La Commission LIBE (Liberté, sécurité et justice) du Parlement Européen a rendu publique ce jeudi une étude (.pdf) commandée à Caspar Bowden, un ancien conseiller de Microsoft devenu expert intransigeant des questions de vie privée sur Internet, sur "les programmes de surveillance des Etats-Unis et leurs effets sur les droits fondamentaux des citoyens de l'Union Européenne".
Les conclusions du rapport de 50 pages, réalisé en réaction aux révélations du programme PRISM et des pratiques de surveillance de la NSA, sont très critiques envers les USA, mais aussi et surtout à l'encontre des institutions européennes à qui Bowden reproche un laisser-faire coupable. La CNIL y est désignée comme figure de proue de ce qui apparaît au mieux comme de la naïveté, au pire comme de la complicité dans l'absence de protection effective de la vie privée des citoyens européens.
Tout d'abord, l'étude détaille comment, depuis plusieurs décennies, "les États-Unis ont systématiquement méprisé les droits fondamentaux des citoyens des pays tiers", en édictant des lois successives (FISA, Patriot Act, FAA…) qui ne protégeaient que leurs propres ressortissants, mais n'accordaient aucuns droits à la vie privée aux non-Américains. Avec le développement du cloud qui est très fortement dominé par les acteurs américains comme Amazon, Google, Apple, Microsoft, IBM, ou encore Yahoo, "les citoyens de l'UE sont dans une position de fragilité particulière, pris en étau qu’ils sont entre le marteau des services de renseignement américains et l’enclume des grandes compagnies privées qui fournissent ce type de services à l'échelle mondiale et exercent à leur guise leur droit de propriété sur les données échangées", fait remarquer Bowden.
L'Union Européenne se devait donc de redoubler de vigilance pour protéger ses concitoyens. Mais le rapport estime que malgré plusieurs avis d'experts et de nombreuses mises en garde, l'UE a largement négligé le fait que "l'informatique en nuage et la législation américaine dans ce domaine représentent une menace sans précédent contre la souveraineté des données de l'UE".
La CNIL au coeur d'un "stratagème juridique insensé"
L'Europe se serait laissée endormir et n'a pas été vigilante dans les accords conclus avec les Etats-Unis, en particulier dans le Safe Harbor (ou "Sphère de sécurité") qui n'était pas assez bien cadré pour s'assurer du respect des normes européennes par les sous-traitants américains. "Depuis 2001, la Commission européenne a rédigé et approuvé des clauses "modèles" destinées à être introduites dans les contrats des contrôleurs et des sous-traitants situés à l'extérieur de l'UE, en vue de protéger la vie privée des individus de la même manière que si les données restaient à l’intérieur de l'UE", rappelle le rapport, au sujet des BCR sous-traitants. Mais "les révélations concernant le programme PRISM illustrent de manière frappante le caractère insensé de ce stratagème juridique".
"Aucune autorité ne peut, dans un contexte civil impliquant des acteurs privés, garantir le droit au respect de la vie privée lorsqu'un acteur tel que la NSA enfreint ce droit en tentant d'accéder à des données en opérant selon des règles qui lui sont propres et de manière légale à ses yeux".
Pour Caspar Bowden, "il est donc plutôt surprenant qu'aux diverses étapes de son développement, ce mécanisme ait bénéficié du soutien (…) de la Commission nationale de l'informatique et des libertés (CNIL), en France, qui a dirigé le travail d'élaboration de ces règles". Une grosse pierre dans le jardin de la CNIL, dont nous avions nous-mêmes relevé l'ambiguïté du discours.
En 2012, la CNIL avait publié des modèles de clause (.pdf) à destination des entreprises, en expliquant qu'elle devait les aider à "choisir un prestataire qui offre toutes les garanties nécessaires en termes de protection des données personnelles et de sécurité". En 2013, au sujet des BCR sous-traitants, elle assurait que la présence de ces clauses permet "d'offrir une protection adéquate aux données transférées depuis l'Union européenne", et utilisait le mot "garanties".
Mais pour l'auteur du rapport, qui élargit la responsabilité à toutes les autorités européennes de protection des données personnelles, c'est "une vision irréaliste et légaliste (qui a ) conduit ces autorités à négliger la protection des citoyens de l'UE". Il estime que ces autorités "possèdent manifestement des capacités insuffisantes en matière d'expertise technique", et regrette qu'il "existe une conception profondément ancrée selon laquelle, puisqu'il est préférable de rédiger la loi de manière technologiquement neutre, les régulateurs sont dispensés d'avoir à en comprendre les aspects techniques".
En conclusion, Caspar Bowden suggère à la commission LIBE toute une série de recommandations beaucoup plus dissuasives et protectrices. Par exemple, il est recommandé de faire afficher par les sites américains un message prévenant leurs clients européens "que leurs données pourront faire l'objet d'une surveillance (au titre de l'article 702 de la FISA) par le gouvernement des États-Unis à toutes fins utiles à la politique étrangère des États-Unis". Le rapport suggère aussi et surtout d'annuler ou de renégocier les accords Europe/USA actuels, qui sont facilement contournés, et d'interdire strictement la communication de données européennes aux autorités américaines sans qu'un régulateur européen ait donné son accord préalable. Il demande aussi que le cloud européen soit bien plus soutenu pour offrir une concurrence efficace au cloud américain, et que les autorités comme la CNIL soient réformées pour avoir davantage d'indépendance, d'influence et d'expertise technique.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
