Points de vue alternatifs

Analyse et veille des médias internationaux : géopolitique, économie, numérique...


Surveillance : Compte-rendu de la dernière réunion du G29

Publié par Kiergaard sur 11 Avril 2014, 18:46pm

Catégories : #Numérique

Surveillance : Compte-rendu de la dernière réunion du G29
Le G29, groupe des CNIL européennes, s’est réuni en séance plénière les 9 et 10 avril 2014. Il a adopté plusieurs avis relatif à la surveillance de masse et lancé une consultation interne sur les éventuelles améliorations à apporter à ses méthodes de travail et de collaboration.

Plus d'informations sur le site de la CNIL ou sur le (non-ergonomique) site officiel de l'institution sur le site de la Commission Européenne.
 
Cinq documents ont été adoptés :

Safe Harbor

Le G29 souligne que la restauration de la confiance dans les transferts UE-USA passe nécessairement par le renforcement des garanties offertes par Safe Harbor qui aujourd’hui n’apporte pas une protection adéquate aux citoyens de l'UE. Si le processus de révision en cours entre la Commission et les autorités américaines ne connaît pas une issue positive, l'accord Safe Harbor devra être suspendu.

Projet de règlement européen et notion de « guichet unique »

Dans sa déclaration sur le guichet unique, le G29 suggère un compromis entre la position du Parlement européen et les propositions actuellement à l'étude au sein du Conseil de l'Union concernant la gouvernance des autorités de protection dans des situations transfrontalières. Le G29 définit les éléments essentiels pour que le guichet unique puisse répondre à la fois aux attentes des citoyens (proximité avec l’autorité de protection pour la défense de leurs droits) et à celles des entreprises (simplification des formalités).

Intérêt légitime

L'avis sur l'intérêt légitime précise les conditions à remplir et les étapes à suivre par le responsable de traitement lorsqu'il recoure à cette notion en application de l'article 7(f) de la directive 1995/46/CE [Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si : [...] f) Il est nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l'intérêts ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l'article 1er paragraphe 1.] – Il s'agit de garantir que les autres bases légales pour le traitement des données -  notamment le consentement préalable – ne sont pas écartées par une invocation systématique de l'intérêt légitime. Le G29 recommande d'insérer dans le règlement européen un considérant précisant les critères à prendre en considération par le responsable de traitement.

Techniques d’anonymisation

Les données anonymes sortent du champ d'application de la réglementation sur la protection des données personnelles.  Pour autant, le G29 formule des recommandations afin d'aider les responsables de traitement à faire le bon choix parmi les différentes techniques d’anonymisation, ce qui est essentiel dans le cadre du développement du Big Data.


Ces documents seront disponibles ultérieurement.

Le seul document actuellement disponible est l'avis sur la surveillance massive des citoyens européens et dont voici la synthèse parue sur le site de la CNIL :

"Les révélations d’Edward Snowden sur les activités de surveillance massive de la part des services de renseignement aux Etats-Unis et dans l'Union ont provoqué un débat international sur les conséquences de ces pratiques sur la vie privée des citoyens qui ont manifesté leur grande préoccupation.

Dans son avis, le G29 souligne l'illégalité de la surveillance massive, systématique et sans distinction des citoyens européens, qui ne saurait être justifiée par la seule lutte contre le terrorisme ou d'autres considérations de sécurité publique. Il rappelle que de telles restrictions aux droits fondamentaux des citoyens européens ne sont pas acceptables dans une société démocratique.

