Connexion
Abonnez-vous

Schrems II : comment les États-Unis veulent encadrer la « collecte en vrac » des données des Européens

NSA 2.0

Schrems II : comment les États-Unis veulent encadrer la « collecte en vrac » des données des Européens

Le 03 mars 2023 à 15h55

Le Comité européen de la protection des données (CEPD, ou EDPB en anglais), qui regroupe l’ensemble des autorités de protection des données au niveau européen, vient de se prononcer sur la proposition faite par les États-Unis à la Commission européenne. Occasion de revenir sur ladite proposition.

Les transferts transatlantiques de données font l'objet, depuis des années, d'une bataille rangée. D'un côté, les défenseurs européens du droit à la vie privée, et donc du RGPD. De l'autre, les partisans de la « libre circulation des données », pour reprendre l'expression consacrée par la directive européenne de 1995 sur la protection des données personnelles, « relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données »

Répondant à l’invalidation du Privacy Shield en juillet 2020 par la Cour de justice de l’Union européenne (CJUE), suite à l'affaire dite « Schrems II », le président des États-Unis avait ainsi adopté le 7 octobre 2022 un nouveau cadre juridique « pour renforcer les garanties concernant la collecte et l’utilisation des données personnelles par les services de renseignement américains », rappelle la CNIL.

Cet Executive Order (EO) 14086 sur le renforcement des garanties pour les activités de renseignement électromagnétique (SIGINT) précisait les mesures prises par les États-Unis pour mettre en œuvre les engagements américains en vertu du cadre transatlantique de confidentialité des données annoncé par le président Biden et la présidente de la Commission européenne von der Leyen en mars 2022. 

Objectif : légaliser un business de 7 100 milliards de dollars

Les États-Unis s'étaient alors engagés à ce que les activités de renseignement électromagnétique (ROEM ou SIGINT, en anglais) soient « nécessaires et proportionnées » à la poursuite d'objectifs de sécurité nationale définis, garantissant « la confidentialité des données à caractère personnel de l'UE et à créer un nouveau mécanisme permettant aux citoyens de l'UE de demander réparation s'ils croient avoir été illégalement ciblés » : 

« Il s'agit de l'aboutissement de plus d'un an de négociations approfondies entre l'UE et les États-Unis à la suite de la décision de la Cour de justice de l'Union européenne de 2020 selon laquelle le cadre antérieur UE-États-Unis, connu sous le nom de Privacy Shield, ne satisfaisait pas aux exigences de la législation de l'UE. »

L'objectif n'était pas tant de protéger les citoyens européens des grandes oreilles de la NSA que de sécuriser les transferts de données, « essentiels à la relation économique transatlantique [...] dans tous les secteurs de l'économie » : 

« En fait, plus de données circulent entre les États-Unis et l'Europe que partout ailleurs dans le monde, permettant la relation économique de 7,1 billions de dollars entre les États-Unis et l'UE [un « trillion » en anglais représente 1 billion en français (mille milliards), soit 7 100 milliards de dollars, NDLR]. En garantissant une base juridique durable et fiable pour les flux de données, le nouveau cadre transatlantique de confidentialité des données soutiendra une économie numérique inclusive et compétitive et jettera les bases d'une coopération économique plus poussée. »

Dans le cadre de ce « mécanisme juridique important » pour les transferts transatlantiques de données à caractère personnel, les États-Unis avaient pris « des engagements sans précédent » pour :

  • renforcer les garanties de confidentialité et de libertés civiles régissant les activités de renseignement électromagnétique des États-Unis ;
  • établir un nouveau mécanisme de recours doté d'une autorité indépendante et contraignante ; et
  • améliorer sa surveillance rigoureuse et multidimensionnelle actuelle des activités de renseignement électromagnétique.

De la « collecte en vrac » à la « surveillance de masse »...

