Menaces convergentes contre la protection des données personnelles en Europe

Analyse d'IRIS - 12 novembre 2001

À la veille de la deuxième lecture par le Parlement européen de la Directive européenne sur la protection des données personnelles dans les communications électroniques [1], l'association IRIS (Imaginons un réseau Internet solidaire) dénonce les menaces convergentes exercées contre un principe européen bien établi : l'interdiction de toute surveillance systématique des communications, notamment par la rétention des données de communication.

Des pressions bien antérieures aux attentats

Cette Directive [2] vise à adapter au secteur des communications électroniques la Directive européenne sur la protection des données personnelles dans le secteur des télécommunications, en vigueur depuis 1997 [3]. Ce dernier texte consacre le principe de suppression ou d'anonymisation « des données relatives au trafic concernant les abonnés et les utilisateurs traitées en vue d'établir des communications et stockées par le fournisseur d'un réseau public de télécommunications et/ou d'un service de télécommunications accessible au public », dès que la communication est terminée. Les seules exceptions autorisées sont encadrées par les principes de finalité, de proportionnalité et de limitation dans le temps en vertu du respect des textes fondamentaux de l'Union européenne [4]. Ces exceptions doivent être énoncées précisément dans les textes législatifs ; c'est le cas notamment pour les besoins de facturation, ou la poursuite d'infractions pénales, dans le cadre de mesures exceptionnelles et encadrées par les autorités judiciaires.

Comme pour la plupart des mesures sécuritaires adoptées ou en voie de l'être dans certains pays, dont la France par le biais de la loi sur la sécurité quotidienne [5], le sévère « tour de vis » se réclame aujourd'hui de la lutte contre le terrorisme mise en oeuvre depuis le 11 septembre 2001, alors que les pressions en ce sens sont bien antérieures à cette date.

Ingérence des États-Unis dans les affaires intérieures de l'UE

Ainsi, le président des États-Unis s'est-il autorisé, sans souci de l'ingérence dans les affaires intérieures des États et espaces politiques souverains, à intervenir auprès de la présidence belge de l'Union européenne, afin que la Directive en voie d'adoption n'interdise plus la rétention systématique des données de communication.

Une lettre de protestation contre cette initiative du président des États-Unis est adressée ce jour à la présidence de l'Union par des organisations de la société civile américaine et européenne. IRIS n'a pas joint sa signature à cette lettre, dont la rédaction est à l'initiative de quatre de ses partenaires américains de la coalition internationale GILC (Global Internet Liberty Campaign) [6]. Bien qu'en accord avec l'argumentation développée dans cette lettre, IRIS ne peut cautionner un texte exprimant un « soutien aux efforts du président [Bush] pour entreprendre les mesures propres à réduire le risque terroriste et pour coopérer avec les autres chefs d'État en vue de protéger la sécurité publique ». IRIS considère que sa lutte pour la protection des données personnelles et de la vie privée est indissociable de son positionnement politique plus global, conformément aux objectifs de l'association et aux actions qu'elle a menées depuis plus de quatre années d'existence. La signature par IRIS de l'appel du Mouvement pour la paix, et son soutien aux initiatives contre le terrorisme et la logique de guerre, pour l'arrêt des bombardements en Afghanistan [7] en est un exemple particulier dans ces circonstances.

L'arbre qui cache la forêt

Cependant, l'ingérence du président Georges W. Bush ne doit pas être l'arbre qui cache la forêt. Cette intervention - certes spécialement importante du point de vue des organisations américaines - n'est en effet qu'un épiphénomène comparée aux pressions menaçantes venant de l'intérieur même de l'Union européenne, qu'elles proviennent de la Commission, du Parlement, des représentants des États membres, ou de divers lobbies industriels.

Comme le montrent les nombreux forums et réunions organisés par la Commission européenne (auxquels IRIS participe pour faire entendre ses arguments défendant les droits de l'homme et les libertés sur les questions relatives à Internet), le principe d'interdiction de toute surveillance systématique des communications, notamment par la rétention des données de communication, est largement battu en brèche. Les représentants des États et les autorités policières et judiciaires invoquent la nécessité des enquêtes ; les porte-parole des lobbies industriels mettent en avant la sécurisation de leurs réseaux (opérateurs et fournisseurs d'accès) et la poursuite d'infractions à la propriété intellectuelle (industrie du logiciel, majors de la musique et du cinéma).

Inversion des valeurs

Exemple : la première réunion du Forum européen sur la cybercriminalité, entièrement consacrée à la question de la rétention des données de communication [8]. Les autorités européennes de protection des données personnelles ont vainement tenté d'obtenir des résultats chiffrés sur les enquêtes qui n'auraient pu aboutir du fait des actuelles mesures de sauvegarde de la vie privée. Il s'avère ainsi très clairement que la demande de suppression de l'interdiction de surveillance systématique des données de communication est incompatible avec les textes fondamentaux européens. On a même pu entendre lors de cette réunion que le but d'une telle demande de rétention des données serait « d'innocenter des personnes injustement accusées ».

