Affaire PRISM : la Commission européenne est poussée par le G29 à faire plus de lumière

Publié le par

Alors que la Cnil doit rendre en septembre un premier bilan sur l’accès des autorités étrangères aux données personnelles de citoyens français, la Commission européenne est poussée par le groupe G29 à obtenir des explications des Etats-Unis sur leur programme de surveillance PRISM.

Par Christophe Clarenc (photo) et Florence Chafiol-Chaumont, avocats associés,
et Mathilde Gérot, avocate, August & Debouzy

Christophe ClarencLe G29 – groupement des Cnil européennes (1) – s’est de nouveau adressé à Viviane Reding, vice-présidente de la Commission européenne et chargée de la Justice. Par un courrier du 13 août dernier, il formule différentes questions techniques et juridiques précises relatives au programme de surveillance PRISM (Planning Tool for Resource Integration, Synchronization and Management), afin que les autorités américaines apportent les éclaircissements attendus.

Révélations et questions sans réponses
Les révélations de l’ancien employé de la CIA et de la NSA (2), Edward Snowden, se
sont succédées depuis juin dernier. Elles ont ravivé des soupçons d’utilisation massive et dissimulée, par les services de renseignement des Etats-Unis, des données personnelles des entreprises et des particuliers ayant recours aux services des géants américains
de l’Internet et de la téléphonie tels que Google, Apple, Facebook ou Verizon.
Passé de la clandestinité au clair-obscur, PRISM serait alimenté par les données générées chaque jour par les internautes. Le G29 a immédiatement interpellé Viviane Reding, par un premier courrier daté du 7 juin, pour exiger d’elle de s’adresser à son homologue américain afin d’obtenir des explications et a formulé deux questions fondamentales :
• Les citoyens non-américains ou ne résidant pas aux Etats-Unis, et notamment les citoyens européens, sont-ils visés par le programme de surveillance PRISM ?
• Dans ce cadre, l’accès aux données personnelles est-il strictement restreint à des cas spécifiques et individuels basés sur des suspicions concrètes ou s’agit-il d’un accès en masse ?
Trois jours plus tard, Viviane Reding adressait un courrier au procureur général du département de la Justice des Etats-Unis, Eric Holder. Elle mettait en doute le respect
des droits fondamentaux des citoyens européens par le programme PRISM et reprenait ensuite les interrogations du G29 en soulevant des questions complémentaires portant notamment :
• Sur la portée du programme PRISM, à savoir si celle-ci est restreinte à la sécurité nationale et au renseignement extérieur ou si elle apparaît plus large ;
• Sur les recours ouverts aux citoyens et aux sociétés situées aux Etats-Unis et dans l’Union européenne afin de s’opposer à la collecte et au traitement des données qu’elles détiennent lors de demandes liées au programme PRISM ou à tout autre programme similaire ;
• Aux moyens dont bénéficient les citoyens européens afin d’être informés du fait que leurs données sont concernées par des programmes de surveillance tels que PRISM, comparés aux moyens dont disposent les citoyens et résidents américains.
Viviane Reding et Eric Holder se sont rencontrés le 14 juin 2013 afin d’évoquer PRISM et il semble que nombre des questions formulées par la vice-présidente soient restées sans réponse. Depuis cette date, l’ampleur des activités de surveillance à travers le programme PRISM a été révélée.
Les grandes entreprises concernées ont tout d’abord nié avoir connaissance dudit programme et contesté l’accès direct des agences de surveillance à leurs serveurs. Certaines d’entre elles – Google, Facebook ou encore Yahoo! (3) – ont ensuite commencé par admettre avoir répondu à plusieurs milliers de demandes de communication d’informations émanant de ces agences.

Les géants du Net ont d’abord nié, puis …
Entre temps, un groupe de travail UE/EU a été créé afin de faire toute la lumière sur PRISM. Toutefois, le G29 – représenté au sein de ce groupe de travail transatlantique –
a estimé qu’il lui appartenait de mener sa propre analyse sur les éventuelles violations de la législation européenne en matière de données personnelles par le programme PRISM.
A cette fin, il a fait parvenir une seconde lettre datée du 13 août dernier à Viviane Reding, approfondissant le champ des problématiques. Le G29 s’interroge sur les garde-fous et procédures mis en place avant tout accès aux données par les services de surveillance américains, qu’ils soient fondés sur le Patriot Act (4) ou le FISA Amendment Act (5). Quel rôle joue la FISA Court et dans quelles conditions autorise-t-elle la surveillance de citoyens non-Américains ? Dans quelle mesure ces autorisations sont-elles suffisamment ciblées et étayées pour permettre une limitation des droits fondamentaux des individus sur le fondement de la sécurité nationale ?

