Les victoires… et les espoirs déçus d’Edward Snowden

Par

La Cour européenne des droits de l’homme a jugé illégale la surveillance de masse pratiquée par le Royaume-Uni avec l’aide des États-Unis qu’Edward Snowden avait révélée. Mais elle en valide le principe.

Cet article est en accès libre. L’information nous protège ! Je m’abonne

Presque huit années après le début des révélations d’Edward Snowden sur la surveillance internationale de masse pratiquée par les États-Unis et leurs alliés, la justice européenne en a pour la première fois tiré des conséquences directes en jugeant illégaux des programmes de surveillance britanniques et suédois.

Mardi 25 mai, la Cour européenne des droits de l’homme (CEDH) a en effet condamné la surveillance de masse pratiquée par le Royaume-Uni avec la complicité des États-Unis dans un arrêt où le nom du lanceur d’alerte est cité pas moins de dix fois.

La cour avait été saisie en 2013, 2014 et 2015 par trois requêtes, finalement groupées, déposées après la publication de documents d’Edward Snowden détaillant la collaboration entre les services de renseignement américains, la NSA, et britanniques, le GHCQ.

La CEDH mentionne, par exemple, les révélations sur le programme américain Prism, permettant à la NSA d’exiger des données de fournisseurs de services sur Internet. Or, comme le rappelle l’arrêt, « il ressort des documents de la NSA divulgués par Edward Snowden que le GHCQ a accès à Prism depuis juillet 2010 et qu’il l’a utilisé pour produire des rapports de renseignement. Le GCHQ a reconnu avoir obtenu des États-Unis des informations recueillies dans le cadre du programme Prism. »

Le programme Upstream, lui, permet « de collecter des données de contenu et des données de communication à partir des câbles de fibre optique » par lesquels transite le trafic au niveau mondial entre grandes zones géographiques « et de l’infrastructure des fournisseurs de services de communication américains ».

Les échanges de données entre services britanniques et américains sont même formalisés, souligne la CEDH, « depuis le 5 mars 1946 » par « un accord sur l’échange de renseignements entre le Royaume-Uni et les États-Unis ». Cet accord, précise la Cour, concerne les renseignements relatifs aux communications « à l’étranger », l’étranger désignant les pays autres que les États-Unis, le Royaume-Uni et les membres du Commonwealth. « Dans le cadre de cet accord, les parties se sont engagées à échanger le produit de certaines opérations d’interception de communications à l’étranger », pointe la CEDH.

Edward Snowden dans sa chambre d'hôtel à Hong-Kong en juin 2013. © AFP Edward Snowden dans sa chambre d'hôtel à Hong-Kong en juin 2013. © AFP

Edward Snowden avait également révélé que le GHCQ avait mis en place son propre programme, baptisé Tempora, dans le cadre duquel il a intercepté les données passant par un câble en fibre optique entre l’Europe et les États-Unis. Ce qui lui permettait, explique la CEDH, « d’intercepter d’énormes volumes de données ».

Pour la cour, ces programmes sont disproportionnés, notamment parce qu’ils devraient être soumis « à l’autorisation d’une autorité indépendante, dès le départ, et [qu’il faudrait] que les opérations soient l’objet d’un contrôle indépendant opéré a posteriori ». En conséquence, elle les juge contraires à l’article 8 de la Convention européenne des droits de l’homme qui préserve le « droit au respect de la vie privée et familiale et des communications ».

Dans un autre arrêt rendu également mardi 25 mai, la CEDH a en outre condamné la Suède pour « garantie insuffisante dans la collecte de masse de renseignements d’origine électromagnétique » et atteinte « à la vie privée ».

Ces décisions viennent couronner huit années durant lesquelles Edward Snowden aura réussi à ébranler, à défaut de la remettre en cause, la surveillance de masse. Si les arrêts de la CEDH sont la première condamnation directe de la surveillance de masse qu’il avait dénoncée, le Parlement européen avait adopté dès le mercredi 12 mars 2014 une résolution solennelle condamnant les pratiques américaines sur la base d’un rapport de l’eurodéputé Claude Moraes sur la surveillance de masse dans le cadre duquel Edward Snowden avait livré un témoignage écrit.

