Ancien conseiller de Microsoft, expert reconnu des questions de sécurité et de vie privée en Europe, Caspar Bowden confirme à Numerama ses critiques contre la responsabilité de la CNIL dans le développement d'un Cloud sous surveillance américaine, et enfonce le clou. 

Jeudi, Numerama analysait le contenu du rapport remis au Parlement Européen par l'expert Caspar Bowden, ancien conseiller de Microsoft, au sujet des effets des programmes de surveillance américains de la NSA sur les droits fondamentaux des citoyens européens. Le rapport critiquait durement la naïveté des autorités européennes, qui n'auraient pris la mesure des risques juridiques liés au stockage de données par les géants du cloud américain, et qui ont cru pouvoir neutraliser ces risques par le truchement de clauses contractuelles dites "BCR" ("Binding Corporate Rules", ou "Règles d'entreprises contraignantes"), qui n'engagent que ceux qui y croient.

Dans son rapport, Caspar Bowden accusait explicitement la CNIL d'avoir "dirigé le travail d'élaboration de ces règles" qu'il estimait être un "stratagème juridique insensé", lequel a bénéficié aux grandes entreprises américaines (Amazon, Google, Microsoft, Apple, Facebook…) et aux services d'espionnage des Etats-Unis.

En réaction, la CNIL nous avait fait parvenir jeudi soir une série de trois remarques, pour nier toute naïveté dans son rapport aux BCR, et démentir être la cible du rapport. Autant de remarques auxquelles Caspar Bowden a tenu à réagir à son tour, sans complaisance. Nous reproduisons ci-après l'argumentaire de la CNIL (en gras), et la réponse que nous a envoyée M. Bowden (en italique, traduite par nos soins à partir de l'anglais).

Un débat fondamental :

1. Le dispositif BCR n’a jamais été conçu dans le but de s’opposer à des transferts massifs de données vers des autorités publiques d’Etats tiers. Il a uniquement pour objet d’encadrer le transfert de données entre entreprises du secteur privé. A ce titre, s’il intègre certaines exceptions aux obligations d’information au bénéfice d’autorités publiques, celles-ci ne peuvent être que ponctuelles et ciblées

La CNIL a vu mes critiques de leurs politiques et mes avertissements détaillés sur la surveillance de masse par les Etats-Unis lors de deux conférences en septembre 2012, et a fait valoir que parce que le libellé des exemptions BCR était juridiquement équivalent aux précédents modes d'exportation de données, le Cloud ne posait pas de difficultés particulières.

Ils ont estimé que leur rôle était de fournir une "base légale" pour la nécessaire circulation commerciale des données, et que c'était "aux gouvernements" de protéger les gens contre l'espionnage étranger. Ils ont été non seulement dédaigneux, mais aussi auto-satisfaits et complaisants. J'ai proposé de faire le voyage vers leur bureau pour leur expliquer plus en détails, mais ils n'y ont vu aucune urgence ni inquiétude jusqu'à l'après Snowden.

2. Il en résulte que, comme indiqué à maintes reprises par la CNIL elle-même, les BCR n’ont ni pour objet, ni pour effet, de légaliser des pratiques d’aspirations massives de données par des autorités publiques

La CNIL a été l'Autorité de Protection des Données (APD) européenne qui a dirigé le concept des BCR dans des négociations secrètes avec l'industrie américaine depuis 2009. La seule reconnaissance du fait que ça a pu être une grave erreur stratégique est intervenue dans la modification en deux lignes d'un avis du G29 (le groupement des CNIL européennes, ndlr) publié juste avant Snowden, et probablement en réponse à mes critiques.

Ils ont dit que les BCR avaient seulement créé un "processus d'information" — en d'autres termes, il s'agissait d'un exercice bureaucratique de brassage de papiers, qui n'offrait aucune garantie contre la violation massive des droits des Européens. De façon encore plus ridicule, ils ont dit que tout conflit de droit international devrait être jugé par les entreprises américaines du Cloud elles-mêmes, à leur discrétion, comme si l'on pouvait leur faire confiance avec un tel conflit de loyauté et d'intérêt.

3. La Présidente de la CNIL a été auditionnée le 7 octobre dernier au Parlement européen, et a indiqué que ni les Clauses contractuelles types, ni les BCR, ni le Safe Harbor ne sont les bons instruments pour faire obstacle à PRISM. C’est pour cette raison que nous avons fait d’autres propositions, qui relèvent du niveau de la réglementation européenne, à savoir la subordination de tout transfert de données européennes aux autorités publiques américaines à l’autorisation des régulateurs européens (reprise par le parlement à l’article 43 du projet de règlement européen) ou la conclusion d’un accord bilatéral Union européenne / Etats-Unis, et non de simples outils contractuels

Bien entendu les BCR et le Safe Harbor ne peuvent pas empêcher une surveillance de type PRISM — c'est tout le sujet, et c'est pourquoi il doit désormais y avoir un contrôle très sérieux de l'ensemble de l'édifice et de la culture des Autorités de Protection des Données européennes. Dans tous leurs écrits depuis les attentats du 11 septembre, le G29 ne s'est même jamais référé au concept de surveillance de "renseignement étranger" par les Etats-Unis en particulier. C'est comme si pour eux la NSA n'existait pas. 

Ce qui a été particulièrement décevant de la part du Président de la CNIL a été l'absence totale de reconnaissance de leur erreur stratégique d'aider à accélérer la circulation des données vers les Clouds américains par le biais de tels dispositifs bureaucratiques offrant une protection illusoire. La CNIL est accro à cette illusion et comme d'autres toxicomanes, elle ne peut pas guérir tant qu'elle reste dans le déni. Heureusement le Parlement Européen a désormais tué le concept dangereux des BCR-pour-processeurs, et il nous faut espérer qu'ils ne fassent pas leur retour lors du Trilogue (une réunion tripartite sur le projet de règlement européen sur les données personnes, entre le Parlement, la Commission européenne et le Conseil européen, ndlr).

Précisions que l'actuelle présidente de la CNIL, Isabelle Falque-Pierrotin, a été élue à ce poste en septembre 2011. Auparavant, c'est le sénateur Alex Türk qui occupait la présidence depuis 2004. 

(illustration : Cybersalon)

Partager sur les réseaux sociaux

Articles liés