A la manière d’une CNIL européenne, le CEPD a pour “objectif général de veiller à ce que les institutions et les organes communautaires respectent le droit à la vie privée“. Ce pour quoi, en décembre dernier, Peter Hustinx avait déjà qualifié (.pdf) cette directive sur la conservation des données, adoptée en 2006 en réaction aux attentats de Madrid et de Londres, d’”atteinte massive à la vie privée“, et qu’elle constituait “sans aucun doute l’instrument le plus préjudiciable au respect de la vie privée jamais adopté par l’Union européenne eu égard à son ampleur et au nombre de personnes qu’elle touche” :

Conserver les données relatives aux communications et les données de positionnement de tous les citoyens de l’Union européenne, chaque fois qu’ils utilisent leur téléphone ou internet, constitue une énorme ingérence dans le droit au respect de la vie privée de la population.

En fait, la question qui se pose n’est pas de savoir si l’accès à certaines données de la téléphonie et de l’Internet peut être nécessaire pour lutter contre des crimes graves, mais si cet objectif nécessite que les données relatives au trafic des communications de l’ensemble des citoyens soient conservées systématiquement pour des périodes allant jusqu’à deux ans ?

Le contrôleur européen à la protection des données s’étonnait de voir que, 7 ans après son adoption, aucun des États membres, pas plus que la Commission européenne, n’avait démontré l’efficacité de la directive, se permettant même d’exprimer “des doutes quant au fait que des preuves convaincantes seront fournies concernant la nécessité de conserver des données à une si grande échelle” :

L’heure est venue de fournir suffisamment de preuves pour étayer cet argument. Sans ces preuves, la directive sur la conservation des données devrait être retirée ou remplacée par un instrument plus ciblé et moins invasif remplissant les exigences de nécessité et de proportionnalité.

Une “alternative” : l’”abrogation”

Après analyse du récent rapport d’évaluation de la Commission européenne sur la directive sur la conservation des données (voir La France, championne d’Europe de la surveillance des télécommunications), le CEPD estime aujourd’hui que “la directive ne répond pas aux exigences fixées par le droit fondamental à la protection de la vie privée et des données, en particulier pour les raisons suivantes” :

• la nécessité de la conservation des données telle que fixée par la directive n’a pas été clairement démontrée ;
• la conservation des données pourrait être réglementée de façon moins intrusive ;
• la directive laisse une trop grande marge de manœuvre aux Etats membres quant aux finalités pour lesquelles les données peuvent être utilisées, et sur qui peut accéder aux données et sous quelles conditions.

De fait, si la directive a initialement été adoptée aux fins de lutte contre le terrorisme, de nombreux pays l’ont étendu à bien d’autres crimes et délits, la France allant même jusqu’à l’utiliser dans le cadre de la “protection de la propriété intellectuelle“.

Trois pays (Roumanie, Allemagne et République tchèque) ont annulé leurs transpositions en droit interne de la directive “au motif qu’elles étaient inconstitutionnelles“, la Cour suprême de la République de Chypre ayant de son côté déclaré anticonstitutionnelle l’accès aux données des personnes n’ayant pas été condamnées.

Dans le rapport (.pdf, en), plus long, consacré à cette prise de position, Peter Hustinx en arrive à la conclusion qu’”il est désormais clair que la directive sur la conservation des données ne peut plus continuer à exister dans sa forme actuelle“.

Il appelle donc aujourd’hui la Commission à “examiner plus en avant le caractère nécessaire et proportionnel de la directive, et en particulier de considérer des moyens alternatifs, moins intrusifs, pour la vie privée“, quitte à l’abroger :

Le CEPD demande à la Commission d’envisager sérieusement toutes les options possibles dans ce nouveau processus, y compris la possibilité d’abroger la directive.

Si fort soit-il, l’avis du CEPD, chargé de conseiller la Commission européenne, le Parlement européen et le Conseil “sur les nouvelles propositions de législation et autres initiatives ayant un impact sur le protection des données” n’est que consultatif : “L’objectif est de veiller à la préservation des droits fondamentaux des citoyens européens en matière de protection de la vie privée et des données personnelles“. Quelles que soient l’ampleur des atteintes aux droits fondamentaux qu’il peut dénoncer, rien n’oblige la Commission européenne à à s’y conformer.