En conséquence, le G29 recommande notamment que :

  • Les Etats Membres de l'Union doivent garantir plus de contrôle et de transparence dans les activités de surveillance de leurs services de renseignement. Les individus doivent être informés et bénéficier de garanties adéquates de protection de leurs données lorsque celles-ci sont collectées et transférées.  A cette fin, le G29 souhaite organiser à l’automne un débat sur le thème de la surveillance afin de mieux informer et conseiller les citoyens. Cet événement sera ouvert à toutes les parties prenantes.
  • Afin que les abus des programmes de surveillance ne se répètent pas, un contrôle effectif et indépendant des services de renseignement est nécessaire, contrôle dans lequel les autorités de protection des données doivent jouer un rôle ;
  • Les institutions de l'UE doivent finaliser les négociations sur la réforme de la protection des données personnelles et, en particulier, retenir la proposition faite par le Parlement européen d'un nouvel article 43a, dans le futur règlement, prévoyant l'obligation d'informer les individus lorsqu'il a été donné accès à leurs données à une autorité publique au cours des douze derniers mois ;
  • Un traité intergouvernemental contraignant devrait être adopté afin de donner aux citoyens des garanties fortes en matière d’activité de renseignement.

Le G29 rappelle par ailleurs que le cadre légal européen actuel doit être pleinement respecté. Si tel n’est pas le cas, les responsables de traitement soumis à la juridiction de l'UE peuvent être sanctionnés et les flux de données suspendus par les autorités de protection des données.

L'adoption de cet avis du G29 prend une importance particulière du fait de la publication au même moment d’un arrêt de la Cour de justice de l'UE du 8 avril 2014, dans lequel celle-ci déclare la directive 2006/24/CE relative à la rétention des données contraire aux articles 7 et 8 de la Charte des droits fondamentaux de l'UE. Cet arrêt repose sur le constat que la directive, en autorisant la surveillance d'ensemble des données de communications par les Etats, ne limite pas l'impact sur les droits fondamentaux à ce qui est strictement nécessaire."

 

Il est également souligné que :
- les accords existants (type Safe Harbour) ne peuvent pas être des bases légales pour justifier le transfert de données de citoyens européens à des pays tiers à des fins de surveillance massive et indiscriminée.

- L'absence de définition claire du concept de sécurité nationale rend nécessaire de limiter le champ des exceptions fondées sur ce concept.

- Les conclusions du G29 ne prennent pas en compte l'hypothèse des interceptions de données à travers les câbles sous-marins en raison du manque de détails techniques.

- À travers ses développements, le G29 confirme que "les métadonnées produisent souvent de l'information plus facilement que le contenu réel de nos conversations".

- Les exemptions liées à la sécurité nationale contenues dans les traités et d'autres textes européens font que les programmes de surveillance des états membres ne sont en général pas soumis au droit de l'UE. Néanmoins, ils sont soumis aux principes dégagés par la CEDH, parfois inscrits au niveau national, et la jurisprudence de la CJUE conduit également à des évolutions. La limitation aux droits fondamentaux doit être absolument nécessaire et strictement proportionnée pour être valable. Il ne doit pas y avoir de présomption automatique qu'il y a un intérêt de sécurité nationale, il doit être démontré. Manquer aux obligations nationales et internationales, notamment celles du Pacte international relatif aux droits civils et politiques ne porte pas seulement atteinte aux droits des citoyens mais "affecte la confiance de la société dans l'état de droit".

- Bien que la situation soit complexe pour les programmes de surveillance des pays tiers, le droit de l'UE devrait s'appliquer. Les exemptions sur la sécurité nationale ne s'applique pas aux impératifs de sécurité nationale des pays tiers. Si ces impératifs peuvent coincider avec ceux d'un pays de l'UE, il doit néanmoins être démontré.

- La directive de 1995 doit être respectée.

- Les accords passés avec des états tiers ne doivent pas être utilisés pour affaiblir la protection des droits des citoyens de l'UE.

- Les entreprises doivent prendre conscience qu'elles agissent en dehors du droit européen si des données de citoyens européens sont acquises dans leurs serveurs ou si elles se conforment à un mandat pour que soit collecté de vastes quantités de données. Des actions ne doivent pas être exclues contre des entreprises qui auraient sciemment et volontairement coopéré avec des agences de renseignement pour leur donner accès à des données.

 

Archives

Nous sommes sociaux !

Articles récents