Dans leur résolution, les eurodéputés appelaient notamment à la suspension du « Safe Harbor » (la « sphère de sécurité » en français), l’accord qui régissait alors le transfert de données entre l’Union européenne et les États-Unis. Le 6 octobre 2015, leur demande était entendue par la Cour de justice de l’Union européenne (CJUE) dans un arrêt historique. Saisis par le militant autrichien Max Schrems, les juges européens avaient déjà justifié leur décision par les révélations d’Edward Snowden. « Un certain nombre de révélations ont récemment mis en lumière l’existence de programmes américains de collecte de renseignements à grande échelle », écrivait l’avocat général Yves Bot dans ses conclusions. « Ces révélations ont jeté le trouble sur le respect des normes du droit de l’Union européenne lors de transferts de données à caractère personnel vers des entreprises établies aux États-Unis et sur la faiblesse du régime de la sphère de sécurité », poursuivait le magistrat.

Au mois de juillet 2016, l’Union européenne a donc été contrainte de signer un nouvel accord de transfert de données avec le gouvernement américain, cette fois baptisé « Privacy Shield ». Mais quatre ans plus tard, il est lui aussi annulé, toujours par la CJUE, encore une fois saisie par Max Schrems. Rendu le 16 juillet 2020, l’arrêt, baptisé « Privacy Shield » ou « Schrems II », estime que le nouvel accord ne garantit pas aux citoyens de recours suffisants pour contester une éventuelle surveillance.

La Cour cite les programmes Upstream et Prism, qui avaient été entre-temps reconduits par Donald Trump. « Cette législation n’accorde pas aux personnes concernées des droits de recours devant des juridictions contre les autorités étatsuniennes », estimait-elle.

Les conséquences de l’annulation du Safe Harbor, puis du Privacy Shield, sont le début d’un effet domino dont il est difficile, à l’heure actuelle, de prédire l’ampleur. En France, au mois d’octobre 2020, la Commission nationale de l’informatique et des libertés (Cnil) en a tiré des conclusions drastiques. Le gendarme des données personnelles avait été amené à s’exprimer sur le sujet dans le cadre d’un recours déposé devant le Conseil d’État contre le Health Data Hub, la plateforme devant centraliser l’ensemble des données de santé des Français et dont l’hébergement a été confié à Microsoft.

Dans un mémoire rendu peu avant que le juge administratif ne se prononce, et révélé par Mediapart, la Cnil reprenait le raisonnement de la CJUE en le poussant même un peu plus loin. L’arrêt Privacy Shield soulignait en effet que certains programmes de surveillance permettaient aux services américains d’exiger d’une entreprise qu’elle lui transmette des données, même si celle-ci se situe dans un pays étranger. Ainsi, à partir du moment où une entreprise est soumise au droit américain, elle peut être soumise « à des injonctions des services de renseignement l’obligeant à leur transférer des données stockées et traitées sur le territoire de l’Union européenne ».

En conséquence, la commission appelait l’ensemble des acteurs stockant des données de santé à cesser « dans un délai aussi bref que possible » de confier leur hébergement à Microsoft ou toute autre société soumise « au droit étatsunien ».

Le Conseil d’État avait finalement rejeté le recours contre le Health Data Hub, mais au nom de l’état d’urgence sanitaire et en enjoignant au gouvernement de trouver une solution d’hébergement européenne aussi vite que possible. Au mois de novembre, dans un courrier envoyé à la présidente de la Cnil, Marie-Laure Denis, également révélé par Mediapart, le ministre de la santé Olivier Véran s’engageait à mettre un terme à l’hébergement du Health Data Hub d’ici à « deux ans ».

Jeudi 27 mai, la Cnil a lancé une nouvelle alerte tirant les conséquences de l’annulation du Privacy Shield. La commission demande cette fois aux personnels de l’enseignement supérieur et de la recherche de ne plus utiliser « d’outils collaboratifs proposés par certaines sociétés dont les sièges sont situés aux États-Unis ».

Au niveau européen, toujours jeudi 27 mai, le contrôleur européen de la protection des données, chargé du respect de la vie privée par les institutions européennes, a également annoncé l’ouverture de deux enquêtes, toujours sur la base de l’arrêt Privacy Shield : une visant l’utilisation des services de cloud d’Amazon et de Microsoft par les institutions européennes et une visant l’utilisation des logiciels Microsoft Office 365 par la Commission européenne.

