Un article paru dans Le Monde diplomatique de janvier 2015 a retenu toute mon attention. Grâce aux lanceurs d’alertes, depuis quelque temps nous savons pertinemment être lus et écoutées par diverses sources grâce aux différentes technologies que nous utilisons quotidiennement. Pour le moment ces écoutes sont l’œuvre d’organismes d’État (même s’ils sont plus ou moins privés) semblent nous laisser l’impression d’une certaine liberté d’actes et de paroles. Cette pseudo liberté n’est toutefois qu’apparente, il faut lire l’article de Jérôme Thorel pour s’en rendre compte.
Je vous conseille de lire l’article dans son intégralité en vous procurant le mensuel. Bonne lecture. MC
Le «droit à l’oubli» dans les moteurs de recherche a été consacré par une décision très commentée de la Cour de justice de l’Union européenne en mai 2014. Un mois plus tôt, la même juridiction rendait dans l’indifférence un arrêt portant sur une autre dimension du droit à la vie privée: celui de pouvoir s’exprimer et se déplacer physiquement sans laisser de traces numériques.
« Une ingérence dans les droits fondamentaux de la quasi-totalité de la population européenne», d’une si « vaste ampleur » qu’elle « doit être considérée comme particulièrement grave ». En effet, « la conservation des données et l’utilisation ultérieure de celles-ci sont effectuées sans que l’abonné ou l’utilisateur inscrit en soit informé », ce qui génère « le sentiment que [sa] vie privée fait l’objet d’une surveillance constante ». Cette condamnation n’émane pas d’un lanceur d’alerte en possession de documents explosifs sur les programmes américains d’espionnage. Mais de la Cour de justice de l’Union européenne (CJUE) dans un arrêt du 8 avril 2014 déclarant « invalide » la directive européenne sur la conservation des données électroniques, adoptée en mars 2006 (1).
Rédigé au nom de la lutte antiterroriste, ce texte organisait la fin de l’anonymat des communications numériques en exigeant que les opérateurs téléphoniques et les fournisseurs d’accès à Internet conservent pendant une période minimale de six mois, et tiennent à la disposition des autorités judiciaires, tout élément susceptible d’identifier quiconque, à tout moment et quels que soient les supports utilisés (téléphone, Internet, à partir de terminaux fixes ou mobiles).
L’arrêt de la CJUE revient à interdire l’utilisation à des fins judiciaires des factures détaillées de téléphone dressant la liste des correspondants d’un abonné (« fadettes ») — un acte courant dans toute information judiciaire. Que les syndicats de policiers se rassurent, la décision du 8 avril n’aura aucune conséquence sur leurs pratiques : la Cour n’a pas le pouvoir de contraindre les Etats membres dans leurs pratiques pénales. L’invalidation empêche néanmoins que le texte incriminé serve de socle à de nouvelles législations nationales. Et pèsera sur les débats relatifs au caractère privé des données personnelles.
Une liberté rognée par les dérogations
Si elle ne viole pas le secret des correspondances, à la différence des «écoutes», l’accumulation de traces numériques s’avère bien plus intrusive qu’il n’y paraît. Agrégées et analysées, ces informations peuvent « permettre de tirer des conclusions très précises concernant la vie privée des personnes dont les données ont été conservées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci », relève la CJUE. (…)
Entre les principes européens édictés en 1950 par la Convention européenne des droits de l’homme (CEDH) sur le « droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance » (article 8) et la loi pénale en vigueur dans chaque pays signataire, les droits dits fondamentaux se sont érodés sous l’effet des limitations et dérogations. Pourtant, une première résolution du Conseil de l’Europe, adoptée en janvier 1970, rappelle que « l’individu ne doit pas être rendu totalement vulnérable par l’accumulation d’informations concernant sa vie privée » face aux « banques régionales, nationales ou internationales de données informatiques », publiques ou privées. Mais la protection reste floue : « Ces centres doivent enregistrer uniquement le minimum de renseignements nécessaires » (2).