L'association noyb, à l'origine de l'affaire Schrems II et de l'invalidation du Privacy Shield, avait de son côté déploré que le nouveau décret « ne semble pas répondre » aux deux exigences fixées par la CJUE. Cette dernière avait en effet demandé que la surveillance américaine soit « proportionnée » au sens de l'article 52 de la Charte des droits fondamentaux (CFR), et qu'elle permette un « recours judiciaire », comme l'exige l'article 47 de la CFR. 

Or, résumait noyb, « la "surveillance de masse" continue et le "tribunal" n'est pas un vrai tribunal ». Cette divergence d'interprétation repose en fait sur un différend sémantique, comme nous l'expliquions dans notre série sur ce que les employés de la NSA ont le droit de faire, ou pas.

La communauté du renseignement américain et ses partenaires anglo-saxons des Fives Eyes (Royaume-Uni, Canada, Australie, Nouvelle-Zélande), parlent en effet de « bulk collection », que l'on pourrait traduire en français par « collecte en vrac », définie comme suit dans l'EO 14086 :

« "Collecte en vrac" désigne la collecte autorisée de grandes quantités de données de renseignement électromagnétique qui, en raison de considérations techniques ou opérationnelles, sont acquises sans recours à des discriminants (par exemple, sans utilisation d'identifiants ou de termes de sélection spécifiques). »

... de données dont la majeure partie ne sont pas exploitées

Michael Hayden, ancien directeur de la CIA et de la NSA, avait ainsi expliqué à la NPR, en réponse aux révélations Snowden, que la majeure partie des données collectées de la sorte n'étaient pas utilisées. Interrogé sur cette incongruité, il avait rétorqué que pour pouvoir trouver une aiguille dans une botte de foin, il faut d'abord récupérer la botte de foin. Ce qui ne signifie pas que la NSA surveille ou analyse l'intégralité des pailles.

Ses analystes ne sont en effet autorisés qu'à chercher des « sélecteurs de tâches » (« tasked selectors »), tels que des noms, n° de téléphone ou de port, associés à des tactiques, techniques et procédures (TTP) de cyberattaques émanant d'Advanced persistent threats (APT) par exemple (adresses e-mail ou IP, etc.). Ils doivent être approuvés par leurs supérieurs et limités à six catégories bien définies, comme le rappelle la section « Bulk collection of signals intelligence » de l'EO 14086 :

  1. la protection contre le terrorisme, la prise d'otages et la détention d'individus par ou au nom d'un gouvernement étranger, d'une organisation étrangère ou d'une personne étrangère ;
  2. la protection contre l'espionnage, le sabotage, l'assassinat ou d'autres activités de renseignement menées par, au nom ou avec l'aide d'un gouvernement étranger, d'une organisation étrangère ou d'une personne étrangère ;
  3. la protection contre les menaces liées au développement, à la possession ou à la prolifération d'armes de destruction massive ou de technologies et de menaces connexes menées par, au nom ou avec l'aide d'un gouvernement étranger, d'une organisation étrangère ou d'une personne étrangère ;
  4. la protection contre les menaces de cybersécurité créées ou exploitées par, ou contre les cyberactivités malveillantes menées par ou pour le compte d'un gouvernement étranger, d'une organisation étrangère ou d'une personne étrangère ;
  5. la protection contre les menaces à l'encontre du personnel des États-Unis ou de ses alliés ou partenaires ; et
  6. la protection contre les menaces criminelles transnationales, y compris le financement illicite et le contournement des sanctions liées à un ou plusieurs des autres objectifs identifiés à la sous-section (c)(ii) de la présente section.

La probabilité que les données « collectées en vrac » des citoyens européens soient surveillées (et a fortiori exploitées) par le renseignement américain apparaît dès lors extrêmement faible. Mais l'expression « surveillance de masse », improprement exploitée à l'envi depuis les révélations Snowden, suffit à semer le doute et la confusion.

