Le 31 mars dernier, Isabelle Falque-Pierrotin – présidente de la Commission Nationale Informatique et Libertés (CNIL) chargée de la protection des données en France ainsi que du Groupe de travail « article 29 » ou G29 – a fait valoir que l’affaire Edward Snowden avait révélé que les technologies rendent maintenant possible la surveillance de masse des personnes. A l’occasion d’une réunion de la commission libertés civiles, justice et affaires intérieures (LIBE) du Parlement européen, elle a présenté le document de travail du G29 et souligné que cette surveillance de masse s’est « inscrite dans notre vie quotidienne », ce qui la rend, de fait, plus difficile à encadrer qu’un Big Brother qui serait extérieur. Le risque est alors celui d’une ère de surveillance où chacun peut être considéré comme un coupable potentiel dans la mesure où la masse de données collectées, par les services de renseignement notamment, concerne aussi des personnes qui n’ont rien à voir avec le terrorisme ou quelconque forme de criminalité.
Qu’est-ce que le G29 ? Comme son nom l’indique, ce groupe de travail a été institué par l’article 29 de la Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Cet article est formulé comme suit :
Article 29
Groupe de protection des personnes à l’égard du traitement des données à caractère personnel
- Il est institué un groupe de protection des personnes à l’égard du traitement des données à caractère personnel, ci-après dénommé «groupe».
Le groupe a un caractère consultatif et indépendant.
- Le groupe se compose d’un représentant de l’autorité ou des autorités de contrôle désignées par chaque État membre, d’un représentant de l’autorité ou des autorités créées pour les institutions et organismes communautaires et d’un représentant de la Commission.
Chaque membre du groupe est désigné par l’institution, l’autorité ou les autorités qu’il représente. Lorsqu’un État membre a désigné plusieurs autorités de contrôle, celles-ci procèdent à la nomination d’un représentant commun. Il en va de même pour les autorités créées pour les institutions et organismes communautaires.
- Le groupe prend ses décisions à la majorité simple des représentants des autorités de contrôle.
- Le groupe élit son président. La durée du mandat du président est de deux ans. Le mandat est renouvelable.
- Le secrétariat du groupe est assuré par la Commission.
- Le groupe établit son règlement intérieur.
- Le groupe examine les questions mises à l’ordre du jour par son président, soit à l’initiative de celui-ci, soit à la demande d’un représentant des autorités de contrôle ou de la Commission.
Le G29 a été créé pour promouvoir une mise en œuvre homogène de ladite directive, visant « la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel », sans pour autant « restreindre ni interdire la libre circulation des données à caractère personnel entre États membres ». Au-delà de cette mission, le G29 donne à la Commission un avis sur le niveau de protection dans les États membres de l’Union européenne et dans les pays tiers, ainsi que sur les codes de conduite élaborés au niveau communautaire. De plus, le groupe peut émettre des recommandations « sur toute question concernant la protection des personnes à l’égard du traitement de données à caractère personnel dans la Communauté », contribuant ainsi à l’élaboration des normes européennes. Le G29 se réunit à Bruxelles en séance plénière tous les deux mois environ. Sa directrice a pour mission, entre autres, de présenter et défendre la position du G29 dans les conférences européennes et internationales. C’est à ce titre qu’elle a présenté le document de travail du groupe devant les eurodéputés de la commission LIBE le 31 mars.
Protéger les droits et libertés fondamentaux. Lors de son intervention, Isabelle Falque-Pierrotin a rappelé que le droit à une vie privée est un droit fondamental. La restriction de ce droit doit être exceptionnelle et proportionnée. Une surveillance massive, secrète et indifférenciée n’est pas conforme aux traités et textes européens, outre le fait qu’elle ne soit éthiquement pas acceptable, a-t-elle précisé. Les métadonnées doivent être protégées au même titre que les données personnelles. Ces métadonnées sont les traces que nous laissons en téléphonant, en nous connectant à internet ou en utilisant notre carte bancaire. Par exemple, les métadonnées téléphoniques détaillent les appels et messages reçus, la date et l’heure ainsi que l’antenne GSM à laquelle le téléphone était connecté. La prolifération des smartphones a conduit symétriquement à la multiplication des métadonnées disponibles. La présidente du G29 a rappelé la nécessité d’adopter un texte apportant un degré supérieur de protection, qui traiterait également de la question de l’accès des services de renseignement américains aux données des citoyens européens. A l’heure actuelle, il n’y a « pas de base légale pour les transferts internationaux de données » dans le cadre des activités de renseignement. Les révélations d’Edward Snowden ont mis en lumière la faiblesse des bases légales liant l’Union européenne aux États-Unis. A cet égard, pour la présidente de la CNIL, le principe de transparence quant à la collecte et au traitement des données doit être renforcé. Il s’agit d’éviter qu’une autorité étrangère puisse avoir un accès direct aux données des Européens. Pour ce faire, Isabelle Falque-Pierrotin juge « crucial que l’on ait cet accord avec les États-Unis sur la question de la surveillance ». Pour l’heure, seuls les accords PNR et Swift TFTP ont été conclus pour lutter contre le terrorisme. Les accords PNR (Passenger Name Record) ou registres des passagers aériens contraignent les compagnies aériennes à transmettre les données concernant leurs passagers. En 2012, l’Union a signé un accord PNR avec les États-Unis. Le Swift-TFTP (Terrorist Finance Tracking Program) est un programme de surveillance du financement du terrorisme qui lie les deux partenaires transatlantiques depuis le 1er août 2010 et permet le transfert de données bancaires. Parallèlement, le cadre Safe Harbour ou « Sphère de sécurité » permet aux entreprises européennes de transférer certaines données personnelles d’Européens aux compagnies américaines, sous réserve que le niveau de protection adéquat soit garanti. Ces accords sectoriels ne fournissent pas de base légale au transfert de données entre l’Union européenne et les États-Unis. Madame Falque-Pierrotin s’est interrogée sur la possibilité d’un cadre général pour la collecte des données personnelles par les services de renseignement.
