Mise à jour de la base de données, veuillez patienter...

Lettre ouverte signée par des associations citoyennes du monde entier contre la proposition de loi française relative à la surveillance internationale.

Mesdames, Messieurs les députés,

Les organisations de défense des droits civiques signataires de la présente lettre appellent les parlementaires français à rejeter la proposition de loi relative aux mesures de surveillance des communications électroniques internationales. Cette proposition met en péril le droit à la vie privée des individus à travers le monde.

Avec cette nouvelle proposition de loi, l'Assemblée Nationale est sur le point d'adopter de nouvelles mesures disproportionnées de surveillance des communications internationales. Basée sur le principe de collecte massive des données, la proposition de loi vise à légitimer les pratiques contraires aux droits civils et humains mises en place par les services de renseignement, et notamment aux États-Unis et au Royaume-Uni tels que révélés par Edward Snowden. Dans la mesure où une grande partie du trafic Internet mondial transite à travers les câbles sous-marins français, cette loi intégrerait la France dans le système de surveillance mondial.

Cette proposition s'ajoute à celle sur le renseignement adoptée en juin 2015 qui autorise, entre autres, le Gouvernement à surveiller sans autorisation judiciaire les conversations téléphoniques et électroniques des usagers. La loi sur le renseignement autorise également l'installation de boites noires sur les infrastructures des fournisseurs d'accès à Internet afin de collecter massivement les méta-données de millions de personnes innocentes. En juillet, le Conseil constitutionnel avait censuré une mesure sur la surveillance internationale faisant partie de cette loi, et la nouvelle proposition cherche à réintégrer le programme de surveillance internationale. Cette proposition doit être votée le 1er octobre par l'Assemblée nationale.

Nous sommes particulièrement inquiets des éléments suivants :

• la proposition permettrait une surveillance de masse de millions de personnes en France et à l'étranger;
• les mécanismes de contrôle sont insuffisants et manquent d'indépendance. La collecte massive de données sera conduite sous la seule autorité du Premier ministre, avec un contrôle uniquement a prosteriori par l'autorité de contrôle (Commission nationale de contrôle des techniques de renseignement, CNCTR). Ces mesures ne permettent pas de garantir la protection de la vie privée et le respect des droits et libertés;
• la période prévue pour la conservation des données est injustifiée, excessive (un an pour le contenu, six ans pour les méta-données et huit ans pour les communications chiffrées) et en contradiction avec les principes posés par la Cour de Justice de l'Union européenne dans son arrêt du 8 avril 2014 invalidant la directive européenne sur la conservation des données;
• la finalité des mesures est beaucoup trop large, comme par exemple « les intérêts essentiels de la politique étrangère » et « les intérêts économiques et scientifiques essentiels de la France »;
• les termes flous laissent la possibilité d'utiliser de nouvelles technologies de surveillance qui auraient pour conséquence une extension du champ d'application de la proposition de loi sans la participation démocratique des institutions;
• seuls les avocats, journalistes, parlementaires et magistrats établis en France pourront théoriquement bénéficier d'une forme de protection, bien que la nature privée ou professionnelle de leur communication ne pourra être établie qu'après le traitement des données. De plus, la loi ne les protège pas d'une collecte massive et d'une exploitation de leurs communications.

Nous appelons ainsi le Parlement français à rejeter cette proposition de loi sur la surveillance internationale afin de protéger les droits fondamentaux de toute personne dans le monde. Le principe d'universalité des droits est un principe fondamental, en particulier au sein de l'Union européenne. Nous vous appelons à renforcer les garde-fous en faveur des libertés et droits fondamentaux, en rejetant cette proposition.

Merci.

Signataires :

Access
Alternative Informatics Association
Amnesty International
AKVorrat.at (Working Group on Data Retention Austria)
Article 19
Association for Progressive Communications
Australian Privacy Foundation
Bits of Freedom
Code Red
Chaos Computer Club (CCC)
CPJ (Committee to Protect Journalists)
Digitale Gesellschaft e. V.
Digital Rights Foundation
EFF
Electronic Frontier Finland
European Digital Rights (EDRi)
FIDH
FITuG
Global Voices AdVox
Icelandic Modern Media Initiative IMMI
Initiative für Netzfreiheit
IT-Political Association
OpenMedia.org
Panoptykon Foundation
Pen International
Privacy International
Reporters sans frontières (Reporter Without Borders)
Vrijschrift
World Wide Web Foundation
Xnet

Paris, 16 septembre 2015 — Les principales questions en suspens du règlement européen sur la protection des données personnelles seront discutées les 16 et 17 Septembre lors de la prochaine réunion du trilogue. Les dernières propositions du Conseil visent clairement à une restriction des garanties pour les utilisateurs au profit des lobbys privés.