Grand flou du « nuage informatique »
Pour y répondre, le groupe des Cnil européennes invite Viviane Reding à exiger la communication de copies de demandes de la NSA et des ordres de la FISA Court. Le programme PRISM ne semble viser que les données de citoyens non-Américains dès
lors qu’elles proviennent de sources situées aux Etats-Unis. Or, le G29 s’enquiert des hypothèses dans lesquelles les autorités américaines considèrent que les données se trouvent à l’intérieur du territoire américain, à l’heure où nombre de données sont stockées dans le cloud computing ou nuage informatique, espace virtuel et mouvant rendant délicate la détermination de la situation géographique d’une donnée. S’agit-il des données se trouvant physiquement sur le sol américain ou également des données transitant par les Etats-Unis ? Ce point est important dans la mesure où la directive 95/46/CE ne s’applique pas aux données personnelles ne faisant que transiter par l’Union européenne (6). Le G29 considère que la logique voudrait que la loi américaine ne s’applique pas aux données de passage sur le territoire des Etats-Unis. La question de savoir si des données personnelles sont collectées sur le territoire européen est également posée.
Le G29 s’interroge par ailleurs sur la manière dont les grandes entreprises américaines peuvent se conformer aux demandes de communication d’informations des autorités tout en respectant les conditions posées au transfert de données hors de l’Espace économique européen (EEE) (7). Il rappelle à cet égard que, s’il peut être fait exception aux principes du Safe Harbor afin de répondre aux exigences en matière de sécurité nationale, l’ampleur du programme de surveillance tel que révélée dans la presse ne semble pas répondre aux conditions de cette exception.
Enfin, il constate que les personnes concernées par le programme PRISM ne sont généralement pas informées que leurs données peuvent faire l’objet d’une collecte massive et d’un traitement par les agences de surveillance américaines et ne se voient offrir aucun moyen de faire valoir leurs droits fondamentaux devant une autorité indépendante. Force est de constater que les entreprises concernées ne favorisent pas non plus la transparence (voir encadré). Si le risque de voir les internautes se détourner massivement des réseaux sociaux et autres services de communication ne paraît pas
à ce jour avéré, une étude envisage la possibilité de pertes conséquentes de chiffres d’affaires (de 20 à 30 milliards de dollars) pour les entreprises américaines proposant
des services de cloud (8). Il semble que de nombreux professionnels ont d’ores et déjà renoncé à recourir à leurs services, au profit notamment de prestataires européens.
Aux Etats-Unis, l’opérateur T-Mobile promeut ses services en soulignant que les emails de ses clients sont stockés sur des serveurs basés en Allemagne.
Enfin, si PRISM focalise actuellement l’attention, Facebook annonçait dans son rapport sur la transparence que 71 pays avaient pris contact avec lui afin d’obtenir des renseignements sur ses utilisateurs. @

ZOOM

Google sur la sellette ?
Les règles de confidentialité de Google restent très évasives sur les hypothèses dans lesquelles Google peut partager les données personnelles de ses utilisateurs avec des tiers. En effet, il est indiqué que Google pourra partager lesdites données s’il pense « (…) en toute bonne foi que l’accès, l’utilisation, la protection ou la divulgation de ces données est raisonnablement justifiée pour se conformer à des obligations légales, réglementaires, judiciaires ou administratives ; (…) ».
Aucune précision n’est apportée sur le fait que les données personnelles des citoyens européens sont susceptibles d’être communiquées aux agences de surveillance américaines qui en feraient la demande, ni sur quels fondements cette communication peut avoir lieu. Enfin, aucune information des utilisateurs en cas de communication de leurs données à ces agences n’est prévue.
Le 10 juin 2013, la Cnil a mis Google en demeure de se conformer à la loi française Informatique et Libertés du 6 janvier 1978 car l’utilisateur n’est pas en mesure de connaître l’utilisation qui peut être faite de ses données et ne dispose pas de contrôle sur celles-ci. Quant au parquet de Paris, il a ouvert le 14 août dernier une enquête préliminaire sur PRISM (9). @