Revue Droits et libertés, Vol. 33, numéro 1, printemps 2014
Martine Eloy
Ligue des droits et libertés
Le 31 juillet 2003, à l’initiative de Privacy International, Access et Electronic Frontier Foundation, une centaine d’organisations de divers pays à travers le monde ont lancé un appel à l’endossement de principes internationaux pour encadrer la collecte et l’utilisation de données personnelles dans le respect des droits humains. Cet appel a été rédigé suite à une vaste consultation échelonnée sur une période de plus d’un an auprès d’ONG et d’expert-e-s internationaux sur les aspects juridiques, politiques et technologiques de la surveillance des communications.
Le développement de nouvelles technologies des communications et la capacité qui existe maintenant de numériser l’activité humaine ont rendu possible une collecte sans précédent de données sur tous les aspects de la vie des individus. Toutefois, un consensus général s’est développé au niveau international à savoir que les pratiques actuelles de surveillance sont allées trop loin. Il est urgent de prendre des mesures pour les encadrer, de façon à protéger les droits à la vie privée et à la liberté d’expression. S’appuyant sur le fait que les États ont des obligations à ce chapitre, les 13 principes proposent des balises pour la collecte et l’utilisation de données dans l’environnement numérique actuel.
En décembre 2013, le Conseil d’administration de la LDL a endossé Les principes internationaux pour l’application des droits humains à la surveillance des communications. Ces principes sont généraux, il est vrai, mais il nous incombe de les traduire en lois et règlements applicables ici.
____________________________________
Principes internationaux pour l’application des droits humains à la surveillance des communications[1]
Préambule
Le respect de la vie privée est un droit de l’homme (ndlr : un droit humain) fondamental, indispensable au bon fonctionnement des sociétés démocratiques. II est essentiel à la dignité humaine et renforce d’autres droits, tels que la liberté d’expression et d’information, ou la liberté d’association. Il est reconnu par le droit international des droits de l’homme. Les activités qui restreignent le droit au respect de la vie privée, et notamment la surveillance des communications, ne sont légitimes que si elles sont à la fois prévues par la loi, nécessaires pour atteindre un but légitime et proportionnelles au but recherché.
Avant la démocratisation d’Internet, la surveillance des communications par l’État était limitée par l’existence de principes juridiques bien établis et par des obstacles logistiques inhérents au contrôle des communications. Au cours des dernières décennies, les barrières techniques à la surveillance se sont estompées. Dans le même temps, l’application des principes juridiques aux nouvelles technologies a perdu en clarté. L’explosion des communications numériques et des informations relatives à ces communications, également appelées « métadonnées des communications » (termes qui désignent les informations portant sur les communications d’une personne ou sur son utilisation d’appareils électroniques), la baisse des coûts de stockage et d’exploration de grands ensembles de données, ou encore la mise à disposition de données personnelles par le biais de prestataires de service tiers, ont conféré à l’État des pouvoirs de surveillance sans précédent. Parallèlement, notre conception des droits de l’homme n’a pas encore intégré les récentes évolutions et la modernisation des moyens de surveillance des communications utilisés par l’État, de la capacité de ce dernier à combiner et organiser les informations obtenues par différentes techniques de surveillance, ou de la sensibilité croissante des informations accessibles.
(…) Malgré le risque élevé d’intrusion dans la vie privée des personnes et l’effet d’intimidation qu’il peut avoir sur les associations politiques ou autres, les instruments législatifs et réglementaires accordent souvent aux métadonnées une protection moindre. Ils ne limitent pas suffisamment la façon dont les agences gouvernementales peuvent manipuler ces informations, notamment pour les explorer, les partager et les conserver.
Pour que les États respectent réellement leurs obligations en matière de droits de l’homme au plan international dans le domaine de la surveillance des communications, ils doivent se conformer aux principes présentés ci-dessous. Ces principes s’appliquent à la surveillance exercée au sein d’un État ou la surveillance extraterritoriale. Ils sont mis en œuvre quel que soit l’objectif de la surveillance : application de la loi, sécurité nationale ou toute autre fin réglementaire. Ils concernent également l’obligation qui incombe à l’État de respecter les droits de chaque individu et de protéger ces droits contre d’éventuels abus commis par des acteurs non étatiques, et en particulier des entreprises privées. Le secteur privé assume une responsabilité équivalente en termes de respect des droits de l’homme, car il joue un rôle déterminant dans la conception, le développement et la diffusion des technologies, dans la mise à disposition des services de communication et, le cas échéant, dans la coopération avec les activités de surveillance des États. Néanmoins, le champ d’application des présents principes est limité aux obligations des États.
Des technologies et des définitions en pleine évolution
Dans un contexte moderne, le concept de « surveillance des communications » désigne le contrôle, l’interception, la collecte, l’analyse, l’utilisation, la préservation, la conservation, la modification ou la consultation d’informations qui contiennent les communications passées, présentes ou futures d’une personne, ainsi que de toutes les informations qui sont relatives à ces communications. Les « communications » désignent toute activité, interaction ou transaction transmise de façon électronique, telle que le contenu des communications, l’identité des parties impliquées, les données de localisation (adresses IP, par exemple), les horaires et la durée des communications, ainsi que les identifiants des appareils utilisés.