Le jeu de mot du titre vous intrigue ? C’est que vous ne connaissez pas cette vidéo, qui a pas mal buzzé l’an passé : Ça, c’est vraiment PD.

Photos de chouettes (symbole de la Brigade de renseignement, qui chapeaute les unités militaires françaises de guerre électronique) CC Johan J.Ingles-Le Nobel, Vicki’s Nature, Left Hand, Dario Sanches, mereco.

«Présentée comme une mesure visant à sévir contre les pédophiles», la directive «appelle à une réglementation qui imposerait aux moteurs de recherche de procéder à l’enregistrement de toutes les requêtes» écrit le moteur. Face aux nombreuses attaques contre le texte et les manières utilisées pour le faire adopter, l’euro-député et co-auteur de la déclaration, Tiziano Motti s’est défendu avoir utilisé l’expression “moteurs de recherche” par “souci d’éviter les aspects techniques”.

“La vie privée est un droit fondamental et la base d’une société libre”

“La vie privée est un droit fondamental et la base d’une société libre. L’espionnage des citoyens respectueux de la loi n’est pas la voie à suivre», écrit Robert Beens, CEO d’Ixquick. Il s’engage à«s’opposer fortement au fait que cette mesure devienne une loi». Pour rappel, une déclaration n’a pas d’effet législatif direct, mais indique la position officielle du Parlement européen. Or d’ici septembre, la directive sur la conservation des données doit justement être évaluée, et peut-être ensuite révisée.

Sur le marché des moteurs de recherches, Ixquick se distingue par le respect de la vie privée : pas de cookies d’identification uniques, ni d’enregistrement des adresses IP. «Nous avons travaillé dur pour créer un moteur de recherche respectant la vie privée (…) en conformité avec les recommandations strictes du Groupe de travail 29. Cette déclaration est la preuve que la main gauche de l’UE ne sait pas ce que fait la main droite» a déclaré Robers Beens le CEO d’Ixquick. En 2008, le site s’est vu remettre un sceau européen de la protection de la vie privée par le CEDP (Contrôleur européen de la protection des données).

“Les délinquants sexuels échangent des fichiers à travers des réseaux souterrains”.

“Les délinquants sexuels échangent des fichiers à travers des réseaux souterrains. Ils ne trouvent pas ce genre de choses par le biais des moteurs de recherche. J’ai passé huit années à aider les forces de l’ordre à suivre les délinquants sexuels en ligne et pas une fois nous avons vu un cas où les données des moteur de recherche ont été utiles” déclare de son côté Alex Hanff de Privacy International.

L’organisation a récemment lancé une campagne contre cette mesure qu’elle qualifie de “draconienne, illégale et profondément intrusive”. Une campagne à laquelle Ixquick annonce se joindre.

Sur le même sujet :
- Instrumentalisation de la pédo-pornographie en Europe
- Conservation des données par les moteurs de recherche: l’Europe s’agite
- Déclaration 29 adoptée: vers des moteurs d’archives

Un texte en cache un autre

Ainsi, la la déclaration 29 (pdf) «invite le Conseil et la Commission à «mettre en œuvre la directive 2006/24/CE en l’étendant aux moteurs de recherche (…)”. On note que la référence, par son numéro, à la directive sur la conservation des données n’est pas explicite. Et le texte très imprécis : quelles données, quelle durée et pour quelle utilisation ?

Surtout, les supports (prospectus, affiches, site web”, etc.) utilisés pour inciter les euro-députés à signer la déclaration, ne mentionnent jamais ce point. Y figure seulement la création du système d’alerte rapide, ce que nombre d’euro-députés sont prêts à soutenir. Une méthode que Françoise Castex (S&D) qualifie de “malhonnête intellectuellement”.

Il y a deux semaines, le texte avait recueilli 324 signatures, soit près des 369 nécessaires à son adoption. Certains euro-députés ont découvert l’existence ont alors découvert l’existence de cette mesure. Estimant avoir été induits en erreur, ils ont retiré leur signature, et appelé leurs collègues à faire de même.