La solution, pour les autorités, devrait venir de la mise en place du projet de cloud européen Gaïa-X actuellement en cours de développement. Le 17 mai, le gouvernement a également présenté sa « stratégie nationale pour le cloud », qui prévoit la mise en place d’une licence pour les acteurs du secteur. Un projet auquel le gouvernement a cependant associé… Microsoft et Google.

Edward Snowden a incontestablement réussi à faire bouger les lignes sur les questions de dépendance vis-à-vis des sociétés américaines et contribué à une prise de conscience sur l’ampleur de la surveillance pratiquée par les services de renseignement.

Coïncidence de l’actualité, la révélation, dimanche 30 mai, de l’existence d’un accord entre le Danemark et les États-Unis ayant permis la surveillance de dirigeants européens ne fait que conforter l’importance et montrer les conséquences pratiques du dispositif révélé par Edward Snowden. Selon la télévision publique danoise, les autorités ont donné aux services américains l’accès à un dispositif de surveillance des câbles transatlantiques leur ayant permis d’espionner, entre 2012 et 2014, plusieurs dirigeants et parlementaires européens, dont la chancelière allemande Angela Merkel.

Mais la victoire d’Edward Snowden est loin d’être complète.

Tout d’abord, la décision de la CEDH condamne les programmes de surveillance de masse en raison du manque de garanties accordées aux citoyens. Mais, sur le fond, elle n’en remet pas en cause le principe et, même, le valide. « Compte tenu des multiples risques auxquels les États doivent faire face dans les sociétés modernes, le recours au régime d’interceptions de masse n’est pas en soi contraire à la Convention européenne des droits de l’homme », affirme ainsi le juge européen.

De plus, les révélations d’Edward Snowden ne portaient que sur les programmes mis en place par les États-Unis en partenariat avec leurs alliés. Or, de nombreux pays européens ont depuis mis en place des programmes de surveillance tout aussi intrusifs, même s’ils ne peuvent rivaliser avec leurs homologues américains en termes de moyens et d’ampleur au niveau mondial.

Il est à ce titre intéressant de noter que, dans le cadre de la procédure, trois pays ont adressé à la CEDH des observations en tant que « tiers intervenant » en défense du gouvernement britannique et de la surveillance de masse. On y trouve la Norvège, les Pays-Bas – un des pays à la pointe de la surveillance de masse et dont les politiques répressives ont été dénoncées au mois de septembre dernier dans un rapport d’Amnesty International – et la France.

À l’heure où le Parlement français étudie le projet de loi « relatif à la prévention d’actes de terrorisme et au renseignement », qui comporte de nombreuses mesures liées à la surveillance, les arguments du gouvernement sont particulièrement instructifs. Loin de condamner la surveillance de masse, il la juge d’« une importance déterminante pour la protection de la société démocratique ». Elle ne serait d’ailleurs pas plus intrusive que la surveillance ciblée qui « permet, par nature, d’obtenir et de traiter un plus grand nombre de communications concernant un individu donné ». En résumé, il vaut mieux surveiller un peu tout le monde, que beaucoup certaines personnes…

En mars 2015, Mediapart avait interrogé Sarah Harrison, la journaliste de WikiLeaks ayant accompagné Edward Snowden dans sa fuite de Hong Kong à Moscou, pour lui demander si, selon elle, le lanceur d’alerte avait atteint son but. « Snowden a toujours été clair : son but était que les illégalités commises par la NSA soient connues par le peuple américain », répondait-elle. « Maintenant, les espoirs de Snowden étaient que la réaction du public à ces informations serait de changer les choses…, reprenait Sarah Harrison. Son but a été incontestablement atteint. Est-ce que ses espoirs se sont réalisés ? Pas encore. Mais il y a au moins quelques mouvements. Des gens un peu partout commencent à demander des comptes. Mais c’est d’une force massive dont nous avons besoin. Tout ne changera pas juste en disant : “Stop the NSA”, ça prendra du temps. »

Pas de mobilisation sans confiance
Pas de confiance sans vérité
Soutenez-nous