CONSEIL DE L'EUROPE
Mme Sophie Kwasny, chef de l'unité de protection des données personnelles
5 février 2014
Plusieurs travaux du Conseil de l'Europe sont pertinents en matière de numérique même s'il ne s'agit pas véritablement de risque numérique mais du cadre législatif relatif aux droits de l'homme qui permet d'incriminer des atteintes touchant au numérique.
Il s'agit davantage de cerner le cadre juridique qui permet de protéger les personnes, d'abord grâce à la protection des données personnelles à travers des actions du Conseil de l'Europe concernant le monde entier : la Convention sur la cybercriminalité et la Convention sur la protection des données , qui a déjà trente-trois ans. Les rédacteurs de ce texte avaient bien saisi la vocation universelle de la matière et permis à des États d'adhérer à cette convention qui est, à l'heure actuelle, ratifiée par quarante-six États dont quarante-cinq sont des États européens étant précisé que, pour le Conseil de l'Europe, l'Europe s'étend jusqu'à la Russie, à la Turquie ou, selon la formule, « de l'Atlantique à l'Oural », le quarante-sixième État signataire étant l'Uruguay. Parmi les quarante-sept États membres du Conseil de l'Europe, seules la Turquie et Saint-Marin ne l'ont pas ratifiée.
Depuis l'affaire Snowden, au-delà des aspects économiques à ne pas négliger, se pose un grave problème de surveillance de masse. Plusieurs États, dont des États européens, ont appelé, dans le cadre des Nations unies, à l'élaboration d'un traité international protégeant le droit au respect de la vie privée . En plus du droit à la liberté d'expression, du droit à la liberté de réunion, d'association, du droit à la vie privée, le droit à la protection des données est un pilier des démocraties .
Face à cet appel aux Nations unies pour légiférer, le Conseil de l'Europe estime avec pragmatisme que, en termes de délais, il serait plus rapide de ratifier la Convention sur la protection des données, unique outil existant ouvert à la signature de tous les États du monde. La France, qui est partie à la convention, ne devrait pas manquer de se faire l'écho des bénéfices de cette convention.
Les Nations unies, pour l'instant, se bornent à considérer le respect de la vie privée alors que la convention accorde un droit à la protection des données comme étant un droit permettant l'exercice de plusieurs droits de l'homme et libertés fondamentales : du respect de la vie privée, certes, mais également de la liberté d'expression et de la liberté d'association. Traditionnellement, protection des données et libertés d'expression et d'association sont perçues comme étant en contradiction ; il y a toujours un équilibre à trouver, ce qui n'est pas facile. Avec les questions de surveillance de masse, on voit plusieurs acteurs américains, notamment M. Edward Snowden, exprimer une attente plus forte à l'égard du droit à la liberté d'expression également. Il s'agit donc de protéger les données personnelles, la vie privée et d'autres droits fondamentaux.
Depuis le traité de Lisbonne, l'Union européenne a compétence exclusive en matière de protection des données mais tout ce qui était anciennement du troisième pilier, à savoir la police et la coopération judiciaire, est du domaine de la compétence partagée.
La protection des données dans la convention du Conseil de l'Europe est une matière qui s'applique de manière complétement horizontale incluant le commerce, le marché intérieur et la police exercée par les autorités publiques.
Il y a trente-trois ans, la convention était le premier instrument juridique au niveau européen. En 1995, l'Union européenne a adopté une directive qui est toujours en vigueur. En janvier 2012, la Commission européenne a élaboré une proposition de règlement et une autre de directive. Alors que le règlement concerne, de matière générale, les données et le secteur privé, le projet de directive traite de la police et de la coopération judiciaire.
Les vingt-huit États de l'Union européenne sont parties à la convention et veillent à ce que la convention n'entre pas en contradiction avec ce qui se construit à Bruxelles.
La convention comprend une vingtaine d'articles, les articles principaux traitant de la protection des données stricto sensu étant les articles 5 à 12. Ce texte général se concilie très bien avec ce que fait l'Union européenne en la matière d'autant qu'elle se sert de cette convention comme d'un instrument à l'égard des États tiers. Au niveau des vingt-huit États signataires, l'Union européenne est allée beaucoup plus loin que la convention qui a pour ambition d'uniformiser à un certain niveau et permettait à terme aux États tiers de légiférer sur la base des droits de l'homme.
Le règlement européen en préparation s'appliquera directement aux États. Le Parlement européen doit adopter son rapport sur ce projet de règlement à l'occasion de la session plénière de mars 2014, juste avant les élections européennes.
Pour l'instant, cela bloque au niveau du Conseil de l'Union européenne car les États de l'Union ont déjà adopté le principe d'un report, ce qui pose un problème de calendrier puisque la nouvelle législation ne pourra être en place avant la fin de l'année 2014.
Quand le règlement sera adopté, son application directe en droit national interviendra au bout de deux ans. Le cadre de l'Union est très fort pour ses États membres et leur permet aussi de peser fortement dans le cadre du dialogue transatlantique. Pour l'Union européenne, la convention constitue vraiment un outil pour négocier avec les États tiers.
Dans cette convention, un article sur la sécurité des données impose des obligations et il faudrait en tirer parti pour mettre en place des notifications des violations de sécurité des données personnelles .
Le projet de règlement prévoit des sanctions très lourdes en termes financiers, ce qui n'est pas le cas dans la convention. L'objectif de la convention est d'y faire adhérer le plus grand nombre possible d'États, à charge pour ceux-ci d'adopter des législations nationales conformes.
Avec l'adoption de ces nouveaux textes, la loi de 1978 sera remplacée par le règlement européen qui nécessitera des lois d'application.
