Les technologies de surveillance se développent à une vitesse époustouflante, ce qui crée de nouveaux instruments dans la lutte contre le terrorisme et le crime organisé, mais pose aussi des questions fondamentales sur le droit à la vie privée de chacun. Les individus doivent être protégés des intrusions dans leur vie privée et de la collecte, du stockage, du partage et de l’utilisation impropres de données les concernant. Nous devons lutter contre le terrorisme et le crime organisé – mais pas avec des moyens qui bafouent les droits fondamentaux de l’homme.
A l’heure actuelle, il existe des technologies permettant de surveiller, de passer au crible et d’analyser des milliards de communications téléphoniques et de courriers électroniques simultanément, d’utiliser des dispositifs d’écoute et de repérage quasiment indétectables et d’installer clandestinement des « logiciels espions » sur l’ordinateur d’une personne, qui peuvent surveiller en secret les activités en ligne et les courriers électroniques de l’utilisateur, voire mettre en marche la caméra et le microphone de l’ordinateur.
On dit parfois que ceux qui ont quelque chose à cacher devraient avoir peur de ces nouvelles mesures. Cependant, l’idée selon laquelle si l’on n’a rien à cacher, on n’a pas à avoir peur place la responsabilité au mauvais endroit – il devrait précisément incomber aux Etats de justifier les ingérences qu’ils ont l’intention de faire dans le droit à la vie privée des individus, et non pas aux individus de justifier leur préoccupation quant aux ingérences dans leurs droits fondamentaux.
Le recours à ces nouveaux dispositifs et aux compétences étendues de la police et des services de sécurité exige un renforcement du contrôle judiciaire et démocratique.
D’ores et déjà, le stockage d’énormes volumes de données à caractère personnel dans des bases de données de la sécurité sociale - médicale – et de la police(1) est source d’inquiétude. La récente perte, au Royaume-Uni, d’un disque contenant des millions de séries de données confidentielles de ce type révèle certains des risques encourus.
Les banques, les assurances et d’autres entreprises commerciales créent également des bases de données sur leurs clients et leurs transactions. Naturellement, certains s’inquiètent vivement à l’idée que ces diverses bases de données pourraient être recoupées entre elles et la question se pose de savoir s’il existe une protection suffisante contre de telles interconnexions.
Ceux qui voyagent sont aujourd’hui confrontés aux mesures de sécurité modernes de manière très concrète. Les empreintes digitales et autres méthodes biométriques de contrôle de l’identité se généralisent. L’Union européenne a accédé aux demandes des Etats-Unis, qui exigent que les compagnies aériennes se rendant aux Etats-Unis produisent 19 éléments de données à caractère personnel pour tous leurs passagers, dont les noms, numéros de téléphone, adresses électroniques, numéros de carte de crédit et adresses de facturation.
Ces informations seront conservées pendant treize ans et accessibles aux services de sécurité américains. Des préparatifs sont en cours pour instaurer un système équivalent pour les voyageurs en provenance et à destination des pays de l’Union européenne.
La police et les services secrets disposent déjà d’une quantité massive de données grâce à ces méthodes. Leur intention, lorsqu’ils traitent ces informations, n’est pas seulement de retrouver des criminels déjà identifiés. Ils recherchent de plus en plus fréquemment des personnes qui correspondent à des « profils » pré-établis et qui seraient susceptibles d’être des terroristes.
De toute évidence, il est essentiel que les principes de protection des données couvrent aussi la police, la justice et les services de sécurité. L’une des lacunes de la proposition de décision-cadre du Conseil de l’Union européenne relative à la protection des données à caractère personnel est qu’elle ne s’appliquerait ni au traitement national des données en relation avec la coopération policière et judiciaire européenne, ni à aucun traitement des données à caractère personnel par les services de sécurité, ou par la police lorsqu’elle agit dans le cadre de la sécurité nationale. Les individus devraient disposer d’un droit de recours effectif pour que ces informations, leur stockage et leur utilisation fassent l’objet d’un contrôle judiciaire, comme établi par la Cour européenne des droits de l'homme dans son arrêt Segerstedt-Wiberg et autres c. Suède.
Comme les terroristes et autres auteurs de crimes organisés agissent de plus en plus fréquemment au-delà des frontières, la coopération entre les services répressifs des divers pays est devenue plus urgente. Un principe de « mise à disposition » est en train d’être établi au sein de l’Union européenne afin de promouvoir le partage d’informations sans entrave. L’idée est que les services répressifs nationaux de n’importe quel pays de l’Union pourraient en principe avoir rapidement et librement accès, sans aucune « entrave bureaucratique » ou presque, à toutes les données collectées par un autre service de même type dans n’importe quel autre Etat membre.
Cela signifie que tout élément d’information dans n’importe quelle base de données d’un service répressif national sera disponible dans de vastes régions de l’Europe – et éventuellement dans d’autres pays également, notamment aux Etats-Unis, qui à leur tour peuvent les diffuser à d’autres Etats avec lesquels ils collaborent. Le travail de la police sera ainsi facilité. Par ailleurs, toute erreur ou fausse déclaration aura des conséquences négatives potentiellement beaucoup plus importantes pour l’individu concerné. Cette situation appelle à un régime élaboré de protection des données au sein de l’Union européenne, fondé sur des normes communes de haut niveau et reconnues de tous.
