Par Dinah PoKempner
La technologie a envahi l'enceinte sacrée de la vie privée, et l'exposition injustifiée de cette dernière a mis en péril notre sécurité, notre dignité, et nos valeurs les plus fondamentales. La législation doit se montrer à la hauteur de la situation et protéger nos droits.
Cela vous rappelle quelque chose ?
Ainsi s'exprimaient Samuel Warren et Louis Brandeis dans leur article de la Harvard Law Review de 1890, proclamant « Le droit à la vie privée ».[1] Nous sommes aujourd'hui à un nouveau tournant de ce genre. Les progrès technologiques que Warren et Brandeis considéraient comme des menaces – la photographie et l'avènement de la presse à grand tirage – nous semblent aujourd'hui assez désuets. Mais l'impact d'une exposition non souhaitée sur notre sécurité émotionnelle, psychologique et même physique est un enjeu tout aussi brûlant à l'ère numérique dans laquelle nous vivons.
Ce renouveau d'un sentiment de vulnérabilité voit le jour alors que presque tous les aspects de notre vie sociale la plus quotidienne sont en train de migrer en ligne. Dans le même temps, des entreprises et des gouvernements ont acquis l'effarante capacité d'amasser et de rechercher des documents numériques en quantité illimitée, ce qui leur donne le pouvoir de nous « connaître » dans le moindre détail.
Dans un monde où nous partageons nos vies via les médias sociaux, et échangeons d'énormes quantités d'informations personnelles pour faciliter notre vie en ligne et la rendre plus pratique, certains ont questionné la pertinence du concept de respect de la vie privée[2]. Non seulement ce concept est pertinent, mais il est crucial.
La protection de la vie privée constitue en effetun droit qui ouvre sur d'autres, et affecte notre capacité à exercer presque tous nos autres droits, et notamment notre liberté d'expression et d'association avec ceux que nous choisissons, et notre droit de faire des choix politiques, de pratiquer nos croyances religieuses et de construire notre vie de famille. Il ne s'agit de rien de moins que le refuge au sein duquel nous déterminons ce que nous pensons et qui nous sommes ; un pivot de notre autonomie en tant qu'individu.
L'importance de la vie privée, droit que nous tenons souvent pour acquis, a été brutalement mise en lumière en 2013 par le flot continu de révélations tirées de documents du gouvernement des États-Unis, divulgués par l'ancien consultant de l'Agence de sécurité nationale (National Security Agency, NSA) Edward Snowden, et publiés dans le Guardian et d'autres journaux importants dans le monde. Ces révélations, étayées par des documents hautement confidentiels, ont montré que les États-Unis, le Royaume-Uni et d'autres gouvernements pratiquaient l'interception de données à grande échelle et de façon indiscriminée, globalement hors de tout contrôle ou norme juridique contraignante, et au mépris des droits de millions de personnes qu'on ne pouvait pourtant soupçonner d'aucun crime.
L'ère numérique apporte la promesse d'une capacité à échanger des informations sans efforts et sans frontières. Cette même capacité représente également une menace. Alors que les informations mondiales se déplacent vers le cyber espace, le potentiel de surveillance s'est accru de façon proportionnelle. Les États-Unis sont actuellement en tête en termes de capacité de capture de données mondiales, mais d'autres pays et d'autres acteurs sont susceptibles de les rattraper, et certains exigent déjà d'avoir accès à davantage de données. À terme, il n'y aura plus aucun refuge si la vie privée est considérée comme un problème purement national, objet de nombreuses entorses et d'un contrôle laxiste ou inexistant.
Human Rights Watch s'est exprimé à maintes reprises tout au long de l'année 2013, sur les conséquences en termes de droits humains des révélations de Snowden sur la surveillance massive, et la nécessité de protéger les lanceurs d'alerte. Cet essai retrace les étapes du développement du droit à la vie privée, et la direction dans laquelle il faudrait le faire évoluer aujourd'hui pour que la vie privée soit respectée au niveau mondial par tous les gouvernements, et pour tout le monde. La surveillance de masse, à l'échelle planétaire, constitue une menace pour les droits humains et la démocratie, et la législation doit, une fois de plus, se montrer à la hauteur de ce défi.
Un concept apparaît : Le « droit d'être laissé tranquille »
De nombreux pays reconnaissent depuis longtemps les valeurs qui sous-tendent le droit légal à la vie privée – l'honneur, la réputation, et le caractère sacré du foyer et de la vie de famille. Mais c'est aux États-Unis que se sont cristallisés des droits privés d'action pour défendre la vie privée, à la suite de l'appel lancé par Warren et Brandeis.
En 1882, le Juge Cooley décrivait le droit à la vie privée comme « le droit d'être laissé tranquille ».[3] Au cours du siècle suivant, le droit de la responsabilité délictuelle a permis aux gens – pour la plupart des célébrités ou des personnes cherchant à éviter la célébrité – d'opposer des recours quand des informations privées étaient révélées au public contre leur gré, ou exploitées de façon non-consensuelle.[4] La doctrine juridique en cours d'élaboration, destinée à protéger la réputation et l'honneur, s'est rapidement retrouvée en conflit avec la liberté de la presse et le droit du public à l'information – surtout quand des journaux ont voulu couvrir des questions d'intérêt public général qui pouvaient impliquer des informations embarrassantes au sujet de personnalités publiques.
Ce droit s'est développé aux États-Unis dans le respect des enjeux de la liberté d'expression, accordant en pratique une grande latitude aux médias ; en Europe, l'accent a été d'avantage mis sur la protection des droits liés à la réputation et celle des informations personnelles.[5]
Le droit à la vie privée comme limitation de l'intrusion du gouvernement a fait son chemin suite à la Seconde Guerre Mondiale, et à l'avènement de la surveillance d’État telle qu'elle existe aujourd'hui. Le Troisième Reich s'était beaucoup appuyé sur les données de recensement pour persécuter des gens, tandis que de nombreux États communistes ont développé des systèmes élaborés de surveillance et de collecte de données, pour contrôler leurs populations et réprimer la dissidence – des restrictions qui s'appliquent toujours aujourd'hui en Chine, au Vietnam, en Corée du Nord, au Turkménistan et à Cuba.
