Le programme américain de surveillance Prism continue de provoquer des échos. Alimenté par les révélations successives des documents d’Edward Snowden, le scandale fait réagir de nombreux politiques. C’est désormais au tour du G29, le regroupement des CNIL européennes, d’annoncer qu’une enquête indépendante sera menée pour évaluer les conséquences de la surveillance américaine sur l’Union européenne.
Crédits : sburke2478, licence Creative Commons
Depuis environ deux mois, la NSA (National Security Agency) est sous le feu des projecteurs. Sa surveillance d’internet et des communications téléphoniques a largement été dépeinte par Edward Snowden, réfugié actuellement en Russie où il dispose d’un asile politique temporaire (au grand dam des États-Unis). La diplomatie internationale s’est d’ailleurs crispée à plusieurs reprises, notamment lorsque la France et le Portugal ont refusé que l’avion présidentiel bolivien traverse leur espace aérien : des soupçons pesaient sur la présence d’Edward Snowden car le président Evo Morales rentrait d’un voyage à Moscou.
Le G29 interpelle Viviane Reding
En Europe, le scandale Prism a provoqué diverses réactions, tantôt indignées comme dans le cas de la commissaire Viviane Reding, tantôt plus molles, comme pour Angela Merkel et François Hollande. Mais c’est désormais le G29, ou « Groupe de travail Article 29 sur la protection des données », qui se penche sur la surveillence américaine.
Le G29 a interpelé via une lettre la commissaire Viviane Reding le 13 août au sujet du programme Prism. Le groupe s’y dit très inquiet et soucieux d’examiner de plus près l’impact de cette surveillance sur la vie privée des utilisateurs. Le G29 trouve plus spécialement « alarmantes les dernières révélations au sujet de XKeyscore, qui permet supposément la collecte et l’analyse du contenu des communications internet à travers le monde ». Le groupe estime en outre que même si les États-Unis ont donné quelques explications sur Prism, de trop nombreuses questions restent en suspens.
Le devoir d'indépendance
Le G29 rappelle dans son courrier qu’un groupe de travail a été établi conjointement avec les États-Unis pour se pencher justement sur l’impact de cette surveillance. Les CNIL européennes désirent néanmoins enquêter de leur côté, de manière totalement indépendante, estimant qu’il s’agit de leur « devoir ». Le groupe s’intéresse en particulier à plusieurs points bien précis, à commencer par le Patriot Act : quelles sont exactement les données collectées grâce à la section 215 de cette loi anti-terroriste et à la fameuse section 702 de la loi FAA (FISA Amendment Act). Le G29 indique à ce sujet avoir lu dans l’actualité que les métadonnées et le contenu des non-citoyens américains étaient collectés, mais aucune précision sur ces données ou sur les éventuels garde-fous n’a été fournie.
Deuxième point soulevé par le groupe : la position géographique des données. On sait depuis le début que la loi américaine permet à la NSA de surveiller les données étrangères dès lors qu’elles sont considérées comme à l’intérieur des frontières des États-Unis. De fait, le G29 s’interroge et « aimerait savoir quand les autorités américaines considèrent que les données personnelles se trouvent à l’intérieur des États-Unis, plus spécialement en tenant compte de l’utilisation croissante d’internet pour le traitement des données et où la plupart des informations sont stockées dans le cloud ». Le souci est que les données sont en perpétuel déplacement et le G29 fait remarquer que la législation européenne ne s’applique pas sur les données qui transitent par l’Union dès lors qu’elles sont considérées comme transitoires. En suivant le même raisonnement, la NSA, la CIA et le monde du renseignement américain ne devraient donc pas exercer leur surveillance sur les informations qui ne font pas que « passer ».
Des lumières demandées sur le rôle exact de la FISC
Le G29 est en outre très intéressé par le fonctionnement exact de la FISC (Foreign Intelligence Surveillance Court), le tribunal secret qui délivre les mandats de surveillance, et donc les autorisations pour les requêtes des analystes de la NSA. Le groupe aimerait en particulier savoir si ces fameux mandats sont suffisamment précis dans leur ciblage, et sous quelles conditions ils sont créés. Il s’inquiète en effet de la conformité des ordres de surveillance avec les principes de précaution et de minimisation : ne prélever que les données servant un objectif précis en prenant garde à ne pas amasser d’informations tierces dans la masse.
Parmi les autres points intéressant le G29, on trouve la conformité des programmes de surveillance avec le droit international et européen. Cela inclut aussi bien le Pacte international relatif aux droits civils et politiques (PIDCP) que la convention sur le cybercrime du Conseil de l’Europe. En outre, le groupe aimerait savoir quel recours peuvent avoir les utilisateurs européens puisqu’il ne semble y avoir, à l’heure actuelle, aucun moyen d’échapper à la moulinette de Prism.
La CNIL s'inquiète également de la situation française
Enfin, le G29 se montre très clair : même si Prism focalise l’attention des médias et du grand public, il n’est pas le seul programme de surveillance à avoir d’éventuelles répercussions sur le sol européen. Le groupe cite ainsi Tempora au Royaume-Uni comme exemple, mais n’aborde pas le cas de la France et du programme secret de la DGSE.
Un élément repris dans le communiqué de la CNIL hier : « Les autorités de protection des données européennes vont également s'intéresser à l'existence de programmes similaires dans les pays de l'Union européenne. Il importe en effet de s'assurer que les États européens sont respectueux du droit fondamental à la vie privée, et notamment de la protection des données personnelles et du secret des correspondances des citoyens et résidents européens ».
La CNIL en profite pour indiquer qu’elle a elle-même déjà constitué un groupe de travail pour tout ce qui touche à Prism. La Commission doit d’ailleurs présenter le mois prochain un premier bilan de son travail. Et si le G29 n’abordait pas le cas spécifique de la France, la CNIL, elle, le fait : elle indique avoir « saisi le gouvernement afin que des précisions lui soient apportées sur un éventuel programme français de collecte massive et automatique de données, qui, s'il existait, serait réalisé en dehors du cadre juridique prévu par le législateur ». Un programme révélé pour rappel par le Monde début juillet.