Les USA « ne confirmeront ni n'infirmeront » quoi que ce soit

noyb reproche en outre au mécanisme de recours américain en deux étapes – la première étant confiée à un agent relevant du directeur du renseignement national et la seconde à une « Cour de révision de la protection des données » – de ne pas être « un vrai tribunal », mais « un organe relevant du pouvoir exécutif du gouvernement américain » :

« Les utilisateurs devront soulever des questions auprès d'un organisme national dans l'UE, qui à son tour soulèvera la question auprès du gouvernement américain. Le gouvernement américain ne confirmera ni ne niera que l'utilisateur était sous surveillance et informera seulement l'utilisateur qu'il n'y a pas eu de violation ou qu'il y a été remédié (voir section 3(c)(E) du décret). »

Ce qui, déplore noyb, rend impossible la possibilité de faire appel, d'avoir accès aux pièces du dossier, ainsi qu'à un jugement motivé, au profit d'une « réponse automatique », quels que soient vos arguments. L'EO 14086 précise en effet que les requérants, qu'ils aient été surveillés ou non, illégalement ou pas, recevront tous une réponse type se bornant à leur indiquer que  : 

« Soit l'examen n'a pas identifié de violations couvertes, soit la Cour de révision de la protection des données a rendu une décision exigeant des mesures correctives appropriées. »

Or, c'est aussi comme cela que procèdent, en France, les recours intentés auprès de la CNIL dès lors que l'on s'enquiert de figurer dans un fichier de renseignement, ainsi qu'auprès de la Commission nationale de contrôle des techniques de renseignement (CNCTR) afin de vérifier si l'on a été indûment surveillé par un service de renseignement.

Ni la CNIL ni la CNCTR ne détaillent aux requérants s'ils ont été surveillés, se bornant à vérifier que les services de renseignement ont respecté le cadre légal, et à les mettre en conformité si tel n'avait pas été le cas. Un déni plausible popularisé par la fameuse « Glomar response » de la CIA, qui ne peut « ni confirmer ni infirmer » quoi que ce soit.

Ils ne permettent pas plus d'accéder aux pièces du dossier, afin d'éviter que les personnes qui ont effectivement été surveillées n'en soient informées, mais aussi parce que ces éléments ne peuvent être déclassifiés à la demande d'un particulier. Ils sont réservés aux seuls agents du renseignement habilités ayant « besoin d'en connaître ».

Et s'il est possible d'intenter un recours, ce dernier sera examiné par le Conseil d'État, et donc la justice administrative, et non par la justice judiciaire, s'agissant d'autorités administratives indépendantes (AAI), et non de juges indépendants.

Nous reviendrons, dans un second article, sur l'opinion du Comité européen de la protection des données (CEPD, ou EDPB en anglais), qui regroupe l’ensemble des autorités de protection des données au niveau européen, au sujet de cette proposition.

Commentaires (6)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Et niveau espionnage ? Je crois qu’il y a une histoire concernant une boite française gérant des notes de frais. Un grand groupe utilisait leur service. La petite boite utilisait un cloud américain. Un gérant de la boite s’est fait coincé en amérique pour abus de biens sociaux par l’étude des données des notes de frais. Personne pas choisi aux hasard du tout.

votre avatar

Nul besoin de « collecte en vrac » pour cela, l’extraterritorialité du droit américain étant a priori bien plus efficace en la matière…

votre avatar
votre avatar

Accessoirement, la « collecte en vrac » de méta-données au niveau des telcos US comme des câbles sous-marins n’a été déployée que suite aux attentats du 11 septembre 2001, le système Echelon dont il était alors question reposant principalement sur la surveillance des télécommunications diplomatiques, militaires et satellites.

votre avatar

C’est fou, cet entêtement de certains à vouloir trahir les citoyens européens…

votre avatar

Merci pour le décryptage

Schrems II : comment les États-Unis veulent encadrer la « collecte en vrac » des données des Européens

  • Objectif : légaliser un business de 7 100 milliards de dollars

  • De la « collecte en vrac » à la « surveillance de masse »...

  • ... de données dont la majeure partie ne sont pas exploitées

  • Les USA « ne confirmeront ni n'infirmeront » quoi que ce soit

Fermer