and EU surveillance programmes and their impact on EU citizens fundamental rights, Rapporteur: Claude Moraes;

      -. European Parliament- Committee on Civil Liberties, Justice and Home Affairs, Working document 3, on the relation between the surveillance practices in the EU and the US and the EU data protection provisions, Rapporteur: Claude Moraes; Sophie In't Veld; Cornelia Ernst;

      -. European Parliament- Committee on Civil Liberties, Justice and Home Affairs, Working Document 5 on Democratic oversight of Member State intelligence services and of EU intelligence bodies », Rapporteur: Claude Moraes; Sophie In't Veld; Cornelia Ernst;

      -. ENISA-  "Défis  induits  par les technologies en matière de protection de la vie privée et des données en Europe », rapport du groupe de travail ad hoc « Respect de la vie privée et technologies » de l'ENISA (juillet 2008), https://www.google.be/#q=ENISA+:+3+recommandations+pour+la+protection+des+donn%C3%A9es

      -. ENISA- Communiqué de presse- « Nouveau rapport de l'Agence pour la cyber - sécurité de l'UE (ENISA) : trois bonnes recommandations pour sécuriser vos données personnelles à travers la cryptographie »,  04/11/ 2013 ; http://www.enisa.europa.eu/media/press-releases/trois-bonnes-recommandations-pour-securiser-vos-donnees-personnelles-a-