Et, il y a quelques jours, le nombre de signataires était inférieur à 300. En réaction mardi dernier, Tiziano Motti a envoyé un mail de “clarification” à l’ensemble des euro-députés. Il y explique avoir utilisé les termes “moteurs de recherche” par “souci d’éviter les aspects techniques”. Et que l’initiative concerne en fait «les contenus, images et vidéos figurant des abus d’enfants sur des plates-formes Internet”, tels que Facebook ou YouTube. Jeudi, le texte avait ses 369 signatures.

Quelle portée ?

Hier, dans une interview au au site suédois Europaportalen l’euro-député rappelle qu’une déclaration écrite n’est pas un texte législatif. En effet. Mais elle indique la position officielle du Parlement européen vis-à-vis de la Commission. Or, justement la directive sur la conservation des données doit être bientôt évaluée par la commissaire aux Affaires Intérieures, Cécilia Malmström. Et pourrait être révisée avant fin 2010.

Signalons que, par ailleurs, Cécilia Malmström est l’auteur de la proposition de directive “relative à l’exploitation et aux abus sexuels concernant des enfants et à la pédo-pornographie”, dont l’article 21 envisage de filtrer les contenus au niveau des FAI. Mesure sur laquelle le Contrôleur européen de la protection des données (CEPD) a émis un avis très critique quand à son impact “sur les droits fondamentaux à la vie privée et à la protection des données”.

La déclaration écrite 29, qu’est-ce que c’est ?

Le texte, dit déclaration 29 (PDF) a été déposé le 19 avril dernier, à l’initiative de Tiziano Motti et d’Anna Zaborska, deux députés européens du PPE (Parti chrétien-démocrate), le groupe le plus important au Parlement.

Il comporte deux points :

- le premier propose la création d’un Système d’Alerte Rapide Européen (SARE), soit un moyen coordonné entre les États membres pour combattre la pédo-pornographie et le harcèlement sexuel.

- le second “invite le Conseil et la Commission à mettre en œuvre la directive 2006/24/CE en l’étendant aux moteurs de recherche pour contrer avec rapidité et efficacité la pédo-pornographie et le harcèlement sexuel en ligne”.

Étendre la conservation des données aux moteurs de recherche

La directive 2006/24/CE à laquelle il est fait référence, concerne la conservation des données. Elle a été adoptée au cours de la législature précédente, après une forte pression du Conseil, et malgré une opposition de la Commission des Libertés civiles. Elle exige que les fournisseurs d’accès Internet (FAI) et opérateurs de téléphone conservent, pendant une période allant de six mois à deux ans, des données permettant notamment d’identifier la source, la destination, la date et la durée d’une communication. Cela concerne uniquement des données techniques. En aucun cas cela porte sur le contenu des communications.

Dans quelles conditions, pour lutter contre la pédo-pornographie, cela pourrait être “étendu” aux moteurs de recherche ? La déclaration 29 est plus qu’imprécise. Elle n’indique ni la nature, ni les conditions de conservation de ces données. Contactés par nos soins, les auteurs de la déclaration, Tiziano Motti et Anna Zaborska, n’ont pas donné suite.

Quelles sont les conséquences d’une telle déclaration ?

Une déclaration écrite n”a pas d’effet législatif direct. Mais, quand elle est adoptée, elle indique la position officielle du Parlement européen sur le sujet. Elle est un signal important envers la Commission.

Or, d’ici septembre, la commissaire aux Affaires Intérieures, Cécilia Malmström, doit justement évaluer la façon dont la directive sur la conservation des données a été transposée. Cela pourrait être suivi d’une révision du texte avant fin 2010. À noter que Cécilia Malmström est également l’auteur de la proposition de directive “relative à l’exploitation et aux abus sexuels concernant des enfants et à la pédo-pornographie”, qui vise notamment à instaurer un filtrage des contenus au niveau des FAI.

