L'actualité récente donne des informations très précieuses sur la manière dont l'administration américaine perçoit la protection des données, c'est à dire comme une notion qu'il faut, par tous moyens, sortir du droit positif. L'idée générale est en effet de permettre aux autorités, mais aussi aux entreprises américaines d'utiliser toutes les données personnelles qui circulent dans le monde pour asseoir une hégémonie politique, économique et culturelle. L'objectif est certes ambitieux, mais les Etats Unis ont les moyens financiers de leur mettre en oeuvre, à la fois par l'acquisition de matériels sophistiqués et par l'utilisation optimale des cabinets de lobbying.
Il est, par ailleurs, facilité par une conception de la vie privée beaucoup moins exigeante que celle qui existe en Europe. Souvenons nous en effet que la société s'est largement construite sur la base religieuse d'un puritanisme qui considérait, et qui considère toujours, que la vie des personnes doit se dérouler sous les yeux de la communauté. Conception dépassée ? Certainement pas, et il suffit pour cela de regarder les jolies banlieues américaines, maisons alignées sans clôtures et sans rideaux. Le rêve des Américains, et le cauchemar des Européens.
Sur un plan tactique, l'objectif peut être atteint de deux manières, d'une part en développant un système de contrôle américain de l'ensemble des données personnelles circulant dans le monde, d'autre part en empêchant l'Union européenne de mettre en place un standard plus contraignant dans ce domaine.
Un système de contrôle planétaire : PRISM
La vieille Europe découvre avec horreur que les Etats Unis sont désormais dotés d'un programme de surveillance des internautes étrangers. Le Washington Post et le Guardian ont diffusé le 7 juin des informations relatives au système PRISM, instrument de surveillance mondiale des données personnelles circulant sur internet. Elles proviennent de révélations faites par Edward Snowden, un jeune technicien de sécurité travaillant depuis quatre ans pour le compte de la National Security Agency (NSA) et aujourd'hui, réfugié à Hong Kong.
Disons-le franchement, le p
rogramme PRISM n'est pas si surprenant que cela. Sur le plan juridique, la section 702 du Foreign Intelligence Surveillance Act (FISA), issue du
FISA Amendments Act de 2008, autorise la National Security Agency (NSA) à collecter des informations sur des personnes habitants hors des Etats-Unis. Sur le plan plus des pratiques mises en oeuvre par les services de renseignement américains, le programme PRISM a quelque chose de familier. Il rappelle son ancêtre, le célèbre
système Echelon, qui a donné lieu à deux rapports, l
'un de l'Assemblée nationale en France,
l'autre du Parlement européenne, et qui organisait l'interception des communications publiques et privées mondiales par des moyens électroniques. Il est vrai qu'Echelon est le fruit du
traité UKUSA conclu, dès 1946, entre les Etats Unis et ses amis, l'Australie, la Nouvelle Zélande et, bien entendu, le Royaume Uni.
L'originalité du système PRISM n'est donc pas tant dans ses origines juridiques et techniques que dans les moyens considérables mis en oeuvre. A partir d'une disposition du FISA qui autorisait une surveillance individuelle, l'administration a mis en place un système de surveillance généralisée de l'ensemble des données circulant sur internet, collectant environ 97 milliards de données par mois. Surtout, ce programme repose sur une collaborations avec les grandes entreprises du Web, comme AOL, Apple, Facebook, Google, Microsoft, Yahoo etc. Il est vrai que les modalités de collaboration de ces entreprises restent aujourd'hui peu claires. Ont elles directement communiqué leurs données à la NSA ou simplement laissé subsister, dans leur système, une "porte dérobée". On l'ignore pour le moment, mais l'essentiel demeure que les entreprises américaines coopèrent, dans leur grande majorité, au programme PRISM.
|
La vie des autres. Florian Henckel von Donnersmarck. 2006. Ulrich Mühe. |
|
Echec du projet de règlement européen
Dans ces conditions, l'échec rencontré à Bruxelles par le
projet de règlement sur la protection des données personnelles prend une signification nouvelle. Le 6 juin 2013, c'est à dire la veille de la révélation de PRISM, les ministres de la justice des Etats membres de l'Union européenne ont repoussé l'adoption du projet présenté par la Commission. Celle-ci doit retravailler son texte, et l'adoption d'un standard européen sur la protection des données se trouve repoussée à une date ultérieure, peut-être relativement lointaine, si l'on considère que le projet repoussé devait entrer en vigueur en 2016.
