Par Cynthia M. Wong, chercheuse senior sur l'Internet et les droits humains
Nous avons atteint un point de basculement en ce qui concerne l’avenir de l’Internet. Pour protéger son existence sous forme de plateforme ouverte et mondiale au service des droits humains, du développement et du commerce, nous avons besoin de règles fondées sur des principes pour régir la surveillance numérique et protéger la vie privée, des règles qui s’appliquent à tous les gouvernements. Jusqu’à l’été 2013, le mouvement mondial pour la liberté sur Internet était en plein essor. Divers gouvernements s’étaient rassemblés pour former la Coalition Liberté en ligne (Freedom Online Coalition), et s’étaient engagés publiquement à promouvoir un Internet libre, mondial et ouvert, grâce aux efforts diplomatiques coordonnés des États-Unis et du Royaume-Uni, ainsi que de leurs alliés. Au sein du Conseil des droits de l’homme des Nations Unies, l’idée que les droits dont nous bénéficions quand nous ne sommes pas connectés doivent également s’appliquer quand nous le sommes faisait largement consensus.
Pourtant, cette confiance qu’avait le monde entier dans la gouvernance impulsée par les États-Unis et le Royaume-Uni, en matière de liberté sur Internet, s’est évaporée depuis que l’ancien consultant de l’Agence américaine de sécurité nationale (National Security Agency , NSA) Edward Snowden a commencé à diffuser les preuves de la surveillance de masse exercée par cette agence et par son homologue, le Quartier-général des communications du gouvernement britannique (Government Communications Headquarters , GCHQ). Dans un discours cinglant prononcé au siège des Nations Unies en septembre 2013, la présidente brésilienne Dilma Rousseff a condamné ces pratiques : « Sans droit à la vie privée, il ne peut y avoir de véritable liberté d’expression et d’opinion, et donc pas de démocratie effective, » a-t-elle déclaré. « Le droit à la sécurité des citoyens d'un pays ne saurait jamais être assuré en violant les droits des citoyens d'autres pays. »
Les révélations d’Edward Snowden ont exposé au grand jour le fossé entre les valeurs affichées par les États-Unis et le Royaume-Uni, et leur comportement. Alors même qu’ils s’étaient fait les champions d’un Internet libre et ouvert, ces deux gouvernement étaient en train de recueillir des données sur des centaines de millions de personnes dans le monde chaque jour, y compris d’ailleurs, pour les États-Unis, sur Dilma Roussef elle-même. Afin d’espionner plus facilement les personnes connectées et d’identifier les menaces de sécurité, les Américains et les Britanniques se sont également employés à affaiblir secrètement la sécurité sur Internet, une approche contradictoire qui rend le réseau mondial moins sûr pour l’ensemble de ses usagers, et ces derniers plus vulnérables aux attaques des pirates informatiques et des voleurs d’identité.
Si de nombreux gouvernements ont exprimé leur indignation en découvrant les pratiques d’espionnage de la NSA et du GCHQ, beaucoup ont peut-être aussi eu, en privé, une réaction d’envie. Peu de gouvernements disposent d’autant de moyens que la NSA ou le GCHQ, mais partout dans le monde des dirigeants développent leurs propres capacités de surveillance de masse, et sont susceptibles d’imiter les États-Unis et le Royaume-Uni.
Sans aucun contrôle, cette dynamique pourrait rapidement donner naissance à un monde dans lequel toute recherche en ligne, tout contact électronique, courriel ou transaction serait stocké(e) dans la base de données d’un ou de plusieurs gouvernements. Si aucun État n’est en mesure de garantir le droit à la vie privée de ses propres citoyens, face à l’espionnage étranger et à des services de renseignement qui s’associeraient pour partager leurs données sur les ressortissants d’autres pays, c’est à un véritable scénario à la Georges Orwell que nous pourrions assister. Les États-Unis affirment qu’ils ne se serviront pas de la collecte de données de renseignement pour réprimer l’opposition, ou pour exercer des discriminations. Cependant, d’autres gouvernements ont déjà utilisé la surveillance à de telles fins, à plusieurs reprises.