Si le processus de « mise à disposition » est ouvert aux autorités des autres pays également, y compris des Etats-Unis, il devient nécessaire de garantir que ceux-ci respectent véritablement les normes de protection des données. L’Europe ne doit pas faire de compromis sur ces règles importantes pour satisfaire ses homologues américains.
Les autorités européennes de protection des données ont souligné la nécessité de disposer d’un régime de protection des données plus strict. Dans une déclaration commune faite l’année dernière, elles ont affirmé :
« Compte tenu du recours croissant à la « mise à disposition » des informations en tant que notion permettant d’améliorer la lutte contre la grande criminalité et de l’utilisation de cette notion tant au niveau national qu’entre les Etats membres, l’absence de tout régime de protection des données harmonisé de haut niveau au sein de l’Union crée une situation où le droit fondamental à la protection des données à caractère personnel n’est plus garanti de manière suffisante. »(2)
C’était là un sérieux avertissement de la part d’organes officiels de vigilance au niveau national en Europe. Il est important de les écouter, car ces problèmes sont très complexes et il n’est guère aisé, pour les simples citoyens ou même les responsables politiques, de bien comprendre les implications des changements proposés ou déjà décidés.
La confiance dans les droits à la protection de la vie privée et à la protection des données a été sérieusement ébranlée pendant la « guerre contre la terreur », au cours de laquelle des garanties précédemment reconnues ont été bafouées par les gouvernements eux-mêmes. Aux Etats-Unis, même les fichiers des bibliothèques n’ont pas pu être protégés. De même, le fait que le Président ait approuvé secrètement, sans même en informer le Congrès, une surveillance téléphonique très étendue n’a pas du tout contribué à renforcer la confiance.
En Europe également, il convient d’approfondir la discussion sur l’équilibre entre les méthodes de prévention du terrorisme et autres crimes et la protection de la vie privée des individus. Ces dernières années, les exigences en matière de droits de l’homme n’ont pas été suffisamment prises en compte. Les méthodes intrusives se sont révélées inefficaces, mais tout débat approfondi sur ces questions a été écarté en invoquant les règles du secret.
Dans certaines discussions, la protection des données a même été citée comme un obstacle à l’application effective de la loi. C’est une erreur. Il convient de prendre conscience qu’il y a des risques des deux côtés – et qu’ils portent dans les deux cas sur les droits de l’homme.
Les Etats ont un devoir impératif de protéger leurs populations contre d'éventuels actes terroristes. Parallèlement, les pouvoirs publics sont tenus de protéger la vie privée des individus et de garantir que les informations relatives à leur vie privée ne tomberont pas dans de mauvaises mains ou ne seront pas utilisées à mauvais escient.
Il est urgent que les principes de l’Etat de droit soient réaffirmés dans ce domaine. La Convention européenne des droits de l'homme, avec sa jurisprudence, et la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel précisent les règles.
La recommandation du Conseil de l'Europe sur la protection des données dans le secteur de la police fournit aussi des lignes directrices importantes.
J’énoncerai ici quelques-uns des principes de base que j’estime particulièrement importants pour les discussions futures sur les droits à la protection de la vie privée et à la protection des données dans la lutte contre le terrorisme :
• Tout traitement des données à caractère personnel à des fins de répression ou à des fins anti-terroristes doit se fonder sur des règles de droit contraignantes et connues qui soient claires et précises.
• La collecte de données relatives à des individus uniquement sur la base de leur origine ethnique, de leurs convictions religieuses, de leur comportement sexuel ou de leurs opinions politiques ou en raison de leur appartenance à des mouvements ou organisations particuliers qui ne sont pas interdits par la loi doit être prohibée.
• La collecte de données relatives à des personnes qui ne sont pas soupçonnées d'avoir commis une infraction particulière ou qui ne constituent pas une menace doit faire l’objet d’une vérification particulièrement stricte quant à sa « nécessité » et à sa « proportionnalité ». L’individu concerné devrait disposer de voies de recours effectives pour contester ces informations, leur stockage et leur utilisation.
• L’accès aux dossiers de la police et des services secrets ne devrait être autorisé qu’au cas par cas, à des fins spécifiques et faire l’objet d’un contrôle judiciaire.
• Il doit y avoir des limites quant à la durée pendant laquelle peuvent être conservées des informations collectées.
• Il faut prévoir de solides garanties dans la loi pour assurer un contrôle approprié et effectif des activités de la police et des services secrets – même dans la lutte contre le terrorisme. Ce contrôle devrait être effectué par les autorités judiciaires et/ou par le biais du contrôle parlementaire.
• Toutes les opérations de traitement des données à caractère personnel doivent être soumises à un contrôle étroit et effectif par des autorités de protection des données indépendantes et impartiales.
• Les autorités nationales ont l’obligation de veiller à ce que ces normes soient pleinement respectées par les destinataires avant que toute donnée personnelle ne soit transmise à un autre pays.
Thomas Hammarberg
Notes
1. La Cour européenne des droits de l'homme examine actuellement une affaire contre le Royaume-Uni qui concerne la décision de continuer à stocker des empreintes digitales et des échantillons d’ADN prélevés sur des requérants une fois closes les poursuites pénales engagées à leur encontre (S. et Michael Marper c. Royaume-Uni (n°s. 30562/04 et 30566/04).
2. Déclaration adoptée par les autorités de protection des données à Chypre le 11 mai 2007.