La France suit l'élaboration de ces textes de très près. La CNIL agit au sein du groupe de l'article 29 qui réunit tous les équivalents de la CNIL dans les vingt-huit États européens. Même si ce groupe n'a pas de pouvoir décisionnel, il suit de très près cette négociation.
La CNIL s'efforce de faire en sorte que le justiciable puisse s'adresser à l'autorité de contrôle de son pays ; des négociations sont en cours sur ce point.
C'est la commissaire européenne, Mme Neelie Kroes, néerlandaise, qui est en charge de tous les volets Internet et Mme Viviane Reding, luxembourgeoise, est la commissaire justice.
Lorsque le Parlement aura adopté son rapport et que le Conseil de l'Union, c'est-à-dire les gouvernements des États membres, aura adopté sa proposition, le trilogue entre la Commission européenne, le Parlement et le Conseil pourra commencer.
Le règlement, qui émane de la commissaire Viviane Reding, a été adopté par la commission dans son ensemble. Il est maintenant débattu par les gouvernements ; pour le moment, en mars 2014, la négociation est en cours au Parlement.
En janvier 2012, la Commission européenne a mis sur la table cette proposition et, depuis, le Parlement européen et le Conseil travaillent sur ce projet. Le Conseil souhaite maintenant que le délai soit reporté.
Déjà, la France va beaucoup plus loin que la Convention car elle met en oeuvre, au niveau national, des mesures plus protectrices que celles prévues par la convention. D'ailleurs, les vingt-huit États européens vont aujourd'hui beaucoup plus loin dans leur droit national dont la convention constitue la base, une sorte de socle minimal, même si ce n'est pas le langage utilisé en matière de droits de l'homme.
Aujourd'hui, les données ne sont plus franco-françaises ni situées exclusivement en France mais en Afrique ou ailleurs. Concrètement parlant, à partir du moment où quelque chose circule sur Internet, c'est très difficile de le localiser comme cela se constate avec le nuage numérique.
Les États-Unis d'Amérique n'ont pas l'intention d'adhérer à la convention et ils ne le pourraient d'ailleurs pas car, dans le système américain, il existe des distinctions très nettes entre secteur privé et secteur public. Dans le secteur privé ; certains secteurs comme celui de la santé sont très protégés alors que, pour Facebook, Google , le même type de réglementation n'existe pas. Après, c'est le quatrième amendement de la Constitution qui s'applique en matière de surveillance policière. Les États-Unis n'ont pas de loi générale sur ce thème même si le président Obama a présenté une proposition de Bill of rights sur ce thème ; pour l'heure, le Congrès ne l'a pas suivi. Pour le moment, quelles que soient les pressions, les États-Unis ne s'orientent pas vers ce genre de protectionnisme.
Les États-Unis ont protégé la santé, la finance, le crédit, par exemple. Certains États américains sont allés plus loin que d'autres dans la réglementation, les disparités existent donc à un niveau géographique.
Les contre-pouvoirs technologiques sont toujours plus forts que les textes juridiques. Tout est proportionnel à la cible, au danger ou autre. Il est important de sensibiliser chacun à la nécessité de se doter d'outils adaptés réduisant les vulnérabilités actuelles. Mais les sociétés qui sont des sociétés cibles, qui dépensent des millions pour la sécurité informatique, ne sont pas à l'abri d'attaques. Il y a une surenchère à la fois du côté des cybercriminels et de la sécurité à leur opposer.
Il y a aujourd'hui des logiciels qui permettent l'anonymisation sur Internet .
Un outil, qui s'appelle Tor , a permis de protéger des dissidents et des cyberdissidents dans des pays moins démocratiques que les nôtres. Le régime pouvait savoir que M. Untel s'était connecté à Tor , mais, ensuite, il ne pouvait tracer les connexions opérées.
Le Conseil de l'Europe est aussi assez actif en matière de gouvernance de l'Internet . Cela inclut les aspects politiques et également l'infrastructure, notamment la gestion par l' ICANN. C'est toujours à partir de la vision des droits de l'homme, de la démocratie que le Conseil de l'Europe prône un Internet ouvert et le principe de l'absence de préjudice (« do no harm ». Il faut que les États s'abstiennent d'actions de nature à créer un préjudice à la structure et au réseau Internet.
Actuellement, l' ICANN est la manifestation d'une hégémonie américaine dans la gestion du réseau. Toutefois, M. Fadi Chehade qui vient d'être nommé à la tête de l' ICANN souhaiterait changer cela ; des bureaux de l' ICANN s'ouvrent un peu partout dans le monde et une réflexion sur l'avenir de l'Internet est en cours.
L' ICANN sait qu'il y aura de plus en plus de demandes de révision du système si elle n'évolue pas d'elle-même.
Le Conseil de l'Europe tient à ce que l'Internet ouvert continue de bénéficier de façon égale à tout le monde, comme actuellement, conformément au principe de sa construction. Le Conseil est engagé dans les travaux de réflexion sur l' ICANN qui serait, une fois restructurée adéquatement, tout à fait à même de continuer à garantir cette neutralité.
En juin 2013, une déclaration du Comité des ministres du Conseil de l'Europe a souhaité que soient mis en place des contrôles à l'exportation des technologies de surveillance .
Le système d'attribution des noms de domaine fonctionne mais pose certains problèmes en matière de liberté d'expression. Le postulat de base est que l' ICANN fonctionne et que son système est suffisamment ouvert.
Le 10 mars 2014, à Paris, se tiendra le premier Forum français sur la gouvernance de l'Internet auquel participera le Conseil de l'Europe, notamment afin de contribuer à ces réflexions importantes et faire la promotion de nos savoirs en la matière.