Après la Seconde Guerre Mondiale, le droit à la vie privée s'est ménagé une place dans de nombreux instruments internationaux des droits humains et constitutions nationales, souvent formulé comme le droit de ne pas faire l'objet d'interférences dans « sa vie privée, sa famille, son domicile ou sa correspondance », et le droit plus traditionnel de ne pas faire l'objet d'atteintes à « l'honneur ou la réputation ».[6]
Le droit à la vie privée n'a jamais été considéré comme un droit absolu. En droit international, il peut faire l'objet de dérogations ou de restrictions, en cas de grave danger public menaçant la vie de la nation. Même alors, le danger en question doit être officiellement reconnu, et les restrictions ne doivent pas être supérieures à ce qu'exige la menace, discriminatoires, ou en contradiction avec le droit international, et notamment le respect des droits humains.[7]
En l'absence d'urgence de ce type, les intrusions dans la vie privée, la famille, le domicile ou la correspondance ne peuvent être arbitraires et doivent être intégrées dans des lois explicitant clairement quand et comment elles sont susceptibles de s'appliquer. De telles lois doivent viser à protéger un intérêt légitime dans une société démocratique, telle que la sécurité publique ou la sécurité nationale, être nécessaires et proportionnelles dans la perspective de cet objectif, et soumises à des garanties et recours judiciaires.[8] Ces principes fondamentaux sont communs à presque toutes les approches judiciaires des différents aspects de la vie privée.
Attention au décalage : nouvelles technologies et « attentes raisonnables »
Un aspect important du droit à la vie privée s'est développé à partir de la réglementation des perquisitions et saisies par le gouvernement, généralement dans le contexte d'enquêtes criminelles. Alors que le droit se développait, les mandats judiciaires sont devenus une exigence commune pour les perquisitions officielles, et certains systèmes de justice considèrent les perquisitions non autorisées comme un délit. La notion de « correspondance privée » a été étendue, pour inclure les nouvelles technologies telles que les téléphones, avec des lois réglementant les conditions de recours aux écoutes téléphoniques par les autorités.
Pourtant, les protections de la vie privée ont souvent été à la traîne de l'évolution technologique. Dans l'affaire Olmstead en 1928, la Cour Suprême a estimé que des écoutes téléphoniques non autorisées présentées comme preuves dans un procès criminel ne violaient pas le droit constitutionnel des citoyens à « être protégés dans leur personne, leur domicile, leurs papiers et effets».[9] En 1967, la Cour a modifié son point de vue, considérant qu'une personne avait « des attentes raisonnables quant au respect de sa vie privée » quand elle téléphonait d'une cabine publique.[10]Cet argument de simple bon sens est devenu une doctrine pour limiter la capacité du gouvernement à mener des perquisitions sans mandats. Si le domicile est resté globalement inviolable dans le droit américain, ce qui se passe à l'extérieur de celui-ci où à la vue du public (quand on sort les poubelles, ou qu'on se trouve à l'arrière d'une voiture) ne l'est pas.
Cependant, même la doctrine judiciaire relative au caractère « raisonnable » des attentes de respect de la vie privée n'a souvent pas réussi à suivre le rythme de mutations technologiques rapides, ou même des attentes de la société.[11] Brandeis, devenu plus tard Juge à la Cour Suprême, avait anticipé ce problème dans sa fameuse objection dans l'affaire Olmstead quand il a prédit : « On développera peut-être un jour des moyens pour le gouvernement de reproduire des documents devant la cour sans même les extraire de tiroirs secrets, qui leur permettront d'exposer devant un jury les événements les plus intimes du domicile. » Il a ajouté : « La Constitution ne peut-elle vraiment offrir aucune protection contre de telles intrusions au sein de la sécurité des individus ? » ”[12]
L'inquiétude de Brandeis est pleinement justifiée à l'ère des collecte massives de données que nous connaissons aujourd'hui. Les écoutes téléphoniques ont fini par être conditionnées à l'exigence d'un mandat, mais la surveillance s'est métastasée au 21ème siècle, avec de nouvelles lois qui fixent des normes peu rigoureuses pour de nombreux types d'informations numériques.
Droit à la vie privée : confidentialité ou autodétermination
La doctrine des « attentes raisonnables » a conduit le droit américain à conclure que de nombreux types de documents commerciaux n'étaient pas protégés contre les perquisitions sans mandats, suivant la logique selon laquelle un individu qui partage volontairement des informations avec une tierce partie ne peut pas émettre d'objection si ces informations viennent à être connues.[13]
Pourtant, il a souvent été objecté que le partage de certaines informations personnelles avec une société privée ne signifie pas que l'on puisse s'attendre à ce que celles-ci soient divulguées au gouvernement ; au contraire, nous attendons en général une certaine discrétion et une confidentialité dans nos transactions commerciales.[14] Il n'est pas tout à fait exact non plus d'affirmer que le partage d'informations personnelles dans des documents commerciaux est entièrement « volontaire », compte tenu du nombre de transactions nécessaires à la vie moderne qui exigent de révéler beaucoup de choses.
Le droit des États-Unis a fini par assimiler le caractère « privé » des communications à la « confidentialité », une approche « peu adaptée à l'ère numérique », selon les mots prononcés récemment par la Juge Sonia Sotomayor.[15] En Europe, le droit a emprunté un chemin différent. L'Allemagne, qui reconnaîtun droit constitutionnel de la « personnalité », c'est-à-dire la protection de l'intégrité d'une personne et de sa liberté de développement personnel,[16] a ouvert la voie. En 1983, la Cour Constitutionnelle a annulée la loi de recensement national, proclamant « l'autodétermination informationnelle » comme droit démocratique fondamental.[17]
L'approche européenne s'appuie notamment sur la conviction que les personnes ont le droit d'accéder aux données les concernant que possèdent différentes institutions, ainsi que de les corriger, et qu'elles ont à terme le droit de décider de leur usage et de leur traitement. Un système imbriqué de directives et de normes régionales a émergé, bien que soumis à des variations dans chaque pays, tant dans la législation que dans la mise en œuvre.[18] Le droit relatif à la protection des données privées des États-Unis se compose au contraire d'une accumulation difficile à gérer de lois de tel ou tel État, ou de lois régissant un secteur industriel spécifique, qui se concentrent souvent sur la violation des données et la fraude, plutôt quesur l'autodétermination informationnelle.
