Les CNIL européennes réagissent (enfin) à Prism et à la surveillance de masse

Près de dix mois après le début de « l’affaire Snowden », le G29 vient de publier un avis dans lequel il considère que la surveillance massive et secrète des citoyens européens est contraire aux droits fondamentaux de l’Union. L’institution se place dans le sillon de la CNIL, en recommandant notamment d’agir à l’échelon international, que ce soit au travers d’accords entre États ou bien encore via la législation européenne relative aux données personnelles. 

Été 2013. Alors que le nom d’Edward Snowden est désormais bien connu du grand public, que les révélations sur Prism ou XKeyscore se succèdent depuis le début du mois de juin, la réplique des autorités européennes de protection des données personnelles réunies au sein du « G29 » se fait attendre. Ce n’est en effet que le 13 août que le regroupement des « CNIL » de l’UE interpelle la Commission européenne, en lui demandant une enquête approfondie, et se saisit pleinement du problème (voir notre article).

Des activités de surveillance contraires aux droits fondamentaux européens

Jeudi dernier, près de dix mois après le début de l’affaire Snowden, le G29 a finalement adopté un avis concernant la surveillance de masse des citoyens européens (PDF). À la lumière des différentes révélations de ces derniers mois, les CNIL concluent que « les programmes de surveillance secrète, massive et sans distinction sont incompatibles avec nos droits fondamentaux, et ne sauraient être justifiés par la lutte contre le terrorisme ou d'autres considérations de sécurité publique ».

L’institution poursuit en affirmant que de telles atteintes sont inacceptables dans une société démocratique, sauf si les mesures de surveillance sont « strictement nécessaires et proportionnées ». À cet égard, elle ajoute : « La façon dont les services de renseignement exploitent les données relatives à nos communications quotidiennes ainsi que le contenu de ces communications souligne qu’il est nécessaire de fixer des limites à cette surveillance ». L’avis du G29 contient ainsi plusieurs recommandations visant à limiter l’ampleur et l’incompatibilité des programmes de surveillance au regard des droits fondamentaux de l’Union européenne.

Le G29 réclame davantage de transparence de la part des États

Tout d’abord, les États Membres de l'Union sont priés de bien vouloir être plus transparents s’agissant des activités de surveillance de leurs services de renseignement. Le G29 préférerait que cette ouverture soit publique, ou, à défaut, qu’elle se fasse avec les parlementaires et l’autorité nationale de protection des données personnelles (en France, la CNIL). L’institution se garde cependant de délimiter le périmètre et les contours exacts de cette transparence...

« Les individus doivent être informés des conséquences de leur utilisation de services de communication en ligne ainsi que de la façon de mieux se protéger » poursuivent les CNIL. Ces dernières souhaiteraient que les sociétés collectant des données (Google, Facebook, etc.) soient elles aussi plus transparentes, en informant davantage leurs utilisateurs. Le G29 ajoute ici qu’il compte organiser durant le second semestre 2014 un débat sur le thème de la surveillance, afin notamment de mieux informer et conseiller les citoyens européens.

Menace de suspension des collectes sur le fondement de la CEDH

Le G29 donne ensuite un avertissement en expliquant que les programmes de surveillance étatiques sont susceptibles d’être examinés par la Cour européenne des droits de l’homme, au titre notamment de potentielles violations du droit au respect de la vie privée - tel que consacré par l’article 8 de la CEDH. Le Royaume-Uni a d’ailleurs déjà été traîné devant la cour de Strasbourg l’automne dernier par plusieurs associations britanniques, sur le fondement de ces dispositions. Les CNIL européennes demandent donc aux États-membres de bien vouloir respecter les règles actuellement en vigueur. Elles rappellent au passage qu’elles peuvent suspendre au niveau national des collectes de données, dès lors qu’en examinant un programme de surveillance apparaissent de probables violations de la CEDH ainsi que des risques imminents de « préjudice grave » pour les personnes concernées.

Pour des accords internationaux et une adoption du règlement « données personelles »

Afin de limiter le transfert de données collectées par des services de renseignement vers des pays tiers, l’institution plaide pour la signature de textes juridiquement contraignants au niveau international. Et ce aussi bien entre un État membre et un autre pays (les États-Unis, le Japon, etc.) qu’entre États-membres de l’Union européenne. Des accords internationaux sont également mis en avant comme opportunité d’apporter, au moins sur le papier, des gages de transparence mutuelle et de respect des droits fondamentaux des citoyens européens.

Enfin, le G29 réclame une adoption rapide du projet de règlement européen relatif aux données personnelles. L’institution appuie d’ailleurs la version adoptée en mars dernier par le Parlement, et notamment son nouvel article 43a « prévoyant l'obligation d'informer les individus lorsqu'il a été donné accès à leurs données à une autorité publique au cours des douze derniers mois », comme le souligne la CNIL.