Le Président Obama s’est déclaré favorable à un débat sur la surveillance à l’ère contemporaine, mais les discussions sur les protections et les réformes nécessaires aux États-Unis n’ont produit que peu ou pas de changements perceptibles pour les usagers d’Internet dans le monde. L’administration Obama s’est engagée à développer des protections supplémentaires s’appliquant aux informations personnelles qu’elle a collectées, mais n’a pas fait grand-chose pour juguler l’ampleur même de la surveillance exercée par la NSA, en particulier à l’étranger. Le Royaume-Uni, pour sa part, a refusé de répondre aux questions les plus basiques relatives à ses pratiques de collecte de renseignement, et, avec un orgueil effarant et un mépris flagrant des droits humains, a précipité l’adoption d’une loi en juillet 2014 qui étend encore davantage ses capacités de surveillance. Défendant leurs programmes, aucun de ces deux gouvernements ne s’est montré pleinement disposé à prendre en compte les intérêts des personnes vivant hors de leurs frontières, en matière de droit à la vie privée.
Le tableau n’est toutefois pas entièrement sombre. En 2014, plusieurs acteurs importants ont investi le vide de gouvernance laissé par les États-Unis et le Royaume-Uni. Les principales institutions des droits humains des Nations Unies ont commencé à définir ce que signifie protéger la vie privée dans un monde où les technologies permettent, potentiellement, une surveillance omniprésente. Et une nouvelle coalition d’États, sous la houlette de l’Allemagne et du Brésil, a repris le flambeau de la liberté sur Internet pour promouvoir ces efforts, tandis que la Coalition Freedom Online s’efforce de restaurer sa crédibilité.
Il est crucial de continuer à pousser les États-Unis et le Royaume-Uni à engager de véritables réformes, mais le reste du monde ne devrait pas attendre que ces deux pays agissent. Les craintes liées au terrorisme, et l’avantage comparatif dont disposent les États-Unis et le Royaume-Uni en matière de surveillance les rendent aveugles aux dangers posés par de telles pratiques, non seulement pour leurs alliés, mais aussi pour leurs propres institutions démocratiques. Parmi ces dangers figurent le gel des droits fondamentaux à la liberté d’expression et d’association, l’affaiblissement de la liberté de la presse et d’information, et la dégradation de l’accès à un conseil juridique et à des services de défense. De fait, ces pays pourraient bien ne changer de logique que quand leurs propres citoyens seront confrontés à des niveaux de surveillance similaires, exercés par des puissances étrangères.
En parallèle, les autres pays devraient maintenir la question de la surveillance et de la vie privée à l’ordre du jour des droits humains, aux Nations Unies et ailleurs. Ces questions devraient aussi être abordées systématiquement dans les rencontres bilatérales, de façon à ce que les États-Unis et le Royaume-Uni ne se sentent pas tirés d’affaire. L’expérience montre que si les États-Unis et le Royaume-Uni sont souvent réticents à se positionner en première ligne pour développer des normes internationales, ces deux pays finissent par adapter leurs pratiques aux règles fondées sur des principes que d’autres pays s’engagent à respecter.
« Collectez tout »
Nous vivons désormais à l’ère du « big data » : toutes nos communications et nos activités laissent d’abondantes traces numériques, qui peuvent être collectées, analysées et stockées pour un coût modique. En parallèle, des impératifs commerciaux conduisent diverses entreprises à amasser d’immenses quantités d’informations relatives à nos relations sociales, notre santé, nos finances, et nos habitudes de consommation. L’effondrement du coût du stockage et du traitement informatique implique que de telles données peuvent être conservées plus longtemps, et pourront être explorées à l’avenir pour répondre à des objectifs encore inconnus.
Ces archives numériques intéressent les gouvernements pour différentes raisons, à la fois légitimes et illégitimes. En ayant accès aux données détenues par le secteur privé, les gouvernements peuvent facilement mettre à jour des tendances dans nos comportements et modes d’association, que nous soyons connectés ou non – et ce, qu’il s’agisse de contrecarrer des menaces sécuritaires, ou d’identifier des personnes qui s’expriment particulièrement fortement sur Internet pour critiquer la politique gouvernementale.