Pourtant, l'approche européenne n'est pas exempte de critiques : elle a imposé aux entreprises de conserver des données pendant de longues périodes, bien au-delà de leurs propres besoins, de façon à ce que le gouvernement puisse y avoir accès.[19] Cette approche implique par ailleurs que tout contrôle de cet accès gouvernemental aux données est soumis à des normes variables en fonction du pays.[20] Alors que l'accumulation de données ne s'opère plus par stockage centralisé mais via l'informatique dématérialisée (« cloud ») globale, ce qui implique un nombre croissant de juridictions, d'acteurs, et de lois, le maintien d'un contrôle sur ses données personnelles est devenu également plus compliqué.
L'anonymat comme meilleur moyen de protéger ses données
L'une des façons les plus sûre de contrôler ses données personnelles - dissimuler sa véritable identité en communiquant – a été acceptée plus volontiers aux États-Unis qu'ailleurs, notamment parce que nombre des pères fondateurs de la nation ont publié des manifestes révolutionnaires sous des pseudonymes.
Si l'anonymat n'a jamais été considéré comme un droit absolu ou autonome, la Cour Suprême des États-Unis le reconnaît depuis longtemps comme une partie intégrante de la liberté d'expression, et lui accorde le bénéfice d'un niveau élevé de protection,[21] en partie, comme l'a écrit le Juge Stevens en 1995, parce qu'il peut encourager cette liberté d'expression. « L'anonymat », a-t-il affirmé, « … offre le moyen à tout auteur, même impopulaire à titre personnel, de s'assurer que ses lecteurs ne jugeront pas a priori son message simplement parce qu'ils n'aiment pas la personne qui l'exprime. »[22]
L'anonymat est de plus en plus précieux – et menacé – alors que la quantité d'informations en ligne explose et que les bases de données voient progresser leurs fonctions d’agrégation et de recherche, et il s'avère fondamental pour permettre aux gens d'exprimer publiquement des idées sans craindre de représailles ou de persécutions.[23]
En avril 2013, le Rapporteur spécial des Nation Uniessur la promotion et la protection du droit à la liberté d'opinion, Frank LaRue, a écrit sur l' « effet paralysant » que peuvent avoir les restrictions imposées à l'anonymat sur la liberté d'exprimer des informations et des idées. Il a souligné que quand les acteurs du secteur privé exploitent l'obligation d'inscrire son véritable nom pour amasser et exploiter des données personnelles, une importante responsabilité leur incombe en termes de protection du caractère privé et de la sécurité de ces informations.[24]
L'intimité physique : autonomie, sécurité et identité
Comme le montre le droit des perquisitions et saisies, la perception de l'intimité dans le monde physique peut influencer sa transposition dans le monde virtuel. Le courant du droit qui protège les attributs corporels et les décisions intimes d'une personne – et notamment le fait de choisir de se marier, d'avorter, de fonder une famille, ou d'accepter un traitement médical, - décrit l'intimité comme une façon d'affirmer son autonomie physique et son choix d'identité, et non comme l'isolement ou la confidentialité.[25]En tant que tel, ce courant s'avère également pertinent pour protéger l'autonomie et l'identité dans le cyber espace.
L'affaire Nicholas Toonen v. Australia en 1994 a donné lieu à une décision importante en matière d'intimité physique. Le Comité des droits de l'Homme, l'organe conventionnel qui interprète le Pacte international relatif aux droits civils et politiques (PIDCP), a rejeté la loi pénale sur la sodomie de la Tasmanie, affirmant qu' « il est incontestable qu'une activité sexuelle entre adultes consentants et en privé est couverte par le concept d'”intimité” ». Toonena refusé la logique selon laquelle la loi était destinée à prévenir la propagation du VIH/SIDA, et a affirmé qu'un tel moyen n'était ni raisonnable, ni proportionnel à l'objectif, et qu'une telle loi était plutôt susceptible de pousser à la clandestinité une population vulnérable.[26]
Dans l'affaire Goodwin v. U.K., la Cour européenne des droits de l'Homme a également mis l'accent sur les nombreuses épreuves que subissent les transsexuels opérés quand ils ne peuvent pas modifier le sexe indiqué sur leur certificat de naissance, et notamment la négation de leur droit à se marier, les discriminations à l'emploi, et le refus de prestations sociales. La Cour s'est concentrée sur l’intimité au sens de « droit à établir les détails de son identité en tant qu'être humain » et a conclu que les transsexuels avaient le droit à « l'épanouissement personnel et à la sécurité physique et morale au plein sens dont jouissent les autres membres de la société. » ”[27]
La logique des affaires Toonen et Goodwin éclaire deux points clés sur lesquels Human Rights Watch a récemment focalisé son travail sur le respect de la vie privée : l'appel à dépénaliser la simple consommation et possession de drogue que nous avons lancé (se référer à l'essai « The Human Rights Case for Drug Reform » dans ce rapport),[28] et nos efforts pour pousser à dépénaliser le travail du sexe exercé volontairement par des adultes.[29]
L'usage de drogue et même le travail du sexe volontaire peuvent présenter de graves risques pour la santé et la sécurité (et notamment des risques accrus d'exposition au VIH/SIDA), mais pousser ceux qui s'y adonnent à se réfugier dans l'ombre est généralement extrêmement contre-productif par rapport aux efforts pour soigner, atténuer, ou prévenir de tels risques. Dans les deux cas, la pénalisation peut provoquer ou exacerber une multitude de violations des droits humains dérivées, et exposer par exemple la personne à des violences de la part d'acteurs privés ou de la police, ou à une application discriminatoire de la loi, ou encore augmenter sa vulnérabilité face aux criminels qui peuvent lui imposer chantage, contrôle et abus. Ces conséquences graves et fréquentes, de même que le fort intérêt personnel qu'ont les personnes en ce qui concerne les décisions à prendre au sujet de leur propre corps, amènent à conclure qu'il est ni raisonnable ni proportionnel pour l’État d'utiliser la sanction pénale pour décourager l'une ou l'autre de ces pratiques.[30]
Ces approches de l'autodétermination physique sont directement pertinentes en ce qui concerne la vie privée en ligne. Les mondes physiques et virtuels sont bien évidemment connectés ; nos choix hors-ligne en matière d'amis, de travail, d'identité sexuelle et de convictions religieuses ou politiques se reflètent dans nos données et communications en ligne. La diffusion d'informations privées contre notre gré peut nuire à la sécurité physique et morale que l'affaire Goodwin consacre comme objectif principal du droit à la vie privée. Elle nous empêche également de développer une identité personnelle à l'abri de toute coercition – des préoccupations qui étaient à l'origine de la création des lois sur le caractère privé des données.