Pourquoi cet échec ? Il y a évidemment des raisons officielles. Pour Christiane Taubira, ministre français de la justice, le texte est trop laxiste. Elle lui reproche la disparition du consentement explicite demandé à l'intéressé lors de la collecte d'informations personnelles le concernant. Le projet repose en effet sur une présomption de consentement, et Christian Taubira fait justement observer que "Ne rien dire, ce n'est pas la même chose que dire oui". Pour les Français, le projet de directive est donc très en-deçà du standard de protection actuellement en vigueur.
Pour Chris Grayling, secrétaire d'Etat britannique à la justice, le
texte risque de pénaliser les PME actives dans le domaine numérique, sur
lesquelles le projet de règlement ferait peser des contraintes trop
lourdes. Les obligations de se plier à des procédures d'évaluation de
leur système de protection des données ou de conserver une trace de
toutes les opérations touchant des données personnelles sont ainsi
présentées comme de nature à créer une distorsion de concurrence par
rapport aux entreprises de pays tiers, non soumis aux règles
européennes. Pour les Anglais, le projet est trop contraignant.
Ce lobbying est effectué à l'initiative des firmes américaines de l'économie numérique qui ont aujourd'hui une importance mondiale. Elles y ont tout intérêt et on imagine à quel point Google, actuellement menacée par la CNIL agissant au nom des autorités de contrôle européennes, serait satisfait de voir disparaître le droit communautaire de la protection des données. Et derrières Google, les autorités américaines ne seraient certainement pas fâchées de lui substituer un système reposant sur la libre circulation des données. Convenons-en, la conception européenne de la protection des données qui privilégie la vie privée des individus, est une gêne pour un pays qui veut contrôler l'ensemble des flux de données personnelles.
La "Privacy in Design"
A la protection de la vie privée, l'idéologie américaine propose de substituer la "Privacy in Design", concept actuellement très à la mode chez les chefs d'entreprise français, toujours très inspirés par leurs homologues américains. La "Privacy in Design" suppose la mise en oeuvre de la protection de la vie privée dès la conception du logiciel. Et l'idée générale est que les autorités de contrôle, s'il y en a encore, sont sollicitées pour donner un agrément à ce logiciel. Ensuite, elles sont priées de ne plus intervenir, la protection des données étant réputée définitivement acquise. Et s'il existe une "porte dérobée" vers PRISM, qui ira la découvrir ?
Le "Big Data"
A l'interdiction du profilage, c'est à dire de la détermination d'un profil de comportement d'une personne à partir des données qu'elle laisse sur une internet, l'idéologie américaine préfère le "Big Data". A partir de l'immense masse de ces données, il s'agit alors de développer des applications qui traitent ces informations pour en tirer du sens. Cette gestion du "Big Data" peut ainsi permettre de connaître les opinions politiques des internautes, mais aussi leurs habitudes de consommation, ou les éléments les plus intimes de leur vie privée. Bien au delà du profilage, l'objet est d'avoir une modélisation totale de ces informations sur une population donnée, dans une but évidemment de marketing commercial, mais aussi politique et de sécurité.
Pour le moment, les outils statistiques destinés à traiter le "Big Data" ne sont heureusement pas encore parfaits, mais ils peuvent le devenir. On comprend alors que le droit européen de la protection des données constitue une entrave au développement de cette technologie, dès lors qu'il interdit la profilage. On comprend aussi pourquoi les firmes américaines, et derrière elles les autorités américaines, ont utilisé tous les outils possibles de lobbying pour faire repousser le projet de règlement.
L'enjeu est de taille, car il ne fait aucun doute que l'objectif final est la disparition pure et simple du standard européen de protection des données. En invoquant les bienfaits de la mondialisation, les Etats Unis mettent en place une hégémonie mondiale qui ne passe plus par la supériorité militaire, mais par d'autres moyens comme la suprématie du dollar et le contrôle d'internet. Tout cela s'organise avec une complicité passive des entreprises et des citoyens européens. Les premières se réjouissent de voir mis en place un droit de l'internet moins contraignant, et les seconds n'hésitent pas à diffuser sur Google ou sur Facebook des données liées à leur vie privée qui seront ensuite diffusées à ceux qu'elles intéressent, dans la plus grande opacité.
Pour les Etats Unis, internet n'est pas l'instrument d'une liberté mais celui d'un contrôle total des internautes, une surveillance généralisée que l'ancienne Union soviétique et les pays satellisés ont bien connu, à une autre époque et avec des moyens plus rudimentaires, ceux que l'on peut voir dans le film "La vie des autres". Devra t on bientôt considérer que internet, pour les Etats Unis, c'est l'ancienne Allemagne de l'Est à l'échelle mondiale ? C'est à l'Europe de démontrer le contraire.