Les agences de sécurité des États-Unis et du Royaume-Uni ont réagi en construisant d’énormes centres de stockage, et en collectant avec voracité autant de données qu’elles le pouvaient. Lors d’une visite au Royaume-Uni en 2008, le Général américain Keith Alexander, alors directeur de la NSA, avait posé cette question : « Et pourquoi pas collecter tous les signaux, tout le temps ? » Le Royaume-Uni a tenté de relever le défi avec son programme Tempora, conçu pour intercepter massivement les données circulant via 200 câbles sous-marins qui connectent l’Europe aux Amériques, à l’Afrique, et au-delà. Selon ce qu’ont indiqué les médias, l’année dernière, il se pourrait également que le GCHQ intercepte et enregistre en secret les images webcam de millions d’usagers d’Internet.
Aux États-Unis, la NSA s’est engagée frénétiquement dans la collecte massive de métadonnées auprès d’opérateurs privés de téléphonie (et peut-être également d’autres entités, non identifiées), ainsi que dans les écoutes à grande échelle des communications par câbles à fibre optique. En 2014, des articles basés sur les documents révélés par Edward Snowden ont indiqué que les États-Unis pourraient collecter chaque jour des millions de SMS dans le monde, rassembler l’intégralité des métadonnées de téléphonie mobile dans cinq pays, et intercepter tous les appels téléphoniques dans deux de ces pays.
Au nom de la sécurité, les États-Unis et le Royaume-Uni ont rejeté toute notion de proportionnalité, qui implique que la surveillance ne cible que les personnes dont ils auraient des raisons de croire qu’elles présentent une menace réelle. Seule une infime partie des usagers d’Internet ou de téléphones portables actuellement surveillés seront un jour suspectés d’une infraction, moins probablement encore d’être liés à des activités terroristes.
La plupart de ces agissements ont eu lieu en secret, mais au cours de ces dernières années, des dénonciateurs – connus sous le nom de « whistleblowers » – ont ouvert ponctuellement des brèches donnant un bref aperçu de ce qui se passait réellement dans le domaine de la sécurité nationale. La plus large de ces brèches est celle ouverte par les révélations d’Edward Snowden.
Un manque de leadership
Qu’ont fait les États-Unis et le Royaume-Uni pour juguler la surveillance de masse et répondre à l’indignation de l’opinion publique ? Pour les milliards d’usagers d’Internet qui vivent en dehors de ces pays, la réponse est : presque rien.
Le 17 janvier 2014, le Président Obama a annoncé des mesures pour limiter l’utilisation, la rétention et la diffusion des données personnelles rassemblées par les agences de renseignement, dans la Directive présidentielle n°28 (Presidential Policy Directive 28). Ces nouvelles mesures prétendent rapprocher les règles qui s’appliquent aux données collectées sur les personnes hors-États-Unis (les étrangers, à l’étranger) de celles qui régissent les données collectées sur des personnes aux États-Unis. Si cette directive implique davantage de transparence (en comparaison notamment avec la plupart des autres gouvernements), les règles en elles-mêmes sont vagues, ne vont pas assez loin pour prévenir les abus, et ne créent pas de droits que les personnes hors-États-Unis puissent revendiquer au sein d’un tribunal. Elles ne sont pas non plus solidement ancrées dans le droit, puisqu’elles ne sont pas intégrées dans la législation, et peuvent donc être modifiées par n’importe quelle future administration américaine. Plus grave, ces nouvelles mesures n’empêchent pas la collecte massive de données et de communications de personnes n’ayant aucun lien avec un quelconque délit, permettant ainsi aux immenses banques d’informations interceptées de continuer à se développer, au service des futures administrations qui les exploiteront.