L' « âge d'or » de la surveillance
Deux évolutions importantes ont transformé le débat sur la vie privée et marqué l'entrée dans ce que certains ont nommé « l'âge d'or de la surveillance ».[31] La première a été le basculement en ligne de presque tous les aspects des relations sociales, économiques et politiques, de sorte que toute perturbation ou surveillance de l'activité en ligne peut potentiellement nuire ou être utilisée pour nuire à presque tous les droits humains – qu'ils soient civils, politiques, économiques, sociaux ou culturels.
La deuxième avancée est le considérable bond en avant de notre capacité à stocker, rechercher, compiler et analyser des données au prix d'un minimum d'efforts et de coûts. Ce progrès a des conséquences importantes pour la collecte et la conservation des données, et représente une énorme incitation à amasser des informations à une époque où une grande partie de nos vies est révélée par les données en ligne. De plus, plusieurs pays y compris les États-Unis ont consacré des ressources considérables à s'assurer que nos données restent toujours accessibles, recherchant notamment des accès dérobés à la technologie et aux points de collecte, et déchiffrant des codes extrêmement élaborés.[32]
Les inquiétudes au sujet de la dimension privée des communications en ligne et des informations numériques étaient grandes, même avant qu'Edward Snowden ne commence à dévoiler en juin 2013 la gigantesque ampleur et la portée planétaire de la surveillance exercée par l'Agence de Sécurité Nationale des États-Unis. Depuis lors, cependant, un débat intense fait rage pour déterminer s'il existe des situations pouvant justifier la surveillance de masse, et si le droit à la vie privée peut être protégé efficacement contre des gouvernements et des entreprises déterminés à pratiquer l'espionnage.
Une fois de plus, nous constatons que le droit et les tribunaux ne sont pas à la page.
Des vides juridiques ouvrent la voie à la surveillance
Bien qu'il soit un délit dans la plupart des systèmes juridiques, l'espionnage n'est pas interdit par le droit international, et la plupart des gouvernements le pratiquent à un certain niveau. Cependant, en tant que berceau d'Internet, foyer des plus importantes industries associées, et dans la mesure où la plupart des communications en ligne du globe transitent via son territoire ou ses équipements, les États-Unis occupent une place unique pour pratiquer une surveillance à échelle planétaire. En conséquence, il est utile d'examiner les failles ménagées par l’enchevêtrement de doctrines juridiques de ce pays, qui lui laissent les mains relativement libres pour récolter massivement des données.
Première faille importante, les États-Unis n'étendent pas leurs droits constitutionnels aux citoyens étrangers hors du territoire national, qu'il s'agisse de la protection contre les perquisition « non raisonnables », de la vie privée, ou de la liberté d'expression (y compris anonyme). Les États-Unis ne reconnaissent pas non plus les applications extraterritoriales de leurs obligations au titre du Pacte international relatif aux droits civils et politiques. Au lieu de cela, le droit américain autorise la surveillance sans mandat des services de renseignements étrangers, tant que la Foreign Intelligence Surveillance Court (FISC – Cour fédérale secrète traitant de la surveillance du renseignement) approuve les mesures destinées à « cibler » la collecte d'informations du « renseignement étranger », et à « minimiser » celle des communications de citoyens ou d'habitants des Etats-Unis qui pourrait en découler.[33]Si les étrangers ne sont pas protégés contre la collecte de leurs données, les citoyens américains font également l'objet de nombreuses exceptions, qui permettent au gouvernement de conserver également leurs données – y compris des communications cryptées et des échanges entre clients et avocats.[34]
Un autre vide juridiqueimportant est le fait que les États-Unis considèrent les « métadonnées » – c’est à dire les informations relatives à chaque message comme la date, l'heure, le lieu, l'expéditeur et le destinataire –comme des documents commerciaux divulgués à des tiers, et bénéficiant par conséquence de normes de protection bien moindres que le contenu des conversations, selon la doctrine constitutionnelle ainsi que la section 215 du PATRIOT Act. Ce type de données peut fournir un portrait incroyablement détaillé des déplacements, interlocuteurs, transactions et sujets de préoccupation d'une personne au fil du temps.
Ces deux exceptions laissent une marge énorme pour la surveillance de masse, mais le gouvernement a également pratiqué une interprétation élastique des termes déjà généreux de la loi. Les ordres de « cibler » les services de renseignement étranger n'ont pas besoin de préciser de lien avec des enquêtes ou des personnes en particulier, mais uniquement des objectifs généraux; et une telle surveillance « ciblée » implique d'avoir seulement une « certitude à 51% » - soit une précision à peine supérieure d'un cheveu, par rapport à un choix à pile ou face – que les personnes dont les données sont collectées sont de nationalité étrangère sur un sol étranger. La FISC a décidé que toutes les métadonnées enregistrées par les plus principales compagnies de téléphonie américaines telles que Verizon pouvaient être « pertinentes » pour les enquêtes de renseignement ou d'espionnage, une interprétation qui appelle à définir le mot « pertinence ».
Les obligations juridiques internationales comme nationales présentent une autre faille majeure liée aux accords de partage du renseignement qui permettent aux États d'éviter certaines restrictions légales sur leurs propres activités de collecte de données. Cela semble avoir été le cas dans la coopération entre États-Unis et Royaume-Uni.[35]
Les pratiques actuelles de collecte des données des États européens, y compris ceux qui collaborent avec la NSA, doivent encore être mises à l'épreuve par rapport aux termes de la Convention européenne des droits de l'Homme, mais l'affaire Klass v. Germany suggère qu'il pourrait y avoir examen plus approfondi. Dans ce dossier, la Cour européenne des droits de l'Homme a insisté sur le fait que pour que la surveillance respecte le droit à la vie privée, il doit y avoir « des garanties adaptées et efficaces contre les abus », et qu'au regard du danger représenté pour la démocratie par la surveillance secrète, les États ne peuvent pas, « au nom de la lutte contre l'espionnage et le terrorisme, adopter n'importe quelle mesure qu'ils jugeraient appropriée. »[36]
Le Congrès des États-Unis discute actuellement des propositions de législation visant à réformer le cadre légal qui autorise la surveillance de masse, bien qu'aucune de ces propositions ne protégerait, à l'heure actuelle, le droit à la vie privée de citoyens étrangers hors du territoire américain. Mais un monde de communications et de surveillance mondialisées a besoin de normes universelles qui ne puissent pas être éludées ou détournées trop facilement. A moins que le développement de la vie privée comme droit légal ne rattrape le rythme et ne comble ces failles, ce droit pourrait bien devenir obsolète.
