Le CEPD émet une alerte sur la surveillance intrusive
Aujourd'hui, alors qu'il publie son avis sur la technologie de surveillance intrusive, le contrôleur européen de la protection des données (CEPD) émet une alerte sur les risques posés par le marché non réglementé en pleine croissance de la vente, de la distribution et de l’usage (double) de logiciels espions.
Giovanni Buttarelli, contrôleur européen de la protection des données: "Le marché non réglementé de la vente et de l’utilisation de technologies de surveillance discrète est en pleine croissance et l’Union européenne ne doit pas sous-estimer l’appétit pour ces technologies. En comblant les lacunes de la législation et des politiques existantes en la matière et en élaborant une nouvelle législation, le législateur de l’Union peut offrir une meilleure protection contre la menace, très réelle, que ce phénomène fait peser sur nos droits à la vie privée et à la protection des données. La vente de ces outils intrusifs à double usage et l’offre de services dans ce domaine doivent être plus strictement réglementées dans l’Union européenne afin de prévenir les violations des droits de l’homme en Europe et au-delà."
Dans un appel lancé, en particulier, à la communauté des technologies de l’information et, plus généralement, au législateur de l’UE, le CEPD souligne la nécessité de contrôler davantage ce marché et leur demande instamment d'évaluer la possibilité d'intégrer des mesures de contrôle qui tiennent compte des principes de respect de la vie privée dès la conception, afin de sécuriser la technologie. Selon lui, le marché unique numérique ne peut être réalisé avec succès sans remédier aux vulnérabilités.
Les instruments de surveillance peuvent être utiles dans le cadre d’un usage légitime et réglementé par les organes chargés de l'application de la loi. Cependant, ils peuvent aussi être utilisés à des fins de contournement des mesures de sécurité entourant les communications électroniques et le traitement des données et compromettre ainsi l’intégrité des bases de données, des systèmes et des réseaux. Et avec le développement de l’internet des objets, les risques s’accentuent.
Le CPED appelle à une approche coordonnée pour contrer ces risques. Dans de nombreux pays tiers, les normes en matière de protection des données peuvent être moins strictes qu'en Europe, ce qui rend les citoyens européens, par exemple les journalistes, vulnérables à une éventuelle surveillance à l'extérieur de l'UE. Il est essentiel que le commerce et l’usage de logiciels de surveillance dans le secteur privé soient davantage réglementés, compte tenu de l’absence ou de l'insuffisance de dispositions légales réglementant leur utilisation dans de nombreux pays.
L’internet a permis la mise en place d'une interconnexion au niveau mondial qui, à son tour, confère une dimension internationale à la cybersécurité dans l’UE. Cette évolution pose certes des défis complexes aux services répressifs mais cela ne peut servir d’excuse pour justifier un traitement disproportionné des données à caractère personnel par ces outils de surveillance. Le CEPD appelle les services répressifs à faire preuve de davantage de transparence et de responsabilité dans leur utilisation de ce type de logiciels, de façon à éviter toute violation du droit de la personne à disposer d’elle-même.
Le respect des législations sur la protection des données s’impose tout autant que celui d’autres réglementations pertinentes, telles que celles concernant les exportations. Cependant, l’avis du CEPD, élaboré de sa propre initiative, couvre le marché connu des technologies de surveillance, dont la frontière de la légalité reste trop souvent floue.
Cet avis lance une alerte sur la nécessité de renforcer la réglementation dans ce marché et de clarifier les critères de vente, d’exportation et d’utilisation légale de ces technologies, par exemple par des chercheurs en matière de sécurité.
Le CEPD va également demander à l’IPEN (Internet Privacy Network - réseau d’ingénierie de la vie privée sur l'internet) d'attirer l'attention sur cette problématique très sensible.
Informations générales
Le respect de la vie privée et la protection des données sont des droits fondamentaux dans l'UE. La protection des données est un droit fondamental, protégé par la législation de l'UE et consacré par l'article 8 de la Charte des droits fondamentaux de l'Union européenne.
Plus spécifiquement, les règles relatives à la protection des données dans les institutions européennes, tout comme les obligations du contrôleur européen de la protection des données (CEPD), sont énoncées dans le règlement (CE) nº 45/2001. Le CEPD est une autorité de contrôle indépendante relativement nouvelle, mais de plus en plus influente, qui est chargée de contrôler le traitement des données à caractère personnel par les institutions et organes de l’UE, de fournir des conseils sur les politiques et la législation qui ont une influence sur la vie privée et de coopérer avec des autorités similaires afin de garantir une protection cohérente des données.
Giovanni Buttarelli (CEPD) et Wojciech Wiewiórowski (contrôleur adjoint) sont membres de l’institution et ont été nommés par une décision conjointe du Parlement européen et du Conseil. Ils sont entrés en fonction le 4 décembre 2014, pour un mandat de cinq ans.
Stratégie du CEPD pour la période 2015-2019: Dévoilé le 2 mars 2015, le plan couvrant la période 2015-2019 résume les grands défis à relever au cours des années à venir en matière de protection des données et de respect de la vie privée, ainsi que les trois objectifs stratégiques du CEPD et 10 mesures d'accompagnement pour les réaliser. Ces objectifs sont les suivants: 1) la protection des données passe au numérique; 2) forger des partenariats à grande échelle et 3) ouvrir un nouveau chapitre consacré à la protection des données dans l'UE.
Informations ou données à caractère personnel: Toute information concernant une personne physique (vivante) identifiée ou identifiable. À titre d'exemples: noms, dates de naissance, photographies, séquences vidéo, adresses électroniques et numéros de téléphone. D'autres informations telles que des adresses IP et le contenu de communications se rapportant à des utilisateurs finals de services de communication ou fournies par ces derniers sont également considérées comme des données à caractère personnel.
Respect de la vie privée: Droit d’une personne à être laissée tranquille et à contrôler les informations la concernant. Le droit au respect de la vie privée est inscrit dans la Déclaration universelle des droits de l'homme (article 12), dans la Convention européenne des droits de l'homme (article 8) et dans la Charte des droits fondamentaux de l'Union européenne (article 7). La Charte contient également un droit explicite à la protection des données à caractère personnel (article 8).
Traitement des données à caractère personnel: Aux termes de l'article 2, point b), du règlement (CE) n° 45/2001, on entend par «traitement de données à caractère personnel» toute opération ou ensemble d'opérations effectuée(s) ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction.» Voir le glossaire sur le site du CEPD.
Technologies à double usage: technologies pouvant être utilisées à des fins tant militaires que civiles (souvent commerciales).
Les outils de communication électronique (e-communication) englobent le courrier électronique, l’internet et la téléphonie.
Dispositif mobile: tout dispositif informatique portable, par exemple, un smartphone ou une tablette.
L’internet des objets: objets et personnes interconnectés par l’intermédiaire de réseaux de communication, capables de fournir des informations sur leur statut et/ou leur environnement immédiat.