Le USA Freedom Act (« Loi américaine sur la liberté d’information »), le principal outil législatif de réforme dans ce domaine aux États-Unis, a été conçu pour mettre fin à la collecte massive de métadonnées et aux autres dispositifs d’enregistrement pratiqués par ce pays. Le projet de loi est resté bloqué au Congrès, en novembre 2014. Pourtant, même si le USA Freedom Act avait été adopté, et tout aussi important que cela aurait été, il n’aurait permis de s’attaquer qu’à l’un des programmes révélés par les documents d’Edward Snowden, et n’aurait quasiment rien fait pour traiter la question du droit à la vie privée des milliards d’usagers d’Internet dans le monde, hors États-Unis, dont les informations personnelles se trouvent peut-être dans les bases de données de la NSA. À l’heure de la rédaction de ce chapitre, il semble que le Congrès désormais dirigé par les Républicains sera sans doute moins réceptif encore aux efforts pour limiter la collecte massive de données.
Au Royaume-Uni, les autorités persistent à ne « ni confirmer ni démentir » que le GCHQ intercepte les communications de millions de personnes. Le gouvernement a refusé de répondre aux plus simples questions sur ses pratiques, et il est donc extrêmement difficile de vérifier ses dires selon lesquels ces programmes seraient légaux et nécessaires pour protéger la sécurité. Pourtant, dans sa réponse à une contestation judiciaire, le gouvernement britannique a reconnu interpréter la loi de façon à permettre à ses agences de collecter potentiellement des millions de communications, via des services populaires tels que Twitter, Gmail, et Facebook, et ce sans avoir besoin de mandat, principalement parce que les serveurs de ces compagnies sont souvent situés à l’étranger. Cette révélation soulève de sérieux doutes quant au discours du GCHQ selon lequel de tels pouvoirs sont nécessaires pour protéger la sécurité publique.
Plus inquiétant, les États-Unis et le Royaume-Uni continuent à affirmer qu’ils n’ont aucune obligation légale de protéger le droit à la vie privée de qui que ce soit en dehors de leurs territoires respectifs. Dans d’autres domaines du droit des droits humains, les États-Unis ont déjà ainsi argué n’avoir aucune obligation vis à vis des personnes vivant hors de leur territoire, et n’ont admis que cette année l’existence potentielle d’un certain nombre de devoirs aux termes de la Convention contre la torture, vis-à-vis des étrangers dont les autorités américaines s’emparent physiquement, mais seulement dans les territoires où elles exercent « une autorité gouvernementale ». En contraste avec cette résistance au fait d’assumer des obligations extraterritoriales en ce qui concerne la surveillance, les États-Unis exercent leur autorité pour obliger les entreprises qui y sont basées à livrer des informations sur tous leurs usagers dans le monde, quel que soit l’endroit où ces données sont stockées, et quasiment sans aucune protection de la vie privée des non-Américains à l’étranger. Le Royaume-Uni a également admis des obligations extraterritoriales en matière de droits humains, dans des cas tels que la détention de citoyens étrangers dans un autre pays. Cependant, dans le domaine de la vie privée et de la surveillance, le Royaume-Uni qualifie les communications qui sortent des Iles Britanniques d’« externes », et le droit britannique ne prévoit que de minces mesures de protection pour le droit à la vie privée dans le cadre de telles communications « externes ».
Il est presque certain que les approches à courte vue des États-Unis et du Royaume-Uni auront à terme des conséquences néfastes pour leurs propres citoyens, alors que d’autres pays s’alignent sur leur modèle. Tandis que les réseaux Internet continuent à se mondialiser, de plus en plus de données se rapportant aux populations américaines et britanniques vont circuler en dehors du territoire de ces deux pays, et d’autres États se sentiront libres de collecter et stocker ces données, sans aucune limite.
Les États-Unis et le Royaume-Uni ont fourni aux gouvernements de toutes tendances politiques un plan d’action pour développer leurs propres systèmes de surveillance de masse. Si peu d’entre eux disposent d’autant de ressources ou de compétences que la NSA et le GCHQ à l’heure actuelle, de nombreux autres gouvernements adoptent une approche tout aussi opaque et avide de la collecte de données numériques.