Communications planétaires, obligations planétaires
Que faut-il faire ?
Certains affirment que nous devons tout simplement vivre avec la réalité d'une surveillance en ligne généralisée, et que les attentes du public en matière de protection de la vie privée vont en s'affaiblissant. Ce n'est pourtant ni exact, ni concluant. Notre approche de la notion de vie privée s'est en réalité développée bien au-delà d'un simple « droit à être laissé tranquille », pour devenir un droit à l'autodétermination personnelle, comprenant celui de choisir avec qui nous partageons nos informations personnelles et l'identité que nous présentons à différentes communautés. Quand elle s'applique au monde numérique, la protection de la vie privée nous offre des barrières contre ceux qui exercerait un contrôle non désiré, et avec elles le droit fondamental à l'épanouissement personnel et à l'indépendance d'esprit.
Si la surveillance à l'échelle planétaire appelle une réponse complexe et internationale, les États-Unis portent une responsabilité spécifique, en tant que chef de file de la cyber technologie comme de la surveillance de masse, et doivent reprendre la main sur les graves débordements mis en lumière par Edward Snowden. Parmi les mesures mises en avant par Human Rights Watch, figurent la mise en place d'une protection des métadonnées via l'obligation d'avoir un mandat judiciaire, la reconnaissance de la collecte de donnée comme atteinte à la vie privée (et non uniquement les données visionnées ou utilisées), la refonte de la FISC (également dénommée « FISA Court ») pour en faire un organe plus indépendant et transparent, capable de contrôler la NSA, et la protection des lanceurs d'alerte qui révèlent des pratiques de sécurité nationale qui violent les droits humains.
Nous devons également admettre que le devoir de protection des droits dans un monde de communications mondialisées ne peut s'arrêter aux frontières territoriales. Le droit international du vingtième siècle postulait que l'obligation principale d'un État est de garantir les droits de toutes les personnes situés sur son territoire, ou placée sous sa juridiction ou son contrôle effectif.[37]C'est logique, puisque généralement un État ne peut pas protéger les droits de personnes situées à l'étranger sans violer la souveraineté d'un autre pays. Il existe cependant des situations où un gouvernement doit appliquer ses obligations en termes de droits humains au-delà de ses frontières nationales – par exemple, quand sa police ou son armée arrêtent une personne à l'extérieur du territoire. Qu'en est-il quand ce gouvernement s'empare des communications de millions de personne sur son sol et à l'étranger ?
Il ne fait aucun doute que la récolte et le stockage massifs de données personnelles sur une longue période confèrent un tel pouvoir de suivre, analyser et révéler la vie des gens que de telles pratiques devraient être considérées comme une forme de « contrôle effectif ». Certains d'entre nous ne se soucient peut-être pas de qui peut voir leurs publications sur Facebook, mais la sécurité et la dignité humaine de nombreuses personnes dans le monde dépendent de la possibilité de limiter ceux qui connaissent leurs préférences politiques, leur orientation sexuelle, leur appartenance religieuse, etc …
Certains actes préjudiciables intentionnels, tels que le chantage, le ciblage par un drone et la coercition, s'appuient sur la révélation d'informations personnelles ; même une information simplement gérée de façon négligente ou mal interprété peut causer de terribles dommages. Un État qui, sans motif raisonnable, s'approprie de façon massive les données des habitants d'un autre État nuit à leur sécurité, leur autonomie, et l'exercice de leurs droits. Les gouvernements devraient à minima appliquer les mêmes protections légales à toutes les personnes dont elles violent la vie privée, comme elles le font pour leurs propres citoyens.
Aux États-Unis, un tribunal fédéral et un comité d'examen indépendant nommé par le président ont rejoint le chœur des législateurs en critiquant la collecte massive de données. Le président Obama doit annoncer ses recommandations concernant la réforme de la politique de surveillance le 17 janvier, mais à l’heure de la rédaction de ce chapitre, on ignorait encore s’il compte adopter les recommandations de son propre comité d'examen.[38] Les gouvernements européens, prompts à condamner les excès de la NSA, n'ont mené à l'heure actuel aucune évaluation significative de leurs propres politiques de surveillance de masse, sur leur sol ou à l'étranger, et notamment de l'ampleur de leur collaboration avec les collectes de données réalisées par les EU, et de la façon dont elles en ont tiré profit.[39]
Il faudra du temps pour faire avancer le débat vers la reconnaissance du devoir qui incombe aux États disposant d'une capacité de surveillance extraterritoriale de respecter la vie privée de toutes les personnes à leur portée, à l'échelle de la planète, mais divers signes encourageants laissent penser que cela finira par arriver. En 2009, par exemple, le Rapporteur spécial sur les droits de l'homme et a lutte antiterroriste Martin Scheinin a appelé à développer des mesures juridiques non contraignantes sur la confidentialité et la surveillance des données. En 2013, le Rapporteur spécial Frank LaRue a repris à son compte la nécessité pour le Comité des droits de l'Homme d'actualiser son Observation générale sur le droit à la vie privée.[40]
Deux séries de principes produits récemment par des organisations d'experts de la société civile peuvent apporter une base pour développer un consensus normatif : les Principes généraux sur la sécurité nationale et le droit à l'information (« Les Principes de Tshwane »),[41] promut par l'Assemblée parlementaire du Conseil de l'Europe;[42] et les Principes internationaux sur l’application des droits de l’Homme à la surveillance des communications.[43] Ces deux séries de principes rassemblent et réaffirment de façon globale les principes généraux liés au droit à la vie privée, à la transparence, et à la réglementation de la surveillance dans le droit international.