Le trilogue prévu les 16 et 17 septembre se concentrera sur les propositions clés du règlement sur la protection des données telles que les principes de protection (Chapitre II), les droits des utilisateurs (Chapitre III) et les règles concernant les contrôleurs et le traitement. Ce règlement est censé remplacer la directive adoptée en 1995, à un époque où Internet était moins développé qu'aujourd'hui. Internet prend une part de plus en plus grande dans nos vie, donnant la possibilité à des organisations de collecter des informations sur les sites et réseaux sociaux visités et d'avoir une connaissance très précise des vies professionnelles et individuelles, des intérêts et même de la santé des citoyens. Il est maintenant urgent de prévoir une protection claire et solide des citoyens et de leur donner la possibilité de reprendre le contrôle de leur données. Il y a un besoin clair de rééquilibrer la balance entre les citoyens et les organisations collectrices de données, en faveur des citoyens.

Le Conseil, ainsi que certains députés européens, essaient maintenant de limiter les protections établies par le Parlement européen en mars 2014. Ils aimeraient autoriser le stockage de données personnelles pour des raisons historiques, statistiques ou pour la recherche scientifique, même s'il n'y a plus de traitement de ces données. En l'absence d'une définition claire et exigeante de « historiques, statistiques, ou pour la recherche scientifique », une brèche importante pour la sécurité des données personnelles reste présente dans le texte.

De plus, certains demandent un consentement « non-ambigu » des personnes sujettes à un traitement de données. « Non-ambigu » est un terme trop vague et trop dangereux car il donnera la possibilité aux sites de collecter et de traiter des données même si le navigateur ne prévient pas l'utilisateur de la collecte et utilisation des données, ou de considérer que visiter un site est en soi un consentement non-ambigu. Ceci est complètement inacceptable, car un « consentement explicite et librement accordé en connaissance de cause » devrait être donné avant toute collecte et utilisation de données personnelles. Tout traitement de données doit être indiqué très clairement sur les sites ainsi que quelles données sont collectées, pour combien de temps, et de mentionner le droit d’accès à ces données, rectification ou effacement, ainsi que le droit de déposer une plainte.

Le règlement tel qu'il est proposé maintenant contient une énorme faille dans la notion de « intérêt légitime ». Ce concept, si laissé trop vague et indéfini, pourrait permettre aux compagnies d'avancer un argument d’intérêt légitime afin de contourner les limites imposées par le consentement obligatoire des utilisateurs. Ainsi, les données personnelles des utilisateurs pourraient être utilisées pour des fins que l'utilisateur n'a pas consenti. Par ailleurs, ça pourrait entraîner des divergences dans l’implémentation dans la législation nationale des États membres, alors que l'objectif du règlement est censé être l'harmonisation des règles.

De plus, la pseudonimisation des données n'offre pas de réelle protection, puisqu'il est assez facile de collecter des informations additionnelles qui permettent d'identifier un individu. Le Conseil, contrairement au Parlement, ouvre la porte à la collecte et au traitement de données qui sont susceptibles d'identifier les sujets de données pseudonimisées lors de la procédure de renouvellement de leur consentement à l'utilisation de leurs données. Le Parlement interdit une telle collecte ou traitement, mais le Conseil propose seulement que le contrôleur des données n'est pas obligé de le réaliser. Ainsi, cette faille pourrait très bien être une menace pour les droits des citoyens.

« Le Conseil de l'Union Européenne est activement de laisser des failles dans le texte afin de faire plaisir aux intérêts privés et de limiter les protections pour les citoyens. Il est non seulement urgent de maintenir le niveau de protection de la directive de 1995, mais aussi de combler ces lacunes dans la législation. Il est temps de retrouver la confidence des utilisateurs d'Internet et de leur donner la possibilité de revendiquer leur droit à la vie privée et aux libertés fondamentales », dit Agnès de Cornulier, coordinatrice de l'analyse juridique et politique de La Quadrature du Net.

Voir l'analyse de l'EDRi.

Déposée le 9 septembre par les députés socialistes Patricia Adam et Philippe Nauche, respectivement présidente et vice-président de la commission de la défense nationale et des forces armées, la proposition de loi « relative aux mesures de surveillance des communications électroniques internationales » sera examinée le 1er octobre à l’Assemblée nationale, en procédure accélérée. Au menu : surveillance massive et contrôle allégé. [...]

Les promoteurs de la loi sur le renseignement se sont toujours défendus de vouloir mettre en place une surveillance de masse, arguant que même les « boîtes noires » destinées aux opérateurs et aux hébergeurs relevaient à leurs yeux d’une surveillance « ciblée ». Dans le cas de l’espionnage à l’étranger, impossible de jouer sur les mots : on est en plein dans la pêche au chalut, qui porte sur des « systèmes de communication » entiers. [...]

