I. Qu’est-ce que la surveillance de masse à l’ère numérique ?
A. La surveillance de masse
La surveillance de masse consiste en l’espionnage et la collecte à grande échelle de données par des autorités (État, agences de renseignement, fournisseur d’accès) à travers les communications électroniques et telephoniques, à l’insu des individus et en l’absence de preuves suffisantes d’actes répréhensibles.
Bien qu’un État puisse la légaliser, la surveillance de masse peut aller à l’encontre du droit international, principalement du droit au respect à la vie privée. La surveillance de masse n’est pas à confondre avec la surveillance ciblée, visant des personnes spécifiques d’intérêt.
B. L’espionnage numérique et la non-conformité numérique
L’espionnage numérique ou cyber espionnage consiste en l’utilisation de techniques numériques par des personnes, groupes ou gouvernements pour accéder, sans autorisation, à des données confidentielles. L’opération peut notamment s’appuyer sur des malwares, des logiciels espions et des attaques de phishing dans l’objectif d’exploiter les systèmes et réseaux informatiques.
Par exemple, la société Uber Technologies Inc. avait dépensé 7 millions de dollars afin de dissimuler des écoutes téléphoniques, des piratages, l’emploi d’ancien officiers de renseignements, etc… une activité d’espionnage de grande ampleur.
La conformité numérique est une garantie légale pour les contenus et services numériques depuis l’ordonnance du 29 septembre 2021. En revanche, d’après une étude de cinq universitaires, 88% des plates-formes de recueil de consentement les plus utilisées ne respectent pas les conditions légales, ce qui pousse les utilisateurs à accepter le dépôt de cookies. Cette non-conformité au texte a pour effet de limiter un consentement libre et éclairé des utilisateurs, et donc d’entraîner une augmentation du nombre de plaintes sur le consentement du traitement des données personnelles.
C. La finalité de la surveillance de masse : la sécurité nationale
Le traitement automatisé des données personnelles à grande échelle fait face à de nombreux enjeux. Les autorités collectant les données personnelles invoquent comme finalité la lutte contre le terrorisme, la sécurité nationale et la cybercriminalité.
En effet, les intérêts nationaux peuvent être lourdement impactés par des acteurs ciblant des attaques d’espionnage économique, scientifique ou politique, en visant des données sensibles telles que les communications, la géolocalisation ou la biométrie.
D. Les dérives de la surveillance de masse face aux libertés individuelles
Bien que la surveillance de masse soit justifiée par les intérêts nationaux, les risques de dérives persistent. La surveillance peut atteindre la vie privée et familiale et la liberté d’expression, permettre une surveillance politique, ou encore le profilage, c’est à dire l’analyse du comportement d’un individu à partir de ses données personnelles.
En 2014, la société Cambridge Analytica a exploité les données personnelles de pres de 90 millions d’utilisateurs facebook dans l’objectif d’influencer le choix de vote des personnes en faveur du parti républicain des États-Unis pour les élections présidentielles de 2016. La Fédéral Trade Commission avait alors infligé à Facebook en juillet 2019 une amende de 5 milliards de dollars pour ne pas avoir protégé les données des utilisateurs.
La question de la protection contre la surveillance de masse mène à confronter les intérêts de sécurité nationale aux libertés individuelles. D’après M. Patrick Calvar, ancien Directeur Général de la Sécurité Intérieure, le cadre légal en matière de libertés individuelles « revient à se priver de puissants moyens technologiques qui permettraient de déchiffrer les communications ou de surveiller des milliers de suspects en même temps ». Considérant les nombreuses nouvelles techniques de surveillance de masse, l’équilibre entre la nécessité de sécurité nationale et la protection des libertés individuelles n’est pas encore clair.
II. Les recours contre la surveillance de masse devant la CEDH
A. L’article 8 et le droit au respect à la vie privée et familiale
Le droit au respect à la vie privée est protégé par l’article 8 de la Convention européenne des droits de l’Homme (la Convention). Il prévoit notamment :
- Le droit au respect de sa vie privée et familiale
- Le droit au respect de son domicile
- Le droit au respect de sa correspondance
Dans le cadre de ces doits, sont protégés également
- Le droit à un nom, au changement d’état civil et à une nouvelle identité
- La protection contre les écoutes téléphoniques
- La protection contre la collecte d’informations privées par les services de sécurité d’un État
- La protection contre les publications portant atteinte à la vie privée.
Le rôle de la CEDH est de contrôler la légalité des pratiques nationales de surveillance de la société. En effet, il va effectuer un contrôle de proportionnalité entre l’atteinte à la liberté de la personne et la légitimité de la surveillance en vérifiant que la mesure soit « prévue par la loi » et « nécessaire » (CEDH, Big Brother Watch et autre c. Royaume-Uni, 25 mai 2021).
B. La jurisprudence de la CEDH en matière de surveillance de masse
Le 25 mai 2021, dans Big Brother Watch et autre c. Royaume-Uni et Centrum för rättvisa c. Suède, la CEDH a admis la légalité de la surveillance de masse dès lors qu’elle respecte « des garanties de bout en bout ». Le juge vérifie la proportionnalité des mesures prises par l’État, à défaut de violer l’article 8 de la Convention relatif au droit au respect de la vie privée et familiale.
Dans l’arrêt Zakharov c. Russie du 4 décembre 2015, concernant le système d’interception secrète des communications téléphoniques en Russie, la CEDH a admis une violation de l’article 8 de la Convention, sans même que la victime n’ai à prouver qu’elle a fait l’objet d’une mesure concrète de surveillance. En effet, en l’absence d’un recours effectif, la législation incriminée suffit à constituer une ingerence dans l’exercice de la vie privée.