Le cryptage sous le feu des critiques
Les documents divulgués par Edward Snowden révèlent que la NSA a également affaibli les normes de chiffrement et dissimulé des informations sur des failles de sécurité de produits commerciaux, afin de pouvoir les exploiter avant que les entreprises n’aient pu les réparer. De plus, les médias suggèrent que le GCHQ est en train de développer des techniques pour casser le cryptage, et notamment le trafic internet chiffré que cette agence intercepte. Ces tactiques peuvent faciliter le contrôle et la collecte discrète de données depuis divers outils et réseaux, non seulement par les États-Unis et le Royaume-Uni, mais aussi potentiellement par d’autres acteurs. Si casser les codes a toujours été au cœur des missions de la NSA, toute technique nuisant à la sécurité générale des applications et réseaux Internet met en danger l’ensemble des usagers de ces derniers.
En 2014, les principales entreprises technologiques américaines ont redoublé d’efforts pour renforcer la sécurité de leurs appareils et services contre l’espionnage. Ces mesures sont devenues un impératif commercial, alors que la perte de confiance provoque la fuite des usagers vers des entreprises non-américaines. En septembre 2014, Google et Apple ont annoncé que les données stockées sur leurs appareils mobiles seraient cryptées par défaut, et qu’aucune de ces deux entreprises ne serait en mesure de décoder les données enregistrées à la demande du gouvernement. Google, Microsoft, Yahoo, Facebook, et d’autres services ont pris des mesures supplémentaires pour sécuriser les courriels et messages, expérimentant une évolution d’Internet que les experts en sécurité et les défenseurs des droits humains appelaient de leurs vœux depuis des années. Alors que les journalistes et les organisations de défense des droits humains s’appuient de plus en plus sur des outils en ligne mondialisés pour faire leur travail, beaucoup d’entre eux considèrent ces améliorations de la sécurité comme une conséquence cruciale de l’affaire Snowden. Pour les organisations vulnérables, ou les personnes qui vivent sous des régimes autoritaires, le fait de protéger les communications et les associations d’un espionnage abusif peut être une question de vie ou de mort.
Pourtant, les responsables du gouvernement des États-Unis et du Royaume-Uni ont réagi à ces nouvelles mesures de sécurité en accusant les entreprises technologiques de favoriser le meurtre, le terrorisme, et la pédophilie. Au cours de sa première semaine en poste, en novembre 2014, Robert Hannigan, directeur du GCHQ, a rédigé une tribune qualifiant les entreprises technologiques américaines de « réseau de commandement et contrôle de prédilection des terroristes et des criminels », affirmant que le renforcement du cryptage était particulièrement utile au groupe extrémiste de l’État Islamique, également connu sous le nom d’EIIL, et à d’autres organisations terroristes. De la même façon, dans un discours prononcé en septembre 2014, James Comey, directeur du FBI, a affirmé que « le cryptage menace de nous faire tous basculer vers le côté obscur », et place les criminels au-dessus de la loi. Les autorités souhaitent une coopération accrue de la part des principales entreprises technologiques, y compris grâce à des « portes dérobées » intégrées dans les appareils et services, qui leur permettrait un meilleur accès aux communications des usagers.
Les forces de l’ordre et les autorités sécuritaires affirment que les portes dérobées au sein des systèmes codés sont indispensables pour protéger la sécurité publique. Pourtant, et de façon ironique, ces dispositifs amoindrissent la sécurité des usagers d’Internet et de téléphones portables – nous tous. Les experts en sécurité affirment que de telles portes dérobées, une fois en place, créent de nouveaux points de vulnérabilité, puisqu’elles peuvent être utilisées à mauvais escient par les pirates informatiques, les voleurs d’identité, et d’autres acteurs malveillants. D’un point de vue technique, il est presque impossible de créer une porte dérobée qui ne puisse être exploitée que par les acteurs désignés comme étant « du bon côté ».