Le caractère intrusif de la surveillance des communications est traditionnellement évalué sur la base de catégories artificielles et formelles. Les cadres légaux existants font la distinction entre le « contenu » et les « données hors contenu », les « informations sur l’abonné » et les « métadonnées », les données stockées et celles en transit, les données conservées dans leur emplacement d’origine et celles transmises à un prestataire de services tiers. Pourtant, ces distinctions ne sont plus appropriées pour mesurer le niveau d’intrusion entraîné par la surveillance des communications dans la vie privée et les relations sociales des individus. Il est admis de longue date que le contenu des communications nécessite une protection légale importante dans la mesure où il peut révéler des informations sensibles. Toutefois, il est maintenant clair que d’autres informations issues des communications d’un individu, telles que les métadonnées et d’autres formes de données hors contenu, peuvent fournir plus de renseignements sur cette personne que le contenu lui-même. Elles doivent donc bénéficier d’une protection équivalente. (…) Par conséquent, toutes les informations qui contiennent les communications d’une personne ou sont relatives à ces communications, et qui ne sont pas publiquement et facilement accessibles, doivent être considérées comme des « informations protégées ». Elles doivent donc, à ce titre, bénéficier du plus haut niveau de protection au regard de la loi.
Pour évaluer le caractère intrusif de la surveillance des communications par l’État, il convient de prendre en considération non seulement le risque de divulgation des informations protégées, mais également les raisons pour lesquelles l’État recherche ces informations. Si la surveillance des communications a pour conséquence de révéler des informations protégées susceptibles d’exposer une personne à des enquêtes, des discriminations ou des violations des droits de l’homme, elle constitue à la fois une violation sérieuse du droit au respect de la vie privée et une atteinte à la jouissance d’autres droits fondamentaux tels que la liberté d’expression, d’association et d’engagement politique. En effet, ces droits ne sont effectifs que si les personnes ont la possibilité de communiquer librement, sans subir l’effet d’intimidation qu’engendre la surveillance gouvernementale. Il est donc nécessaire de rechercher, pour chaque cas particulier, tant la nature des informations collectées que l’usage auquel elles sont destinées.
Lors de l’adoption d’une nouvelle technique de surveillance des communications ou de l’extension du champ d’action d’une technique existante, l’État doit vérifier préalablement si les informations susceptibles d’être obtenues entrent dans le cadre des « informations protégées ». Il est ensuite tenu de se soumettre à un examen par le pouvoir judiciaire ou à un mécanisme de supervision démocratique. Pour déterminer si les informations obtenues par le biais de la surveillance des communications doivent être considérées comme des « informations protégées », il est judicieux de prendre en compte non seulement la nature de la surveillance, mais aussi sa portée et sa durée. Une surveillance généralisée ou systématique peut entraîner la divulgation d’informations privées au-delà des données collectées individuellement. Elle est donc susceptible de conférer à la surveillance des informations non protégées un caractère intrusif nécessitant une protection renforcée.
Pour déterminer si l’État peut ou non entreprendre une surveillance des communications faisant intervenir des informations protégées, il convient de se conformer aux principes ci-dessous.
Résumé des 13 principes internationaux
Légalité : Toute limitation au droit à la vie privée doit être fixée par la loi.
Objectif légitime : Les lois doivent seulement autoriser la surveillance des communications par des autorités étatiques identifiées afin d’atteindre le but légitime qui correspond à un intérêt légal essentiel, nécessaire dans une société démocratique.
Nécessité : Les lois autorisant la surveillance des communications par l’État doivent limiter la surveillance à ce qui est strictement et manifestement nécessaire au but légitime.
Pertinence : Tout cas de surveillance des communications autorisé par la loi doit concourir à la réalisation du but légitime spécifique identifié.
Proportionnalité : Les décisions concernant la surveillance des communications doivent assurer un équilibre entre les bénéfices recherchés et les atteintes aux droits des utilisateurs et des intérêts en présence.
Autorité judiciaire compétente : Les décisions concernant la surveillance des communications doivent être prises par une autorité judiciaire compétente impartiale et indépendante.
Procédure équitable : Les États doivent respecter et garantir le respect des droits fondamentaux de chaque individu en s’assurant que des procédures légales régissant les atteintes aux droits de l’homme sont correctement édictées par la loi, systématiquement appliquées, et mise à disposition du public.
Notification à l’utilisateur : Les individus doivent se voir notifier toute décision autorisant la surveillance de leurs communications dans un délai suffisant et avec assez d’informations pour leur permettre de faire appel de la décision, et doivent avoir accès à tous les documents présentés pour soutenir la demande d’autorisation.
Transparence : Les États doivent faire preuve de transparence à l’égard de l’utilisation et de l’étendue des techniques et des possibilités de surveillance des communications.
Contrôle public : Les États doivent établir des mécanismes de contrôle indépendants afin de garantir la transparence et la redevabilité dans le cadre de la surveillance des communications.
Intégrité des communications et des systèmes : Les États ne doivent pas contraindre les fournisseurs de services et les vendeurs de matériel informatique ou de logiciel à développer au sein de leurs systèmes des capacités de surveillance ou de contrôle, ou à collecter ou à stocker des informations.
Garanties relatives à la coopération internationale : Les traités d’assistance judiciaire mutuelle en vigueur entre les États doivent garantir qu’en matière de surveillance des communications la loi applicable soit celle présentant le plus haut degré de protection.
Garanties relatives à l’accès illégitime : Les États doivent adopter une législation criminalisant la surveillance illégale des communications par des acteurs publics ou privés.
[1] Pour la version intégrale, la liste complète des signataires ou endosser les principes : rendez vous sur le site https://www.necessaryandproportionate.org