Plus récemment, le Brésil et l'Allemagne ont présenté en novembre 2013 une résolution de l'Assemblée Générale des Nations Unies qui vise à créer un consensus contre les violations de la vie privée dans la surveillance numérique, aussi bien sur le territoire national qu'à l'étranger.[44] La résolution appelle à continuer à produire des rapports sur la surveillance de masse et le droit à la vie privée, y compris sur les conséquences de la surveillance extraterritoriale. Parallèlement à ces efforts pour formuler de nouvelles normes, les appels à réformer les pratiques de surveillance gouvernementales par les acteurs de la société civile se multiplient, avec par exemple une déclaration des principales entreprises de l'internet[45] ou encore une pétition adressée aux leaders mondiaux par 562 auteurs reconnus dans 80 pays.[46] Ces événements peuvent renforcer le consensus juridique international et faire basculer l'équilibre des forces en faveur des individus.
L'année 2013 pourrait bien être considérée à l'avenir comme un moment charnière, celui où des voix se sont élevées partout dans le monde pour réaffirmer leur droit à la vie privée. Mais ça ne sera vrai que si les débats actuels produisent des normes mondiales, et des lois nationales musclées et applicables. Nous ne pouvons pas attendre que d'autres individus tels qu'Edward Snowden tirent la sonnette d'alarme, mais devons exiger des enquêtes approfondies sur l'ensemble des pratiques de collecte et d'analyse de données. Les États devraient s'engager à évaluer de façon publique et transparente leurs pratiques et leurs lois, de façon à maximiser – et non compromettre – le respect de la vie privée, la sécurité, et l'innovation technique qui peut améliorer et faire avancer nos existences et nos droits en tant qu'êtres humains.
Le droit à la vie privée ne se résume pas à ne pas importuner les gens ; il s'agit de les rendre capables de se connecter, parler, penser, et vivre comme ils l'entendent, sans intrusion arbitraire de la part de l’État. Nous sommes entrés dans la révolution technologique, et nous devons faire de notre mieux pour aider le droit à rattraper son retard – une nouvelle fois.
Dinah PoKempner est Directrice des affaires juridiques chez Human Rights Watch.
[1]Samuel D. Warren, Louis D. Brandeis, « The Right to Privacy » (« Le droit à la vie privée »), Harvard Law Review, vol. 4, no. 5 (1890).
[2]Voir par ex.,Bobbie Johnson, « Privacy no longer a social norm, says Facebook founder, » (« Le respect de la vie privée n'est plus une norme sociale, affirme le fondateur de Facebook ») The Guardian, 10 janvier 2010 http://www.theguardian.com/technology/2010/jan/11/facebook-privacy(consulté le 9 décembre 2013). Google a également déclaré qu'aucun utilisateur de gmail n'avait d'attente raisonnable concernant le respect de la vie privée dans sa correspondance ; voir aussi la motion de rejet de Google dans In re Google Inc. Gmail Litigation, United States District Court, Northern District of California, Affaire No. 5:13-md-02430-LHK 5 septembre 2013 http://www.consumerwatchdog.org/resources/googlemotion061313.pdf(consulté le 9 décembre 2013).
[3] Thomas McIntyre Cooley,« A Treatise on the Law of Torts: Or the Wrongs which Arise Independent of Contract » (« Traité sur la responsabilité délictuelle : ou les torts survenant indépendamment du contrat »), 2nd ed. (Chicago: Callaghan and Company, 1888), p. 29.
[4] VoirWilliam L. Prosser, « Privacy, » California Law Review, vol. 48, no. 3 (1960).
[5] James Q. Whitman, « The Two Western Cultures of Privacy: Dignity versus Liberty, » (« Les deux cultures occidentales du droit à la vie privée : dignité VS liberté » Yale Law Journal, vol. 113: 1153 (2004): (consulté le 22 novembre 2013), http://www.yalelawjournal.org/images/pdfs/246.pdf
[6] Par ex. la Déclaration universelle des droits de l'Homme, adoptée le 10 décembre1948, art. 12; le Pacte international relatif aux droits civils et politiques, art. 17(1); La Convention inter-américaine des droits de l'Homme, art. 11(2); la Convention européenne des droits de l'Homme, art. 8(1); cf. la récente constitution post-communiste de la République de Croatie, révisée en 2010 pour la dernière fois, qui comprend non seulement des articles classiques post- seconde guerre mondiale sur le droits à la vie privée, tels que les art. 34 (inviolabilité du domicile), art. 35 (vie personnelle et de famille, dignité et honneur), art. 36 '(liberté de la correspondance et de toute autre forme de communication) mais aussi explicite la protection de « la sécurité et la confidentialité des données personnelles » (art. 37) . http://www.sabor.hr/Default.aspx?art=2408&sec=729(consulté le 9 décembre 2013).
[7] Voir le Pacte international relatif aux droits civils et politiques, 16 décembre 1966, art. 4.1.
[8] Description générale des normes communes à la plupart des instruments internationaux relatifs à la protection de la vie privée, ainsi que la jurisprudence la plus développée dans le cadre de la Convention européenne des droits de l'Homme et le Pacte international relatif aux droits civils et politiques. Voir Ian Brown et Douwe Korff, « Digital Freedoms in International Law, » (« Libertés numériques dans le droit international »), Global Network Initiative, 14 juin 2012, et les sources citées dans les notes 17 et 18: (consultées le 22 novembre 2013), https://globalnetworkinitiative.org/sites/default/files/Digital%20Freedoms%20in%20International%20Law.pdf
[9] Olmstead v. United States, 277 U.S. 438 (1928).
[10] Katz v. United States, 389 U.S. 347 (1967).
[11] Par exemple, l'imagerie thermique est utilisée depuis les années 1980 pour détecter les cultures de marijuana, mais un mandat n'est exigé que depuis 2001. Kyllo v United States, 533 U.S. 27 (2001). La justice conclut parfois de façon assez contre-intuitive que telle ou telle technique de surveillance utilisant une technologie spécifique n'implique pas d' « attente raisonnable de respect de la vie privée », par exemple quand des photographies aériennes de sites industriels ont été comparées aux observations visuelles classiques, mesures de l'air ou de terrain ouvert dansl'affaire Dow Chemical Co. v. U.S. 477 U.S. 227 (1986), ou quand un tribunal a comparé des traces de matières biologiques « abandonnées » (sujettes à analyses ADN) issues des bennes à ordure de quelqu'un dans l'affaire California v. Greenwood, 486 U.S. 35 (1988); voir aussi Elizabeth E. Joh, « Reclaiming ‘Abandoned’ DNA : The Fourth Amendment and Genetic Privacy » (« Récupérer de l'ADN "abandonné" : le Quatrième amendement et la vie privée génétique »), 100 NW. U. L. Rev. 857 (2006). On argue parfois aussi que ce qui semblait moins raisonnable quand les méthodes de surveillance utilisant la technologie sont apparues pour la première fois devient plus normales avec le temps, dans la mesure où les gens s'habituent à voir leur vie privée envahie. Ces différents problèmes soulignent l'instabilité et la subjectivité qui sous-tendent le concept d' « attentes raisonnables » comme moyen de contrôle, et montrent à quel point les doctrines juridiques relatives aux nouvelles technologies ont tendance à être influencées par des analogies courantes avec le monde physique, qu'elles soient appropriées ou non.
