Schrems II : comment les États-Unis veulent encadrer la « collecte en vrac » des données des Européens

Le Comité européen de la protection des données (CEPD, ou EDPB en anglais), qui regroupe l’ensemble des autorités de protection des données au niveau européen, vient de se prononcer sur la proposition faite par les États-Unis à la Commission européenne. Occasion de revenir sur ladite proposition.

Les transferts transatlantiques de données font l'objet, depuis des années, d'une bataille rangée. D'un côté, les défenseurs européens du droit à la vie privée, et donc du RGPD. De l'autre, les partisans de la « libre circulation des données », pour reprendre l'expression consacrée par la directive européenne de 1995 sur la protection des données personnelles, « relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données »

Répondant à l’invalidation du Privacy Shield en juillet 2020 par la Cour de justice de l’Union européenne (CJUE), suite à l'affaire dite « Schrems II », le président des États-Unis avait ainsi adopté le 7 octobre 2022 un nouveau cadre juridique « pour renforcer les garanties concernant la collecte et l’utilisation des données personnelles par les services de renseignement américains », rappelle la CNIL.

• Retour sur l'invalidation du Privacy Shield par la justice européenne

Cet Executive Order (EO) 14086 sur le renforcement des garanties pour les activités de renseignement électromagnétique (SIGINT) précisait les mesures prises par les États-Unis pour mettre en œuvre les engagements américains en vertu du cadre transatlantique de confidentialité des données annoncé par le président Biden et la présidente de la Commission européenne von der Leyen en mars 2022. 

Objectif : légaliser un business de 7 100 milliards de dollars

Les États-Unis s'étaient alors engagés à ce que les activités de renseignement électromagnétique (ROEM ou SIGINT, en anglais) soient « nécessaires et proportionnées » à la poursuite d'objectifs de sécurité nationale définis, garantissant « la confidentialité des données à caractère personnel de l'UE et à créer un nouveau mécanisme permettant aux citoyens de l'UE de demander réparation s'ils croient avoir été illégalement ciblés » : 

« Il s'agit de l'aboutissement de plus d'un an de négociations approfondies entre l'UE et les États-Unis à la suite de la décision de la Cour de justice de l'Union européenne de 2020 selon laquelle le cadre antérieur UE-États-Unis, connu sous le nom de Privacy Shield, ne satisfaisait pas aux exigences de la législation de l'UE. »

• Accord de principe pour remplacer le Privacy Shield
• Vers un nouvel accord pour le transfert des données entre l’UE et les États-Unis
• L’après Privacy Shield : le Comité européen de la protection des données précise ses points d’attention

L'objectif n'était pas tant de protéger les citoyens européens des grandes oreilles de la NSA que de sécuriser les transferts de données, « essentiels à la relation économique transatlantique [...] dans tous les secteurs de l'économie » : 

« En fait, plus de données circulent entre les États-Unis et l'Europe que partout ailleurs dans le monde, permettant la relation économique de 7,1 billions de dollars entre les États-Unis et l'UE [un « trillion » en anglais représente 1 billion en français (mille milliards), soit 7 100 milliards de dollars, NDLR]. En garantissant une base juridique durable et fiable pour les flux de données, le nouveau cadre transatlantique de confidentialité des données soutiendra une économie numérique inclusive et compétitive et jettera les bases d'une coopération économique plus poussée. »

Dans le cadre de ce « mécanisme juridique important » pour les transferts transatlantiques de données à caractère personnel, les États-Unis avaient pris « des engagements sans précédent » pour :

• renforcer les garanties de confidentialité et de libertés civiles régissant les activités de renseignement électromagnétique des États-Unis ;
• établir un nouveau mécanisme de recours doté d'une autorité indépendante et contraignante ; et
• améliorer sa surveillance rigoureuse et multidimensionnelle actuelle des activités de renseignement électromagnétique.

De la « collecte en vrac » à la « surveillance de masse »...

L'Executive Order 14086 prévoit donc « un mécanisme à plusieurs niveaux » afin de permettre aux citoyens et organisations des États européens estimant que leurs données personnelles auraient été recueillies par les services de renseignement électromagnétique en violation de la législation américaine applicable d'obtenir « un examen et une réparation indépendants et contraignants » de leurs allégations.

L'association noyb, à l'origine de l'affaire Schrems II et de l'invalidation du Privacy Shield, avait de son côté déploré que le nouveau décret « ne semble pas répondre » aux deux exigences fixées par la CJUE. Cette dernière avait en effet demandé que la surveillance américaine soit « proportionnée » au sens de l'article 52 de la Charte des droits fondamentaux (CFR), et qu'elle permette un « recours judiciaire », comme l'exige l'article 47 de la CFR. 

Or, résumait noyb, « la "surveillance de masse" continue et le "tribunal" n'est pas un vrai tribunal ». Cette divergence d'interprétation repose en fait sur un différend sémantique, comme nous l'expliquions dans notre série sur ce que les employés de la NSA ont le droit de faire, ou pas.

• Ce que peuvent faire les agents de la NSA (ou pas) 1/2
• Ce que peuvent faire les agents de la NSA (ou pas) 2/2

La communauté du renseignement américain et ses partenaires anglo-saxons des Fives Eyes (Royaume-Uni, Canada, Australie, Nouvelle-Zélande), parlent en effet de « bulk collection », que l'on pourrait traduire en français par « collecte en vrac », définie comme suit dans l'EO 14086 :

« "Collecte en vrac" désigne la collecte autorisée de grandes quantités de données de renseignement électromagnétique qui, en raison de considérations techniques ou opérationnelles, sont acquises sans recours à des discriminants (par exemple, sans utilisation d'identifiants ou de termes de sélection spécifiques). »

... de données dont la majeure partie ne sont pas exploitées

Michael Hayden, ancien directeur de la CIA et de la NSA, avait ainsi expliqué à la NPR, en réponse aux révélations Snowden, que la majeure partie des données collectées de la sorte n'étaient pas utilisées. Interrogé sur cette incongruité, il avait rétorqué que pour pouvoir trouver une aiguille dans une botte de foin, il faut d'abord récupérer la botte de foin. Ce qui ne signifie pas que la NSA surveille ou analyse l'intégralité des pailles.

