L’affaire Prism et ses suites : beaucoup de bruit pour rien ?

par Sylvie Peyrou, CDRE

L’ampleur que prend l’affaire « Prism », au gré des révélations distillées par la presse, est déconcertante à plus d’un titre. La molle indignation exprimée par certains gouvernements de pays européens, tels la France ou la RFA, pourrait sembler bien proche de la tartufferie ; quant aux réactions des institutions européennes, nombreuses et convergentes, l’interrogation se fait jour quant à leur réelle portée.

1. A l’Ouest rien de nouveau…

Le vaste système d’interception de données de communications électroniques et téléphoniques révélé par l’affaire « Prism » et sa nébuleuse de programmes connexes, n’est pas vraiment nouveau. L’échange de renseignements entre puissances occidentales date de la guerre froide on le sait. Dès 1947, les Etats-Unis se sont alliés avec le Royaume-Uni par un traité « UKUSA » visant à l’interception des communications. Très vite rejoints par le Canada, l’Australie et la Nouvelle-Zélande, les cinq partenaires, les « Five Eyes », ont mis en place dans les années soixante-dix un programme de recueil d’informations à l’échelle planétaire : le réseau Echelon. Ce réseau qui s’appuie sur des satellites et des bases d’écoute situées sur le territoire des pays membres, a pour but d’intercepter puis d’analyser les communications téléphoniques et électroniques, aussi bien privées que publiques. Ce système, révélé dans les années quatre-vingt-dix par le chercheur néo-zélandais Nick Hager (“Le système Echelon”, Philippe Rivière, Le Monde Diplomatique juillet 1999), avait, déjà, suscité bien des réactions au niveau européen (Voir par exemple  le Rapport du Parlement européen, 11 juillet 2001).

C’est la raison pour laquelle les révélations d’Edward Snowden sur ce qu’il est convenu d’appeler « l’affaire Prism », font figure de secret de Polichinelle. La collecte de données de communications (internet et téléphoniques) par la National Security Agency (NSA) américaine, via le concours des grands acteurs d’Internet, tels Google, Yahoo, Skype ou Apple, n’est que le prolongement de programmes existant depuis des décennies.

L’indignation de dirigeants de pays européens, à Paris, Berlin ou Madrid,  peut dès lors sembler feinte. Comme l’a relevé la presse allemande, la France par exemple, dans le cadre du programme « Lustre », livre en effet des informations aux services de renseignement britanniques et américains, suite à un accord passé avec les « Five Eyes » (Süddeutsche Zeitung, 26 octobre 2013). A noter qu’en 2010, le responsable du renseignement américain, M. Dennis Blair, avait proposé d’étendre à la France l’accord de « non espionnage » (« no-spy agreement ») existant entre les Five Eyes.

Cette proposition faite à l’époque où M. Sarkozy était Président de la République, a été rejetée  toutefois par la Maison Blanche, estimant probablement que le successeur de M. Sarkozy serait moins pro-américain…(voir : «The Countries That Are Exempt From Being Mutually Spied Upon », Charles G. Cogan, Huffington Post, 07/03/2013). De plus, qui serait assez naïf pour imaginer que la Direction Générale de la sécurité Extérieure (DGSE) française ne collecte pas de la même façon des données sur ses propres citoyens ? (voir Le Monde, 11 juin 2013, « En France, la DGSE au cœur d’un programme de surveillance d’internet »).

Si les remontrances gouvernementales à l’égard des Etats-Unis semblent ainsi surtout  à usage médiatique, l’Europe en revanche a sans doute des raisons plus solides de manifester son inquiétude. Mais de quel poids seront ses tentatives de rétorsion ?

2. Que faire ?

Au lendemain des révélations relatives à Prism, la vice-présidente de la Commission européenne, en charge de la Justice et des droits fondamentaux, Mme Viviane Reding, a déclaré, après sa rencontre avec le procureur général des Etats-Unis, M. Eric Holder  : « les droits fondamentaux des citoyens ne sont pas négociables » (Conférence de presse, 14 juin 2013). Elle a alors annoncé la création d’un groupe d’experts conjoint Etats-Unis/U.E. afin d’apporter des éclaircissements, à la fois sur le programme Prism et sur les mécanismes de recours dont disposeraient les citoyens européens. L’établissement de ce groupe de travail ad hoc Etats-Unis/UE relatif à la protection des données a été validé par les Etats membres le 18 juillet 2013.