Ceux qui, au sein des gouvernements américain et britannique, s’opposent au cryptage, oublient également qu’ils ne sont pas les seuls à demander l’accès à des portes dérobées. Si Google, Apple, et d’autres entreprises cèdent à leurs demandes, il leur sera difficile de refuser le même accès à d’autres gouvernements. Intégrer la vie privée et la sécurité dans la conception même des technologies est le moyen le plus efficace de protéger la sécurité des usagers contre divers acteurs malveillants. Si le GCHQ ne peut pas forcer Apple à débloquer un iPhone, parce qu’Apple n’a pas le code, alors les services de renseignement chinois ou russe ne le peuvent pas non plus.
Le coût réel de la surveillance
En tant que membres de la communauté mondiale, nous commençons à peine à tenter d’évaluer le coût réel induit par la surveillance, et son impact non seulement sur la vie privée, mais aussi sur d’autres droits et valeurs qui nous sont chers. Un rapport conjoint publié en juillet 2014 par Human Rights Watch et l’association américaine de défense des libertés civiles, l’American Civil Liberties Union, a décrit les effets pervers de la surveillance à grande échelle sur la pratique du journalisme et celle du droit aux États-Unis. Des entretiens avec des dizaines de journalistes ont montré qu’une surveillance accrue, combinée avec le durcissement des mesures destinées à empêcher les fuites et les échanges entre gouvernement et médias, intimident les sources et les empêchent de parler aux journalistes (y compris sur des sujets d’intérêt public non-classés secrets) par crainte de subir des représailles, de perdre leur agrément de sécurité ou leur travail, ou même d’être poursuivis. A terme, cette situation a un impact néfaste sur la quantité comme sur la qualité de la couverture médiatique, en particulier sur les sujets en lien avec la sécurité nationale, le renseignement, et l’application de la loi. Le rôle du quatrième pouvoir pour tenir le gouvernement responsable de ses actes est ainsi affaibli.
Steve Coll, rédacteur au magazine The New Yorker et doyen de l’Ecole supérieure de journalisme de l’Université de Columbia a ainsi expliqué: « Tous les correspondants spécialisés sur la sécurité nationale que je connais vous diraient que le climat dans lequel les journalistes professionnels enquêtent sur les échecs des politiques [et] les mauvaises décisions militaires est devenu beaucoup plus dur et plus frileux. » La compréhension par le public des politiques de sécurité nationale menées en notre nom est pourtant un élément clé du fonctionnement de démocraties saines, et de sociétés ouvertes.
Un autre correspondant spécialisé en sécurité nationale a décrit ainsi l’impact des révélations d’Edward Snowden sur la capacité qu’ont les journalistes à protéger leurs sources : « Avant, je pensais que les plus prudents ne prenaient pas de risques, [qu’ils] pouvaient protéger leurs sources et empêcher qu’elles soient connues. Nous savons à présent que ce n’est pas le cas. Voilà ce que je retiens de l’affaire Edward Snowden. Il existe une trace de tous les endroits où j’ai posé le pied, de tous les endroits où je suis allé. »
De nombreux journalistes prennent des mesures exceptionnelles pour protéger leurs sources et leur éviter des représailles, notamment en utilisant des téléphones portables prépayés et jetables ou un cryptage complexe, ou carrément en évitant d’utiliser des téléphones ou Internet. Ainsi que l’a formulé un journaliste, ils sont obligés d’adopter des tactiques de trafiquants de drogue ou de criminels, pour pouvoir simplement faire leur travail. Les avocats – notamment ceux de la défense – qui ont parlé à Human Rights Watch ont raconté avoir adopté des tactiques similaires, pour protéger la confidentialité de leurs communications avec leurs clients, qui est un élément clé du droit à disposer d’un avocat.