Il n’est évidemment pas anodin qu’en commission de la défense, Patricia Adam ait tenu à préciser que le texte « prend en considération les activités que mène la DGSE, celles actuelles » et qu’« il n’y a pas d’ajout de capacités nouvelles ». Il s’agit bien de légaliser ce qui se pratiquait déjà. [...]

Pour l’association de défense des libertés en ligne la Quadrature du Net, déjà vent debout contre la loi renseignement, ce nouveau texte va dans le sens d'« une véritable course à la guerre du renseignement contre nos partenaires européens et internationaux », et crée « une rupture catégorique de l’universalité des droits » entre citoyens français et étrangers. Elle a d’ailleurs déposé, avec le fournisseur d’accès à Internet French Data Network et la fédération des FAI associatifs (FFDN), deux recours contre le décret de 2008. Si le recours en référé – pour obtenir en urgence la suspension du décret – a été rejeté, le recours sur le fond, lui, court toujours. [...]

http://www.liberation.fr/politiques/2015/09/21/surveillance-des-lois-en-...

Alors que les Etats-Unis tentent la conciliation avec l’Union européenne (UE) sur le sujet sensible de la protection des données personnelles, la justice européenne a porté un coup, mercredi 23 septembre, aux accords passés avec les Etats-Unis. L’avocat général de la Cour de justice européenne, Yves Bot, a estimé qu’un Etat membre de l’UE devait pouvoir suspendre le transfert de données d’abonnés au réseau social Facebook vers des serveurs aux Etats-Unis, au motif que la surveillance exercée par les services de renseignement outre-Atlantique est « massive et non ciblée ». [...]

L’avocat général [...] considère que « l’accès dont disposent les services de renseignement américains aux données transférées est constitutif d’une ingérence dans le droit au respect de la vie privée ». Selon lui, cette ingérence est contraire au principe de proportionnalité.

Surtout, Yves Bot juge « invalide » l’accord de protection des données personnelles baptisé « Safe Harbour », établi entre la Commission européenne et les Etats-Unis depuis 2000. Selon lui, les données personnelles des Européens sont collectées par les Etats-Unis, « à large échelle », et « sans que (les citoyens de l’UE) bénéficient d’une protection juridictionnelle effective ». « La surveillance exercée par les services de renseignement américains est massive et non ciblée », ce qui s’apparente à une violation des droits fondamentaux en Europe, assène l’avocat général de la Cour de justice. [...]

http://www.lemonde.fr/pixels/article/2015/09/23/ue-les-etats-pourraient-...

Des dizaines de pages de conclusions. Un document-fleuve, mais d’une importance cruciale, traitant de la capacité pour les entreprises américaines à aspirer les données des européens pour les retraiter outre-Atlantique. Next INpact vous propose une explication de cette affaire opposant à l’origine un petit Poucet, Maximillian Schrems, à l’ogre Facebook. [...]

La Haute Cour de justice irlandaise avait par la suite préféré faire porter ce dossier devant la Cour de justice de l’Union européenne. Certes, l’intervention des autorités américaines peut se justifier par des impératifs de sécurité nationale et la prévention de la criminalité grave, mais « la NSA et d’autres organes similaires [ont] commis des excès considérables. Si la Foreign Intelligence Surveillance Court, qui intervient dans le cadre de la loi de 1978 sur la surveillance des services de renseignement étrangers, exerce une supervision, la procédure devant elle serait toutefois secrète et non contradictoire. De plus, outre le fait que les décisions relatives à l’accès aux données à caractère personnel seraient prises sur le fondement du droit américain, les citoyens de l’Union n’auraient aucun droit effectif d’être entendus sur la question de la surveillance et de l’interception de leurs données ». Voilà donc les griefs, toujours résumés par Yves Bot, qui poursuit : « une fois que les données à caractère personnel sont transférées aux États-Unis, la NSA ainsi que d’autres agences de sécurité américaines telles que le Federal Bureau of Investigation (FBI) peuvent y accéder dans le cadre de la surveillance et d’interceptions de masse indifférenciées ». [...]

Cette sacro-sainte indépendance des CNIL est d'ailleurs suggérée par la directive de 1995 : « l’institution, dans les États membres, d’autorités de contrôle exerçant en toute indépendance leurs fonctions est un élément essentiel de la protection des personnes à l’égard du traitement des données à caractère personnel ». Ou par la jurisprudence de la CJUE « cette indépendance exclut notamment toute injonction et toute autre influence extérieure sous quelque forme que ce soit, qu’elle soit directe ou indirecte, qui seraient susceptibles d’orienter leurs décisions et qui pourraient ainsi remettre en cause l’accomplissement, par lesdites autorités, de leur tâche consistant à établir un juste équilibre entre la protection du droit à la vie privée et la libre circulation des données à caractère personnel. » [...]

http://www.nextinpact.com/news/96632-donnees-personnelles-etats-unis-sph...