L’enjeu est donc ici clairement de dénoncer l’atteinte au droit à la protection des données à caractère personnel des citoyens européens, causée par cet espionnage de masse. Il est d’autant plus important et symbolique que ce droit, depuis l’entrée en vigueur du Traité d’Amsterdam, est « constitutionnalisé », la Charte des droits fondamentaux de l’Union l’énonçant dans son article 8.

Les réactions sont vigoureuses aussi s’agissant du Parlement européen. Dans une résolution du 4 juillet 2013, ce dernier condamne les agissements américains, invite le Conseil, la Commission et les Etats membres à user de tous les moyens à leur disposition afin de faire pression sur les Etats-Unis et enfin – surtout – charge la commission des libertés civiles, de la justice et des affaires intérieures (commission LIBE) de mener une enquête et d’établir un rapport avant la fin de l’année 2013. Une délégation de la commission LIBE s’est rendue à Washington les 28-29 octobre afin de discuter avec les autorités américaines.

Le Parlement a adopté par ailleurs une résolution – non contraignante  – demandant la suspension de l’accord sur la transmission de certaines données financières de l’UE vers les Etats-Unis (accord SWIFT ; résolution du 23 octobre 2013). Mme Sophie In’t Veld, libérale-démocrate néerlandaise, préconise même la suspension de l’accord PNR (dont elle avait été le rapporteur au sein du Parlement européen), base juridique de la transmission aux autorités américaines par les compagnies aériennes européennes, des données des passagers voyageant à destination des Etats-Unis. Dans une logique identique, elle suggère qu’il soit mis fin à l’accord « Safe Harbor », censé assurer des garanties aux Européens qui voient leurs données transférées aux Etats-Unis par des sociétés commerciales (Le Monde, 23 octobre 2013, « Le Parlement européen tente de s’imposer comme le fer de lance de la résistance à la NSA »).

Le « Groupe de l’article 29 » (institué par la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel) a, par la plume de son Président, adressé une lettre à Mme Reding le 13 août 2013, afin de manifester son inquiétude et de demander des éclaircissements sur la législation américaine autorisant ces interceptions de communications de masse, ainsi que sur les possibilités de recours offertes aux citoyens européens.

Le Contrôleur Européen de la Protection des Données (CEPD), M. Peter Hustinx, a apporté sa contribution aux travaux de la commission d’enquête du Parlement européen, par laquelle il a été auditionné le 7 octobre 2013. Il y réitère  notamment sa vive désapprobation des faits impliquant l’agence de renseignement américaine, la NSA (National Security Agency), quant à leur impact sur la vie privée et la protection des droits fondamentaux des citoyens de l’UE.

Le Conseil européen des 24 et 25 octobre, enfin, s’est lui-même fait l’écho de cette affaire qui occupe l’espace médiatique depuis des mois, mais en des termes relativement mesurés, il convient de le noter. Les Chefs d’Etat et de Gouvernement, soulignant au préalable « la relation étroite qui existe entre l’Europe et les Etats-Unis », a simplement noté que : « un manque de confiance pourrait porter préjudice à la nécessaire coopération dans le domaine de la collecte de renseignements » (voir les conclusions). Il est aisé de remarquer que les vingt-huit n’appellent nullement à ce que les Etats-Unis cessent leurs activités de renseignement, auxquelles un certain nombre d’entre eux participent peu ou prou.

Si l’on est défenseur des droits fondamentaux proclamés et garantis au sein de l’UE, on se félicitera sans doute de l’ensemble de ces prises de position et déclarations vigoureuses. Le réalisme portera toutefois à en relativiser l’intérêt. Au regard de leur portée, elles peuvent en effet apparaître  comme des gesticulations médiatiques.

Bien pis, l’on aurait pu espérer que ce contexte serait favorable à une adoption rapide de la nouvelle règlementation européenne générale relative à la protection des données personnelles, à savoir le règlement devant remplacer la directive 95/46/CE devenue obsolète. Or, la version en anglais des conclusions du Conseil européen mentionne dans son paragraphe huit : « The timely adoption of a strong EU General Data Protection framework », ce que certains semblent traduire par « une adoption rapide » là où d’autres verraient une adoption « en temps utile » (voir Le Monde, 28 octobre 2013, « La protection des données attendra »)…La prudence reste donc de mise, la bataille de la protection des données n’est pas gagnée d’avance.