L'impact de la surveillance de la NSA sur les droits fondamentaux des citoyens européens
Le 20 septembre dernier, le Parlement européen a publié une note intitulée “The US National Security Agency (NSA) surveillance programmes (PRISM) and Foreign Intelligence Surveillance Act (FISA) activities and their impact on EU citizens’ fundamental rights”. Elle provient de la Commission Espace de liberté, de sécurité et de justice du Parlement. Je vous propose de vous résumer quelques points clés.
Le grand déballage a commencé le 5 juin 2013 quand le Washington Post et The Guardian ont publié une décision secrète rendue en application de la section 215 du Patriot Act. Un mois plus tard, le Parlement européen publiait une résolution condamnant cette surveillance et demandant des informations complètes à ce sujet au Gouvernement américain.
Limitations du 4e Amendement
Dans les années 70, une doctrine a été établie concernant les données personnelles nécessaires pour utiliser le service d’un tiers ou les données personnelles confiées à un tiers. La doctrine – très critiquée – considère que la personne qui a confié ces données n’a pas le droit de s’attendre au respect de leur vie privée et qu’aucun mandat n’est nécessaire pour leur obtention par une autorité. Cette doctrine constitue donc une limitation au 4e Amendement qui protège les citoyens américains contre les recherches et perquisitions sans mandat.
Interprétation très large du Patriot Act
Cependant, ce qui a provoqué la plus grande controverse est l’interprétation très large du Patriot Act. Selon la section 215 de ce dernier, seules les données qui sont appropriées pour une investigation autorisée peuvent être collectées. En 2006, le Patriot Act a été amendé dans l’intention de limiter la collecte de données, mais les autorités de surveillance ont réussi à l’interpréter comme une justification pour la collecte massive de données. On en déduit qu’elles ont mené ces collectes dans le but d’obtenir les soupçons nécessaires pour que la Foreign Intelligence Surveillance Court (FISC) ordonne effectivement les recherches.
Accès direct aux serveurs de certaines sociétés
On a accusé la NSA d’avoir un accès direct (une “backdoor”, ou porte dérobée) aux serveurs de Google, Microsoft, Yahoo, Facebook, et Apple notamment. Selon ces sociétés, de tels accès n’existent pas et si elles admettent avoir collaboré avec la NSA, ce n’est que dans le cas où une décision de justice les y contraignait. De plus, elles n’auraient jamais entendu parler de PRISM. Cependant, leurs déclarations peuvent ne pas refléter la vérité puisqu’elles sont soumises au secret selon les dispositions de la section 702 du Foreign Intelligence Surveillance Act, et que révéler ces informations est passible d’une peine d’emprisonnement pour espionnage ou trahison.
Non-application du 4e Amendement aux personnes non américaines à l’étranger
Grâce à PRISM, la NSA a pu se servir de deux bases de données. L’une stocke les données collectées pour cinq ans et sert le contre-terrorisme. L’autre est un gigantesque répertoire contenant des numéros de téléphone qui appartiendraient à des Américains. Si c’est le cas, un mandat devait être demandé pour l’interception des données. Dans le cas contraire, aucune autorisation spécifique ou supplémentaire n’était nécessaire. L’étude du Parlement européen constate que cet exemple est une illustration de la discrimination opérée par les États-Unis entre les droits constitutionnels de ses résidents nationaux et des autres. Cet exemple vient aussi mettre à mal le discours rassurant des États-Unis quant au fait qu’ils respectent la vie privée des citoyens d’autres pays.
Risques du cloud computing pour les non-Américains
La note du Parlement rappelle qu’il avait déjà souligné en 2012 que le cloud computing et le régime juridique américain qui s’y applique présentent une menace sans précédent pour la souveraineté des données des Européens. En particulier, les fournisseurs américains de service cloud ne peuvent pas se conformer à aucun des principes sur lesquels le Safe Harbour est basé, bien qu’ils vantent leur certification selon le Safe Harbour.
Recommandations
L’étude met en avant plusieurs recommandations, notamment :
- réduire l’exposition aux services américains et développer le cloud européen ;
- imposer aux services américains offrant leurs services en Europe d’afficher une notice avertissant les utilisateurs qu’ils peuvent être surveillés par le gouvernement américain pour n’importe quelle raison basée sur le droit américain ;
- révoquer les mécanismes pour l’export de données, comme le Safe Harbour ;
- réinstaurer l’article 42 que les lobbies américains ont réussi à faire sauter et qui avait pour but d’empêcher les pays tiers (hors Union européenne, ndr) d’accéder aux données personnelles dans l’Union européenne sans l’accord de l’autorité nationale de protection des données quand un tribunal étranger le demande ;
- protéger plus efficacement les lanceurs d’alertes (whistle-blowers), notamment en leur octroyant une immunité et l’asile ;
- créer un service central d’investigation pour les cas impliquant des flux massifs de données vers des pays tiers ;
- réformer les autorités nationales de protection des données en leur donnant plus de pouvoir et d’expertise technique.
Evidemment, vouloir échapper complètement à la surveillance de la NSA est probablement impossible, mais on peut en tout cas la rendre plus difficile…