La difficulté principale rencontrée par le groupe « article 29 » est de faire prendre conscience aux citoyens européens du risque que crée la société de surveillance dans laquelle nous évoluons à présent et, a fortiori, de la nécessité de l’encadrer. Ce sujet brûlant qui mêle impératifs de sécurité et respect des droits fondamentaux a fait l’objet d’une résolution du Parlement européen en mars 2014 sur le programme de surveillance de la NSA, les organismes de surveillance dans divers États membres et les incidences sur les droits fondamentaux des citoyens européens et sur la coopération transatlantique en matière de justice et d’affaires intérieures. Par cette résolution, le Parlement a adopté une perspective différente de celle des États-membres de l’Union qui, pour beaucoup, considèrent que ces programmes de surveillance de masse sont nécessaires à la lutte contre le terrorisme. Les eurodéputés ont considéré que cela ne pouvait en aucun cas justifier l’existence de programmes de surveillance de masse non ciblés, secrets, voire illégaux. Ils réfutent également l’idée selon laquelle toutes les questions liées aux programmes de surveillance de masse relèveraient strictement de la sécurité nationale et, dès lors, de l’unique compétence des États membres. La discussion et l’action au niveau de l’Union européenne sont nécessaires. Pour cette raison, le Parlement européen a demandé aux autorités américaines et aux États membres de l’Union européenne d’interdire les activités de surveillance de masse aveugle. Les préconisations du G29 vont donc dans le même sens lorsque la déclaration commune de décembre 2014 indique : « Du fait de son histoire et de sa culture communes, l’Europe doit faire entendre sa voix sur les moyens d’assurer le respect des droits fondamentaux, parmi eux la protection de la vie privée et la protection des données à caractère personnel, sans faire obstacle ni à l’innovation, ni au besoin d’assurer la sécurité de nos sociétés. » En attendant, peut-être qu’une vérification des paramètres de votre smartphone ne serait pas une mauvaise idée.
Rappelons que lors de la précédente législature le Parlement européen a adopté une résolution non législative sur la base du rapport de Claude Moraes (cf. « Pour en savoir Plus », rapport resté sans suite à ce jour.
Charline Quillérou
Pour en savoir plus
-. DIRECTIVE 95/46/CE DU PARLEMENT EUROPÉEN ET DU CONSEIL du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:fr:HTML (FR)
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:en:HTML (EN)
CNIL, « Le G29, groupe des « CNIL » européennes »
http://www.cnil.fr/linstitution/international/g29/
EU-LOGOS, « Enfin le feu vert pour le projet d’accord Swift/Tftp d’échanges de données bancaires entre les États-Unis et l’UE ! Le Parlement européen donne son avis conforme ! Un accord provisoire ? Le dernier mot n’est pas encore dit et ne va-t-il pas rester aux juges ? Bilan. » 08.07.2010
-. http://www.eu-logos.org/eu-logos_nea-say.php?idr=4&idnl=1613&nea=90&lang=fra&lst=0
2000/520/CE: Décision de la Commission du 26 juillet 2000 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la «sphère de sécurité» et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis d’Amérique
http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32000D0520&from=en (FR)
http://eur-lex.europa.eu/legal-content/en/ALL/?uri=CELEX:32000D0520 (EN)
-. Résolution du Parlement européen 2013/2188(INI) – 12/03/2014 Texte adopté du Parlement, lecture unique http://www.europarl.europa.eu/oeil/popups/summary.do?id=1342393&t=d&l=fr (FR)
http://www.europarl.europa.eu/oeil/popups/summary.do?id=1342393&l=en&t=D (EN)
-. CNIL, 8 décembre 2014, Déclaration commune des autorités européennes de protection des données réunies au sein du groupe de l’article 29
http://www.cnil.fr/linstitution/international/g29/edgf14/
Le Monde, 26 juin 2013, « Il est temps de parler des métadonnées » http://www.lemonde.fr/sciences/article/2013/06/27/il-est-temps-de-parler-des-metadonnees_3437125_1650684.html#jixCec6qqB5EuKGb.99
Objectif : mettre un terme à l’arbitraire, rapport de Claude Moraes ; article de Eulogos par Nea say http://europe-liberte-securite-justice.org/2014/01/16/surveillance-de-masse-mettre-un-terme-a-larbitraire-objectif-du-projet-de-rapport-du-depute-europeen-britannique-claude-moraes/