[12] Olmstead v. United States, 277 U.S. 438 (1928) paras. 472-474(Brandeis, objection).
[13] Deux affaires judiciaires ont consacré cette doctrine, United States v. Miller,425 U.S. 435 (1976) (relevés bancaires) et Smith v. Maryland, 442 U.S. 735 (1979) (relevés d'appels téléphoniques).
[14] Voir les échanges entre Orin Kerr et Greg Nojeim, « The Data Question: Should the Third-Party Records Doctrine Be Revisited? » (« La question des données : la doctrine des documents divulgués à une tierce-partie doit-elle être revue ? ») ABA Journal Magazine, août 2012, (consulté le 22 novembre 2013), http://www.abajournal.com/magazine/article/the_data_question_should_the_third-party_records_doctrine_be_revisited/La Cour européenne des droits de l'Homme a également observé que les droits relatifs à la vie privée peuvent s'appliquer aux « activités de nature professionnelle ou commerciale, » (Niemietz v. Germany, 16 EHRR 97 (1993), para. 29.
[15] United States v. Jones, 565 U.S. _, 132 S.Ct. 945 (2012) Docket no. 10-1259 (Sotomayor, J., avis concordant).
[16] VoirEdward J. Eberle, « The German Idea of Freedom, » (« La conception allemande de la liberté ») Oregon Review of Int’l Law Vol. 10 at p. 4 (2008) (Débattant la Loi fondamentale art. 2.1) http://law.uoregon.edu/org/oril/docs/10-1/Eberle.pdf(consulté le 9 décembre 2013).
[17] VoirGerrit Hornung et Christoph Schnabel, « Data protection in Germany I: The population census decision and the right to informational self-determination, » (« La protection des données en Allemagne I : la décision sur le recensement de la populationet le droit à l'autodétermination informationnelle ») Computer Law & Security Report, vol. 25, issue 1 (2009), p. 84-88: (consulté le 22 novembre 2013), http://dx.doi.org/10.1016/j.clsr.2008.11.002.
[18] Parmi les textes clés figurent les Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnelde l'OCDE en 1980, et la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel du Conseil de l'Europe en 1981. Le droit à la vie privée est également protégé par le droit communautaire, et notamment par la Charte des droits fondamentaux de l'UE, et par la Directive de 1995 sur la protection des données personnelles.
[19] La Directive sur la rétention des données de l'UE, en 2006, impose aux Etats membres de demander aux prestataires de services de communication de conserver les données de communication pendant une période qui s'étend de 6 mois à 2 ans. La Commission européenne travaille actuellement à réviser cette directive, pour renforcer les protections de la vie privée qu'elle comprend. Pour une excellente analyse des abus et des conséquences en termes de droits humains des lois imposant la rétention obligatoire de données, voir Erica Newland, « Data Retention Mandates: A Threat to Privacy, Free Expression, and Business Development, » (« Les mandats de rétention de données : une menace pour la vie privée, la liberté d'expression, et le développement commercial ») Center for Democracy and Technology, octobre 2011, (consulté le 22 novembre 2013)https://cdt.org/files/pdfs/CDT_Data_Retention_Paper.pdf
[20] Pour une synthèse des controverses entourant la légalité de la Directive sur la rétention des données de l'UE, voir la page sur celle-ci de l'Electronic Frontier Foundation, (consultée le 22 novembre 2013), https://www.eff.org/issues/mandatory-data-retention/eu
[21] McIntyre v. Ohio Elections Commission, 514 U.S. 334 (1995).
[22] Ibid., 342.
[23] Pour différents exemples, voir Sam Gregory, « Human Rights Video, Privacy and Visual Anonymity in the Facebook Age, » (« Droits humains, vidéo, vie privée et anonymat visuel à l'ère de Facebook ») publié sur le blog « Witness », 16 février 2011, http://blog.witness.org/2011/02/human-rights-video-privacy-and-visual-anonymity-in-the-facebook-age/(consulté le 22 novembre 2013).
[24] Frank La Rue,« Rapport du Rapporteur spécial du Conseil des droits de l'Homme sur les conséquences de la surveillance des communications par les États sur l'exercice des droits humains à la vie privée et à la liberté d'opinion et d'expression » A/HRC/23/40 (2013), para. 49.
[25] Voir, par ex., Griswold v. Connecticut, 381 U.S. 479 (1965) et Eisenstadt v. Baird, 405 U.S. 438 (1972) (contraception); Roe v. Wade, 410 U.S. 113 (1973) (avortement); Lawrence v. Texas, 539 U.S. 558 (2003) (rapports homosexuels consensuels et privés);O'Connor v. Donaldson, 422 U.S. 563 (1975) (hospitalisation d'office pour maladie mentale).
[26] Comité des droits de l'Homme, Communication No. 488/1992: Australia. 04/04/1994 CCPR/C/50/D/488/1992 paras. 8.4-8.6, consulté le 22 novembre2013,http://www.unhchr.ch/tbs/doc.nsf/0/d22a00bcd1320c9c80256724005e60d5.
[27] Goodwin v. United Kingdom, 35 Eur. Ct. H.R. 18, para. 90 (2002).
[28] Human Rights Watch, Americas–Decriminalize Personal Use of Drugs, (« Amériques – dépénaliser la consommation personnelle de drogues ») 4 juin 2013, http://www.hrw.org/news/2013/06/04/americas-decriminalize-personal-use-drugs
[29] Voir, par ex.Human Rights Watch,« Treat Us Like Human Beings: Discrimination against Sex Workers, Sexual and Gender Minorities, and People Who Use Drugs in Tanzania, »(« Traitez-nous comme des êtres humains : les discriminations contre les travailleur(se)s du sexe, les minorités sexuelles et de genre, et les consommateurs de drogue en Tanzanie », juin 2013, http://www.hrw.org/sites/default/files/reports/tanzania0613webwcover_0_0.pdf.