Si la déclaration 29 requiert le nombre suffisant de signatures, la Commission pourra en tenir compte dans son évaluation. Pour être adoptée, une déclaration écrite doit être signée par la moitié des membres inscrits, soit 369 signatures. À ce jour, la déclaration en a recueilli 324. Il est donc très vraisemblable qu’elle soit bientôt adoptée. À moins qu’il y ait un vaste mouvement de retrait.

“Malhonnête intellectuellement”

Le fait d’étendre la directive sur la rétention des données aux moteurs de recherche est totalement occulté dans les différents supports utilisés pour inciter les eurodéputés à apposer leur signature à la déclaration 29. La communication est uniquement basée sur la création du Système d’Alerte (SARE), ce à quoi beaucoup d’eurodéputés adhèrent.

En effet, ceci n’est pas mentionné dans le texte de présentation de la déclaration (PDF), disponible sur un site Internet dédié et curieusement intitulé “smile29″. Il ne l’est pas plus ni sur les plaquettes distribuées au sein du Parlement européen, ni dans les mails envoyés aux eurodéputés.
“Ce point sur l’extension de la rétention des données n’est indiquée nulle part sur les prospectus distribués à l’ensemble des députés et sur le site smile29, ce qui est malhonnête intellectuellement”
nous indique l’euro-députée Françoise Castex (S&D) qui, depuis, a retiré son nom de la liste des signataires.

De plus, dans le texte même de la déclaration (PDF), le nom de la directive n’apparaît pas ; elle est simplement référencée par son numéro (“directive 2006/24/CE”), sans préciser ou rappeler de quoi il s’agit.

“Nouvelle brique à la société de surveillance”

La semaine dernière, le sujet a fait du bruit en Suède. Alertés sur la teneur réelle de la déclaration 29, des euro-députés ont réagi publiquement.

“Cette proposition ajoute une nouvelle brique à la société de surveillance, écrit Christian Engström, du Parti Pirate, sur son blog. Si cette déclaration est adoptée, Mme Malmstrom va rajouter de l’essence sur le feu. Elle pourra poursuivre sa croisade contre un Internet libre et ouvert sous la bannière de la pornographie enfantine.”

Avec Lena Ek (ADLE), il a adressé une question écrite à la Commission à ce sujet.“L’UE n’a pas le droit de fouiner dans ce que les gens recherchent en ligne. Le droit à la vie privée est la pierre angulaire d’une société libre”indique Lena Ek dans un communiqué de presse.

Parallèlement, des eurodéputés ont annoncé le retrait de leur signature, et exhorté leurs collègues à faire de même. Ainsi, Cecilia Wikstrom (ADLE) a envoyé un mail expliquant comment elle avait été induite en erreur. Elle dit avoir retiré sa signature et invite ses collègues à la suivre. “Cecilia Wikstrom est un exemple clair de la façon dont les députés ont été trompés. Quand elle a été contactée à ce sujet, elle a expliqué ne pas avoir eu connaissance d’avoir fait quelque chose destiné à renforcer la directive sur la conservation de données, et a immédiatement retiré sa signature” explique le bloggeur suédois Marcin de Kaminski.

Selon le site DN, neuf eurodéputés suédois auraient déjà fait marche arrière. Et le mouvement a commencé à se rependre au sein du Parlement européen. Dans un mail intitulé “Warning about written declaration on paedophiles (no 29)” que nous nous sommes procurés, l’allemand Alexander Alvaro (FDP) soutient l’appel de Cecilia Wikstrom, et appelle, à son tour ceux qui auraient signé la déclaration “sans avoir connaissance du problème mentionné” à retirer leur signature.

“Le fait d’accéder, en connaissance de cause”

Comme dit plus haut, la commissaire Cécilia Malmström, en charge de la directive sur la conservation des données, est également l’auteur de la proposition de directive (PDF) pour lutter contre la pédo-pornographie. Outre l’article 21 visant au filtrage de contenus sur Internet, un autre article, le 5, dit : “Le fait d’accéder, en connaissance de cause et par le biais des technologies de l’information et de la communication, à de la pédo-pornographie est passible d’une peine privative de liberté maximale d’au moins un an.”