Cela confirme bien l'inversion des valeurs constatée en France à l'occasion du vote de la loi sur la sécurité quotidienne : on passe d'un régime consacrant la présomption d'innocence à un régime posant comme principe la présomption de culpabilité, avec comme conséquence l'inversion de la charge de la preuve. Quand IRIS a remis la question de la rétention des données personnelles dans la perspective de la suppression de la double incrimination [9] pour la transmission de ces données entre les États, en demandant quelles étaient les garanties prévues contre ces dangers pour les citoyens des pays de l'Union européenne, tout débat à ce sujet a été esquivé par la présidence du Forum qui, de l'avis même de certains fonctionnaires de la Commission le reconnaissant en aparté, n'est pas neutre.

Satisfaction des objectifs marchands

Enfin, IRIS salue les efforts du Parlement européen pour limiter la surveillance des citoyens par les États, notamment à travers l'adoption des avis successifs du rapporteur italien Marco Cappato portant sur la Directive européenne sur la protection des données personnelles dans les communications électroniques. Toutefois, l'urgence de la lutte contre les mesures sécuritaires ne doit pas faire oublier le rôle du Parlement européen en faveur de la collecte des données personnelles dans un but marchand. IRIS regrette à ce titre l'attitude du Parlement vis-à-vis des communications commerciales non sollicitées, qui a conduit à ce que les États membres deviennent libres de choisir entre les formules du consentement préalable (« opt-in ») ou de la demande de suppression a posteriori d'une adresse dans un fichier (« opt-out »).

Revendications d'IRIS

La protection des données personnelles et de la vie privée sur Internet est une préoccupation constante d'IRIS, qui y consacre plusieurs actions.

Cette protection nécessite le maintien de l'interdiction de toute surveillance systématique des communications. L'interdiction de la rétention des données de communications doit demeurer la règle, et les exceptions doivent demeurer encadrées par les principes de finalité précise, de proportionnalité, et de limitation dans le temps, en vertu des textes fondamentaux européens. Les informations constituées par l'adresse IP de l'abonné au cours d'une connexion à Internet, les dates et heures exactes de début et de fin de cette connexion, et l'identification de l'abonné par son fournisseur d'accès et/ou son opérateur de télécommunications sont des informations amplement suffisantes pour les enquêtes judiciaires en recherche de responsabilité. Ces informations sont déjà conservées par les fournisseurs d'accès pour d'autres finalités (facturation, gestion et maintenance de leurs réseaux, ...). Outre qu'elle est incompatible avec les textes fondamentaux de l'Union européenne, la nécessité de conserver plus d'information à des fins uniquement policières n'est absolument pas prouvée.

Cette protection des données personnelles et de la vie privée sur Internet est également nécessaire vis-à-vis des utilisations marchandes. Une telle protection implique au minimum que la réception de communications commerciales et la cession de données personnelles dans des buts marchands soient soumises au consentement préalable et éclairé de l'utilisateur concerné.

Références

[1] État du processus législatif concernant la proposition de Directive portant sur le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques. Observatoire législatif du Parlement européen. http://wwwdb.europarl.eu.int/oeil/oeil_ViewDNL.ProcedureView?lang=1&procid=4483
[2] Proposition de Directive du Parlement européen et du Conseil concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques. COM(2000)385. 12 juillet 2000. http://www.europa.eu.int/comm/information_society/policy/framework/pdf/com2000385_fr.pdf.
[3] Directive 97/66/CE du Parlement européen et du Conseil concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications. 15 décembre 1997. http://europa.eu.int/ISPO/infosoc/telecompolicy/fr/9766fr.pdf.
[4] Article 8 de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamendales (le Traité de l'Union européenne impose dans son article 6 le respect de cette Convention). Articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne.
[5] Loi sur la sécurité quotidienne. Dossier d'IRIS. http://www.iris.sgdg.org/actions/loi-sec.
[6] Global Internet Liberty Campaign. http://www.gilc.org.
[7] Mouvement pour la paix. http://www.mvtpaix.org.
[8] Réunion du Forum européen sur la cybercriminalité mis en place par la Commission européenne. 6 novembre 2001, Bruxelles (en préparation à la rencontre plénière du 27 novembre 2001). http://europa.eu.int/information_society/topics/telecoms/internet/crime/index_en.htm.
[9] Cette suppression de la nécessité de double incrimination figure dans le projet de Convention du Conseil de l'Europe, adopté le 8 novembre 2001. Cf. Dossier d'IRIS sur cette Convention : http://www.iris.sgdg.org/actions/cybercrime. Cette suppression est également prévue dans les propositions de Décision-cadre de la Commission européenne pour l'instauration d'un mandat d'arrêt européen. 20 septembre 2001. Cf. Communications COM(2001)521 : http://europa.eu.int/eur-lex/fr/com/dat/2001/fr_501PC0521.html et COM(2001)522 de la Commission européenne : http://europa.eu.int/eur-lex/fr/com/dat/2001/fr_501PC0522.html.

(dernière mise à jour le ) - webmestre@iris.sgdg.org