Dans l’arrêt Szabó et Vissy c. Hongrie du 12 janvier 2016, la CEDH a considéré que les garanties prévues contre les abus en matière de surveillance antiterroriste en Hongrie étaient insuffisantes, et violaient de ce fait l’article 8 de la Convention.
En revanche, dans l’arrêt Kennedy c. Royaume-Uni du 18 mai 2010, la CEDH a conclu à la non violation de l’article 6 de la Convention, qui garantit le droit au procès équitable. Elle a considéré que « pour garantir l’efficacité du régime de surveillance secrète, et compte tenu de l’importance que revêtent de telles mesures dans la lutte contre le terrorisme et les infractions graves, les restrictions aux droits du requérant dans le cadre de la procédure devant la Commission étaient nécessaires et proportionnées ».
III. Comment nos données sont-elles protégées en Europe ?
A. La protection des données personnelles par la CEDH
Dans sa jurisprudence, la CEDH fait face a de nombreux défis dans sa conciliation entre les développements technologiques concernant le traitement des données et la protection du droit au respect à la vie privée. La cour doit vérifier la légitimité des operations de surveillance, d’interception des communications et de conservation des données.
B. La Convention 108+ : le premier instrument international juridique contraignant
La Convention 108+ a été adoptée par le Conseil de l’Europe et est ouverte à la signature depuis le 28 janvier 1981. Modernisée en 2018, son objectif est de protéger les personnes à l’égard du traitement automatisé des données à caractère personnel. Il s’agit du premier instrument international juridique contraignant dans la protection des données, auquel 55 États sont parties.
Adopté en 2001, un protocole additionnel d’amendement exige des États la mise en place des autorités de contrôle exerçant leurs fonctions en parfaite indépendance. Ce protocole a été ratifiée par la France le 27 mars 2023.
La convention 108+ est cruciale dans la protection internationale des données personnelles, car sa signature est ouverte aux États non-membres du Conseil de l’Europe. En effet, la Commission européenne évalue la protection assurée par les États tiers à l’Union Européenne à partir de leur adhésion à la Convention 108+.
C. Le RGPD : une nouvelle protection numérique de la vie privée
Le Règlement général sur la protection des données (RGPD) a été adopté par l’Union Européenne le 27 avril 2016 dans l’objectif de protéger les traitements de données personnelles et la libre circulation de ces données. Il s’applique à tous les États membres de l’Union Européenne. Trois principes sont mis en avant : la transparence, la limitation de la finalité et la minimisation des données.
La CNIL, Commission nationale de l’informatique et des libertés, est l’autorité française en charge du contrôle et des sanctions en matière de protection des données personnelles. Comme établi précédemment (I.B.), la non-conformité au texte européen va limiter un consentement libre et éclairé des utilisateurs, et donc entraîner une augmentation du nombre de plaintes sur le consentement du traitement des données personnelles. Par exemple, de nombreuses associations européennes telles que Internet Societu France ou La quadrature du Net veulent former une action de groupe en justice contre Facebook face aux manquements au RGPD, causant des atteintes aux libertés et à la vie privée des utilisateurs.
IV. Conclusion : une protection nécessaire face à l’évolution constance des technologies numériques
Pour conclure, la CEDH joue un rôle essentiel pour contrôler un bon équilibre entre la sécurité nationale et la protection des libertés fondamentales des utilisateurs dans le cadre des surveillances de masse et d’espionnage numérique. Face à l’évolution constante de l’ère numérique, de nombreux défis naissent tous les jours, tels que les problématiques liées à l’intelligence artificielle, la reconnaissance faciale, ou encore la cybersurveillance à l’échelle transnationale.
FAQ
La surveillance de masse est-elle légale en Europe ?
La surveillance de masse est légale en Europe dès lors qu’elle est nécessaire, ciblée et fondée sur des preuves suffisantes d’actes répréhensibles (Amnesty international, petit guide sur la surveillance de masse, 18 mars 2015). Il revient au juge de contrôler sa légalité, par un contrôle de proportionnalité en considérant les libertés en jeu.
Peut-on être surveillé sans le savoir ?
En pratique, nous pouvons être surveillés sans le savoir. Dans ce cas, les utilisateurs des données personnelles volées ont accès à un recours afin d’engager la responsabilité de l’auteur.
Existe-t-il un droit à la vie privée numérique ?
Le RGPD est le règlement appliqué dans l’Union européenne pour établir un cadre légal de la vie privée numérique.
Que faire si on estime avoir été illégalement surveillé ?
Il faut déposer une plainte à l’autorité nationale de protection des données, en France la CNIL, ou le juge si la surveillance est faite par un service de l’État. À l’épuisement des voies de recours internes (décision de la Cours de Cassation ou du Conseil d’État), un délai de 4 mois après la dernière décision definitive permet de saisir la CEDH pour prouver une violation d’un droit prévu par la Convention Européenne des Droits de l’Homme.
Quels États ont été condamnés par la CEDH pour surveillance disproportionnée ?
A ce jour, 6 États ont été condamnés par la CEDH pour des régimes de surveillance électronique, secrète ou de masse jugés disproportionnés : la Russie, le Royaume-Uni, la Suède, la Pologne, l’Italie, et l’Ukraine.
Avez-vous besoin d’un avocat pour vous accompagner dans votre procédure ? Contactez notre cabinet !