[30] De telles politiques ne signifient pas interdire aux Etats de sanctionner les activités liées à la drogue ou au travail sexuel qui représentent le plus grand danger, comme les trafics, ni qu'un État ne puisse pas s'efforcer de décourager le commerce du sexe ou de la drogue.
[31] Swire et Kenesa Ahmad, « "Going Dark" or a "Golden Age for Surveillance", » (« "Dans l'ombre'"ou un '"âge d'or pour la surveillance" ») Center for Democracy and TechnologyTechnology, 28 novembre 2011 (consulté le 22 novembre 2013), https://www.cdt.org/blogs/2811going-dark-versus-golden-age-surveillance.
[32] Jeff Larson, Nicole Perlroth, et Scott Shane, « Revealed: the NSA's secret campaign to Crack, Undermine Internet Security » (« Révélations : la campagne secrète de la NSA pour craquer les codes nuit à la sécurité sur Internet ») ProPublica, 6 septembre 2013, (consulté le 22 novembre 2013), http://www.propublica.org/article/the-nsas-secret-campaign-to-crack-undermine-internet-encryption.
[33] Voir la section 702 du FISA Amendments Act, tel qu'amendé le 3 octobre 2011, (consulté le 22 novembre 2013) http://www.theguardian.com/world/2013/aug/09/nsa-loophole-warrantless-searches-email-calls
[34][34] Glenn Greenwald et James Ball, « The top secret rules that allow NSA to use US data without a warrant, » (« Les règles top secrètes qui autorisent la NSA a utiliser des données américaines sans mandat ») Guardian, 20 juin 2013, (consulté le 22 novembre 2013), http://www.theguardian.com/world/2013/jun/20/fisa-court-nsa-without-warrant(avec un lien vers une décision de ce type).
[35] The Guardian, « NSA pays £100m in secret funding for GCHQ, » (« La NSA accorde 100millions de £ de financements secrets au GCHQ ») 1er août 2013, http://www.theguardian.com/uk-news/2013/aug/01/nsa-paid-gchq-spying-edward-snowden. Voir aussi Human Rights Watch, « Royaume-Uni : Il faut apporter des réponses claires sur la surveillance des données » 28 juin 2013, http://www.hrw.org/fr/news/2013/06/28/royaume-uni-il-faut-apporter-des-reponses-claires-sur-la-surveillance-des-donnees
[36] Klassv. Germany, 2 EHRR 214, paras. 50, 49 (1978)
[37] Voir le Pacte international relatif aux droits civils et politiques, art. 2.1. Si le texte précise « sur leur territoire et relevant de leur compétence », ce point a été interprété de façon disjonctive par le Comité, comme deux conditions distinctes. Voir Manfred Nowak, UN Covenant on Civil and Political Rights (« Le Pacte des NU sur les droits civils et politiques ») (Kehl am Rhein: Engel, 2005), 2:4 p. 41-42 (para. 28: « Quand des Etats partie, cependant entreprennent en territoire étranger des actions qui violent les droits des personnes relevant de leur autorité souveraine, il serait contraire aux objectifs du Pacte de ne pas les en tenir pour responsables. La question de savoir si ces actions sont permises aux termes du droit international général … ou constituent des interférences illégales, n'est pas pertinente dans ce cas. »). Voir aussi Comité des droits de l'Homme des NU, Observation générale 31, Nature des obligations légales générales imposées aux États parties au Pacte (Quatre-vingtième session, 2004), U.N. Doc. CCPR/C/21/Rev.1/Add.13 (2004) para. 10.
[38] Klayman v. Obama, Civ. Actions 13-0851, 13-0881 (RLJ), 16 décembre 2013, http://scholar.google.com/scholar_case?case=12334619679029296316&hl=en&as_sdt=6&as_vis=1&oi=scholarr. Voir aussi “Liberty and Security in a Changing World, Report and Recommendations of the President's Review Group on Intelligence and Communications Technologies”, 12 décembre 2013, http://www.whitehouse.gov/sites/default/files/docs/2013-12-12_rg_final_report.pdf.
[39] La Commission des libertés civiles, de la justice et des affaires intérieures du Parlement européen mène cependant une « Enquête sur la surveillance électronique de masse des citoyens européens ». http://www.europarl.europa.eu/committees/en/libe/subject-files.html?id=20130923CDT71796
[40] Frank La Rue,A/HRC/23/40 (2013), para. 98. De nombreuses organisations non gouvernementales de défense des droits humains ont également appelé à cette actualisation.
[41] « Les Principes généraux sur la sécurité nationale et le droit à l'information (Principes de Tshwane) »(New York: Open Society Foundations, 12 juin 2013),http://www.opensocietyfoundations.org/sites/default/files/global-principles-national-security-10232013.pdf(consulté le 22 novembre 2013).
[42] Assemblée parlementaire du Conseil de l'Europe, « Recommendation 2024 (2013): sécurité nationale et accès à l'information » (2 octobre 2013).
[43]« Principes internationaux sur l’application des droits de l’Homme à la surveillance des communications », 10 juillet2013, https://fr.necessaryandproportionate.org/text(consulté le 22 novembre 2013) (HRW a soutenu ces principes, avec près de 300 autres organisations).
[44] Ewen McAskill and James Ball, « UN surveillance resolution goes ahead despite attempts to dilute language, » (« La résolution sur la surveillance des NU avance malgré les tentatives d'en édulcorer les termes, ») The Guardian, 21 novembre 2013 http://www.theguardian.com/world/2013/nov/21/un-surveillance-resolution-us-uk-dilute-language(consulté le 9 décembre 2013).
[45] Aol, Facebook, Google, LinkedIn, Microsoft, Yahoo!, Reform Government Surveillance (« Réformer la surveillance gouvernementale ») http://reformgovernmentsurveillance.com/(consulté le 10 décembre 2013).
[46] Writers Against Government Surveillance, « A Stand for Democracy in the Digital Age, » (« Défendre la démocratie à l'ère numérique ») http://www.change.org/petitions/a-stand-for-democracy-in-the-digital-age-3(publiée et consultée le 10 décembre 2013).