La notion de « donnée personnelle » (personal data, « information nominative » en droit français) apparaît dix ans plus tard comme prolongement technique de l’identité d’une personne : toute information concernant une personne physique identifiée ou identifiable (3). De nouvelles notions émergent, comme le droit d’information, d’accès, de rectification et d’effacement de ses données. La première grande directive européenne sur la protection des données personnelles et leur «libre circulation» (directive 95/46/CE du 24 octobre 1995) exclut de son champ d’application les informations collectées dans un cadre policier, militaire ou de renseignement ; elle encadre les conditions du traitement automatisé ainsi que le transfert des données à des pays tiers. Mais les limitations qu’elle institue seront contournées dès 2000 au bénéfice des grandes sociétés numériques américaines (4).
Au début des années 2000, États membres et Commission tentent d’imposer aux opérateurs la conservation des fameuses données de trafic à des fins de police préventive (5). Le Parlement européen résiste, mais tout se précipite avec les attentats du 11 septembre 2001. (…)
En France, les députés ajoutent dans l’urgence un «paquet» de dispositions à la loi sur la sécurité quotidienne (LSQ) promulguée le 15 novembre 2001. Le texte reprend mot pour mot les termes discutés au niveau européen (les opérateurs « effacent ou rendent anonymes » les données de trafic), pour les contredire dans l’alinéa suivant (« il peut être différé pour une durée maximale d’un an aux opérations tendant à effacer ou à rendre anonymes certaines catégories de données techniques ») (6). Ces mesures d’exception initialement limitées à deux ans seront reconduites à quatre reprises par simples amendements — la dernière loi sur le terrorisme de M. Manuel Valls de décembre 2012 les prolonge à nouveau de trois ans.
Insensiblement, la charge de la preuve s’est renversée: la protection de la confidentialité se résume à un simple droit de regard sur sa vie capturée. (…) Deux arrêts récents de la Cour européenne des droits de l’homme ont sanctionné la France à ce sujet (7). La loi française, encore elle, autorise en effet le procureur à juger, seul, de l’opportunité de rendre au justiciable son anonymat judiciaire.
L’invalidation du texte de 2006 souligne une nouvelle fois la contradiction entre les principes européens et leur application. « La directive est sans nul doute la mesure la plus intrusive pour la vie privée que l’Union européenne ait jamais adoptée », expliquait déjà, fin 2010, M. Peter Hustinx, le contrôleur européen de la protection des données, un organe consultatif de l’Union. Des vingt-huit pays de l’Union contraints de transposer ces mesures de surveillance de masse dans leurs législations — s’il ne les avaient déjà adoptées après les attentats du 11-Septembre —, un tiers ont par la suite jugé ces pratiques illégales (8). (…)
Jérôme Thorel Journaliste. Auteur d’Attentifs ensemble! L’injonction au bonheur sécuritaire, La Découverte, Paris, 2013.
- Note
- Arrêt de la CJUE, grande chambre, 8 avril 2014, relatif à la directive 2006/24/CE du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications.
- Résolution 428 portant déclaration sur les moyens de communication de masse et les droits de l’homme, Strasbourg, 23 janvier 1970.
- Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, Strasbourg, 28 janvier 1981.
- Dispositif « Safe Harbor », négocié en juillet 2000 par les Etats-Unis et l’Union eurropéenne.
- Proposition de directive sur le traitement des données à caractère personnel dans le secteur des communications électroniques, 25 août 2000.
- Article L34-1 du code des postes et des communications électroniques.
- Jugements du 18 avril 2013 concernant le Fichier automatisé des empreintes digitales (FAED) et du 18 septembre 2014 sur le Système de traitement des infractions constatées (STIC).
- Allemagne (en 2010), Autriche (2014), Bulgarie (2008), Chypre (2011), République tchèque (2011), Roumanie (2009 et 2014), Slovaquie (2014) et Slovénie (2014). Plaintes en cours en Belgique, Hongrie, Irlande et Pologne. Source : collectif allemand AK Vorrat (http:// com/f4d4ne).