Reste à comprendre le sens et la portée de : “le fait d’accéder en connaissance de cause”. Nous avons posé la question au bureau de Cécilia Malmström qui n’a pas donné suite. Selon Cédric Manara, professeur de droit à l’EDHEC : “cela a pour objet de viser celui qui cherche des contenus sensibles, pas celui qui tomberait dessus par hasard”.

Au regard de la déclaration 29, on peut donc se demander si cela pourrait concerner la saisie de mots-clés explicites dans un moteur de recherche.

L’atteinte aux droits fondamentaux au nom de la pédo-pornographie

Si l’objectif est bien la conservation des mots-clés, cela porterait directement atteinte aux libertés fondamentales des internautes. Tout comme le filtrage prévu par la directive, et sur lequel le Contrôleur européen de la protection des données (CEPD) a émis un avis très critique quand à son impact “sur les droits fondamentaux à la vie privée et à la protection des données” (lire article).

Cependant nous explique Cédric Manara : ” les libertés fondamentales peuvent faire l’objet d’exceptions pour la protection de valeurs supérieures, par exemple pour protéger l’ordre public. Dans ce cadre, la lutte contre la pédo-pornographie peut ainsi justifier certaines mesures restrictives de libertés fondamentales.” Et de poursuivre : “le problème est que, depuis plusieurs années, on met toujours en avant la lutte contre la pédo-pornographie pour montrer que certaines pratiques sont possibles afin de chercher ensuite à les étendre tous azimuts”. Selon lui : “on cherche à provoquer des mesures de filtrage ou de blocage pour des raisons exceptionnelles et impérieuses (en mettant en avant la protection des enfants et des valeurs fondamentales), et un jour venu on dit : ça existe pour ces contenus-ci, on doit donc pouvoir les étendre à ces contenus-là”.

Instrumentalisation et glissement

Ce glissement, sous couvert d’assimilation et d’instrumentalisation, n’est plus à démontrer. Par exemple, en 2008, Jérôme Roger, représentant de la Société Civile des Producteurs de Phonogrammes en France, expliquait à PC Inpact:“les solutions de filtrage qui pourraient être déployées à cette occasion [lutte contre la pédo-pornographie, ndlr] devraient faire l’objet d’une réflexion à l’égard des contenus, dans le cadre de la propriété intellectuelle”.
Plus récemment, dans les colonnes du New York Times, Bono (U2) lançait : “Nous savons par le noble effort de l’Amérique pour stopper la pédo-pornographie, sans parler de l’effort ignoble de la Chine pour réprimer la dissidence en ligne, qu’il est parfaitement possible de suivre le contenu”, mettant au même niveau le combat contre la pédo-pornographie, la censure chinoise et le droit d’auteur.

Pour Jérémie Zimmermann, porte-parole de la Quadrature du Net : “Qu’il s’agisse de “protection” des artistes ou de l’enfance, la ficelle est la même : instrumentaliser un argument émotionnel fort pour justifier d’aller vers toujours plus de contrôle du réseau et des communications entre individus. Hadopi, Loppsi, ACTA, rapport Gallo, etc., c’est une seule et même offensive contre un Internet ouvert et libre.”
Sur le même sujet :
- Loppsi : Le Sénat opte pour un filtrage sans juge
- L’autorité européenne de protection des données critique le filtrage

—

Image CC Flickr Laughing Squid

À lire aussi : Une association de victimes de pédocriminels s’élève contre le blocage des sites ; La pédopornographie au secours des majors

Après voir rappelé qu’il ne remet pas en cause la nécessité de mettre en place “des mesures adéquates pour protéger les enfants contre de tels abus”, il émet de vives critiques sur le projet de filtrer des sites Internet. Notamment sur son impact “sur les droits fondamentaux à la vie privée et à la protection des données”. Tout en soulignant que cette position n’est pas spécifique à la lutte contre la pornographie enfantine en ligne, “mais à toute initiative visant à la collaboration du secteur privé à des fins de répression”.

Le blocage des sites Internet selon la directive

Pour rappel, la proposition de directive, de la commissaire européenne Cecilia Malmström (Affaires Intérieures), prévoit le “blocage de l’accès aux sites internet contenant de la pédo-pornographie”.

