Après avoir réalisé un contrôle sur place des services de renseignement, la Cnil allemande a dressé un bilan extrêmement critique des activités du Bundesnachrichtendienst (BND) en matière de collecte d'informations sur Internet.

Le site Netzpolitik a dévoilé le contenu d’un rapport jusque là confidentiel produit en juillet 2015 par Andrea Voßhoff, le commissaire à la protection des données en Allemagne, qui accable les services de renseignement allemands. Le rapport a été réalisé après la visite de l’homologue de la Cnil dans la station d’écoutes Bad Aibling, opérée conjointement en Bavière par l’agence allemande du renseignement, la Bundesnachrichtendienst (BND), et par la National Security Agency (NSA) américaine.

Malgré les difficultés à enquêter qu’il dénonce, Voßhoff dénombre dans son rapport 18 violations graves de la législation, et formule 12 réclamations formelles, qui obligent l’administration à répondre. Dans un pays encore meurtri par les souvenirs de la Stasi, le constat est violent.

L’institution reproche au BND d’avoir créé sept bases de données rassemblant des informations personnelles sur des suspects ou simples citoyens lambda, sans aucun mandat législatif pour ce faire, et de les avoir utilisées depuis plusieurs années au mépris total des principes de légalité. Le commissaire a exigé que ces bases de données soient détruites et rendues inutilisables.

Filtre défaillant, entonnoir trop large, base disproportionnée…

Parmi elles figure une base assise sur le programme XKeyScore de la NSA, qui permet de réunir et fouiller l’ensemble des informations collectées sur le Web (visibles ou ob

Extrait d'une publication interne de la NSA sur XKeyScore
Extrait d’une publication interne de la NSA sur XKeyScore

tenues par interception du trafic), pour les rendre accessibles aux analystes qui veulent tout savoir d’un individu et de ses activités en ligne. Alors que XKeyScore est censé cibler des suspects, Voßhoff note que le programme collecte « un grand nombre de données personnelles de personnes irréprochables », et cite en exemple un cas qu’il a pu consulter, où « pour une personne ciblée, les données personnelles de quinze personnes irréprochables étaient collectées et stockées », sans aucun besoin pour l’enquête.

Des données ainsi obtenues étaient alors renvoyées vers les États-Unis, en principe expurgées de tout ce qui concerne les Allemands pour se plier à la loi nationale,  mais en pratique avec beaucoup d’oublis dans les filtres. Ars Technica rappelle que l’échange d’informations fait partie des exigences de la NSA pour donner accès à son programme XKeyScore aux alliés.

Pire encore, la Cnil allemande a découvert une base de données plus intrusive encore, baptisée VERAS 6, où c’est l’ensemble de toutes les métadonnées de tous les internautes qui sont interceptées et stockées pendant 3 mois. Là encore, au mépris total des principes de proportionnalité, que la Cour de justice de l’Union européenne (CJUE) devrait bientôt rappeler au sujet des données de connexion que les FAI ont l’obligation de conserver.

Selon Netzpolitik, une bonne partie des faits reprochés au BND pourraient toutefois être légalisés avec un projet de loi qui pourrait être adopté dès cette année, pour une entrée en vigueur au début de l’année 2017.

Partager sur les réseaux sociaux

Articles liés