Ses analystes ne sont en effet autorisés qu'à chercher des « sélecteurs de tâches » (« tasked selectors »), tels que des noms, n° de téléphone ou de port, associés à des tactiques, techniques et procédures (TTP) de cyberattaques émanant d'Advanced persistent threats (APT) par exemple (adresses e-mail ou IP, etc.). Ils doivent être approuvés par leurs supérieurs et limités à six catégories bien définies, comme le rappelle la section « Bulk collection of signals intelligence » de l'EO 14086 :

1. la protection contre le terrorisme, la prise d'otages et la détention d'individus par ou au nom d'un gouvernement étranger, d'une organisation étrangère ou d'une personne étrangère ;
2. la protection contre l'espionnage, le sabotage, l'assassinat ou d'autres activités de renseignement menées par, au nom ou avec l'aide d'un gouvernement étranger, d'une organisation étrangère ou d'une personne étrangère ;
3. la protection contre les menaces liées au développement, à la possession ou à la prolifération d'armes de destruction massive ou de technologies et de menaces connexes menées par, au nom ou avec l'aide d'un gouvernement étranger, d'une organisation étrangère ou d'une personne étrangère ;
4. la protection contre les menaces de cybersécurité créées ou exploitées par, ou contre les cyberactivités malveillantes menées par ou pour le compte d'un gouvernement étranger, d'une organisation étrangère ou d'une personne étrangère ;
5. la protection contre les menaces à l'encontre du personnel des États-Unis ou de ses alliés ou partenaires ; et
6. la protection contre les menaces criminelles transnationales, y compris le financement illicite et le contournement des sanctions liées à un ou plusieurs des autres objectifs identifiés à la sous-section (c)(ii) de la présente section.

La probabilité que les données « collectées en vrac » des citoyens européens soient surveillées (et a fortiori exploitées) par le renseignement américain apparaît dès lors extrêmement faible. Mais l'expression « surveillance de masse », improprement exploitée à l'envi depuis les révélations Snowden, suffit à semer le doute et la confusion.

Les USA « ne confirmeront ni n'infirmeront » quoi que ce soit

noyb reproche en outre au mécanisme de recours américain en deux étapes – la première étant confiée à un agent relevant du directeur du renseignement national et la seconde à une « Cour de révision de la protection des données » – de ne pas être « un vrai tribunal », mais « un organe relevant du pouvoir exécutif du gouvernement américain » :

« Les utilisateurs devront soulever des questions auprès d'un organisme national dans l'UE, qui à son tour soulèvera la question auprès du gouvernement américain. Le gouvernement américain ne confirmera ni ne niera que l'utilisateur était sous surveillance et informera seulement l'utilisateur qu'il n'y a pas eu de violation ou qu'il y a été remédié (voir section 3(c)(E) du décret). »

Ce qui, déplore noyb, rend impossible la possibilité de faire appel, d'avoir accès aux pièces du dossier, ainsi qu'à un jugement motivé, au profit d'une « réponse automatique », quels que soient vos arguments. L'EO 14086 précise en effet que les requérants, qu'ils aient été surveillés ou non, illégalement ou pas, recevront tous une réponse type se bornant à leur indiquer que  : 

« Soit l'examen n'a pas identifié de violations couvertes, soit la Cour de révision de la protection des données a rendu une décision exigeant des mesures correctives appropriées. »

Or, c'est aussi comme cela que procèdent, en France, les recours intentés auprès de la CNIL dès lors que l'on s'enquiert de figurer dans un fichier de renseignement, ainsi qu'auprès de la Commission nationale de contrôle des techniques de renseignement (CNCTR) afin de vérifier si l'on a été indûment surveillé par un service de renseignement.

Ni la CNIL ni la CNCTR ne détaillent aux requérants s'ils ont été surveillés, se bornant à vérifier que les services de renseignement ont respecté le cadre légal, et à les mettre en conformité si tel n'avait pas été le cas. Un déni plausible popularisé par la fameuse « Glomar response » de la CIA, qui ne peut « ni confirmer ni infirmer » quoi que ce soit.

We can neither confirm nor deny that this is our first tweet.

— CIA (@CIA) June 6, 2014

Ils ne permettent pas plus d'accéder aux pièces du dossier, afin d'éviter que les personnes qui ont effectivement été surveillées n'en soient informées, mais aussi parce que ces éléments ne peuvent être déclassifiés à la demande d'un particulier. Ils sont réservés aux seuls agents du renseignement habilités ayant « besoin d'en connaître ».

Et s'il est possible d'intenter un recours, ce dernier sera examiné par le Conseil d'État, et donc la justice administrative, et non par la justice judiciaire, s'agissant d'autorités administratives indépendantes (AAI), et non de juges indépendants.

• 87 588 techniques de renseignement, 22 958 personnes surveillées
• Comment s'organise le contrôle des techniques de renseignement
• Les irrégularités constatées par la CNCTR

Nous reviendrons, dans un second article, sur l'opinion du Comité européen de la protection des données (CEPD, ou EDPB en anglais), qui regroupe l’ensemble des autorités de protection des données au niveau européen, au sujet de cette proposition.

• Schrems II : le Comité européen de la protection des données se félicite de la proposition états-unienne