L’article 21 impose ainsi aux États membres de prendre “les mesures nécessaires pour obtenir le blocage de l’accès par les internautes sur leur territoire aux pages Internet contenant ou diffusant de la pédo-pornographie”. De manière assez floue, il indique que “des garanties appropriées sont prévues, notamment pour faire en sorte que le blocage de l’accès soit limité au strict nécessaire”.

Pour mettre en place le blocage, il propose deux mécanismes: un système placé sous l’ordre d’autorités judiciaires ou policières compétentes ou bien des actions de la part des fournisseurs d’accès Internet (FAI) sur une base volontaire de code de bonne conduite et de lignes directrices.

Autorité judiciaire ou policière a minima

La critique du contrôleur est sévère. A l’examen de ce texte, il s’interroge sur les critères et conditions conduisant à une décision de blocage. Il indique que : “s’il peut soutenir des actions menées par la police ou les autorités judiciaires dans un cadre juridique bien défini, il a de sérieux doutes quant à la sécurité juridique de tout blocage opéré par le secteur privé”.En clair : le blocage des sites peut être envisagé sous le contrôle d’une autorité judiciaire ou policière. Pas sous celui des FAI ou d’une seule autorité indépendante.

A noter qu’en France, dans le cadre de la Loppsi, les députés ont adopté en janvier dernier un amendement du député UMP Lionel Tardy qui impose l’intervention du juge à la notification par l’autorité administrative aux FAI de la liste noire des sites à bloquer. Mais il y a quelques jours, en Commission des Lois du Sénat, le sénateur et rapporteur UMP Jean-Patrick Courtois a déposé un amendement visant à supprimer l’accord préalable du juge.

Conséquences sur la protection des données à caractère personnel

Le CEPD se dit aussi préoccupé par la surveillance des réseaux. “La surveillance et le blocage peuvent impliquer différentes activités telles que scruter Internet, identifier les sites illicites ou suspects et bloquer l’accès aux utilisateurs finaux, mais aussi la surveillance du comportement en ligne des utilisateurs finaux qui tentent d’accéder ou de télécharger de tels contenus”.Et, selon le contrôleur, si chacune de ces pratiques implique la mise en place d’outils au degré d’intrusion différent, toutes ont “des conséquences sur la protection des données, comme les données à caractère personnel”. Et ceci vis-à-vis de toutes les parties concernées : les victimes, les témoins, les utilisateurs comme les fournisseurs de contenu.

Aussi, pour lui, cela pose la question de la légalité et de la compatibilité du traitement et de l’utilisation des données à caractère personnel en vertu des articles 6.1.b et 7 de la directive sur la protection des données. Selon le premier, les données à caractère personnel “doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités”.

Le second liste les seuls cas où le traitement de ces données est autorisé. Par exemple s’il est nécessaire à l’exécution d’une mission d’intérêt public ou au respect d’une obligation légale à laquelle le responsable du traitement est soumis.

Une même position quelque soit le contexte

A de nombreuses reprises, le CEPD rappelle avoir déjà émis dans de précédents avis des préoccupations similaires concernant le blocage et la surveillance des individus par les acteurs du secteur privé. Par exemple, par les FAI ou les titulaires de droits d’auteur.“Les questions de protection des données ont déjà été analysés par le CEPD dans différents contextes, en particulier celles liées à la lutte contre les contenus illicites” Et de citer un document de travail du Groupe 29 datant de 2005 sur les questions de protection des données liées aux droits de propriété intellectuelle. Un autre du 23 juin 2008 (PDF) sur la proposition d’un programme visant à la protection des enfants utilisant Internet et les autres technologies de communication. Et enfin celui du 22 février 2010relatif aux négociations de l’ACTA.

Concernant ce dernier, le contrôleur indique : “s’il ne fait pas de doute que la propriété intellectuelle est importante pour la société et doit être protégée, elle ne doit cependant pas être placée au-dessus du droit fondamental à la vie privée et à la protection des données.”

Sur le même sujet :
- Loppsi : Le Sénat opte pour un filtrage sans juge
– Filtrage : Instrumentalisation de la pédo-pornographie en Europe