Au Royaume-Uni, des documents diffusés en novembre 2014 suite à une contestation judiciaire ont montré que les services de sécurité et du renseignement britanniques avaient des politiques permettant l’interception des échanges confidentiels entre un avocat et son client, pour des motifs de sécurité nationale, et ce y compris dans des affaires en cours où les agences en question étaient en position d’accusés. L’organisation de défense des droits humains Reprieve a saisi la justice au nom de familles libyennes qui affirmaient avoir été victimes d’extraditions extraordinaires et d’actes de torture. La directrice juridique de Reprieve, Cori Crider, a déclaré que ces politiques avaient « des implications inquiétantes pour le système judiciaire britannique dans son ensemble », et a demandé combien de fois le gouvernement avait pu « fausser le jeu en sa faveur dans le procès pour torture en cours d’instruction. »
Ces premières recherches effleurent à peine le sujet. Par exemple, un sondage réalisé en avril 2014 auprès de 2000 Américains au sujet de l’impact des révélations sur la NSA a établi que près de la moitié – 47 pour cent – avaient changé d’attitude en ce qui concerne les activités en ligne, en réaction aux informations sur la surveillance exercée par la NSA.
Les participants à l’étude ont affirmé faire d’avantage attention aux endroits où ils vont, à ce qu’ils disent, et à ce qu’ils font en ligne, et un quart environ a tendance à moins utiliser les courriels. D’autres études ont rassemblé des informations sur les coûts économiques réels et estimés de la surveillance de la NSA pour l’industrie américaine de l’Internet (des coûts qui pourraient atteindre 180 millions de dollars de ventes perdues pour l’industrie de l’informatique dématérialisée – ou cloud computing) alors que la perte de confiance dans les technologies et services américaines pousse les entreprises à s’expatrier. Un rapport de l’Institut Open Technology publié en juillet 2014 a commencé à lister certains de ces coûts, de même que l’impact négatif sur l’ouverture de l’Internet, les intérêts américains en matière de politique étrangère, et la cyber sécurité.
L’une des principales victimes des révélations d’Edward Snowden a sans doute été l’autorité morale des États-Unis et du Royaume-Uni pour critiquer les abus de surveillance commis par d’autres gouvernements, et pour donner l’exemple.
Un rapport publié par Human Rights Watch en mars 2014 a par exemple rassemblé des informations sur la façon dont le gouvernement éthiopien utilise la surveillance pour contrôler les groupes de l’opposition et les journalistes, et faire taire les voix dissidentes. Avec un accès illimité aux réseaux mobiles, les agences de sécurité interceptent régulièrement des appels et accèdent à des enregistrements téléphoniques qui peuvent ensuite être diffusés au cours d’interrogatoires abusifs, sans aucune procédure ni forme de supervision.
Un ancien membre d’un parti d’opposition éthiopien a raconté à Human Rights Watch: « Un jour, ils m’ont arrêté et ils m’ont tout montré. Ils m’ont montré une liste de tous mes appels téléphoniques, et ont repassé une conversation que j’avais eue avec mon frère. Ils m’ont arrêté parce que nous avions parlé de politique au téléphone. C’était le premier téléphone que j’ai jamais eu, et je pensais pouvoir enfin parler librement. »
Précédemment en 2014, le gouvernement éthiopien a arrêté un groupe de blogueurs qui écrivaient sur l’actualité, dans le cadre d’un collectif connu sous le nom de Zone 9. Les blogueurs de Zone 9 sont aujourd’hui inculpés de charges politiquement motivées, aux termes du droit anti-terroriste éthiopien, qui présente de graves lacunes. Ces charges s’appuie notamment comme preuve sur le fait que les blogueurs se sont déplacés hors du pays, pour suivre une formation afin d’apprendre à crypter leurs communications.
L’Éthiopie n’est pas les États-Unis, ou le Royaume-Uni, mais les discours et les actes de ces derniers créent un précédent inquiétant, qui sape leur crédibilité en matière de droits humains, et que pourront invoquer à l’avenir de nombreux autres gouvernements. Si les États-Unis, le Royaume-Uni et leurs alliés continuent par exemple à affirmer que les métadonnées ne méritent qu’une faible protection du droit à la vie privée, comment pourraient-ils contester efficacement les agissements de l’Ethiopie quand son gouvernement invoque le même type d’argument juridique ? Et si les autorités américaines et britanniques continuent à décrier et à affaiblir l’utilisation du cryptage en général, pour protéger les usagers lambda de l’Internet, comment pourront-elles condamner de façon crédible d’autres gouvernements qui rendent un tel cryptage illégal et en punissent l’utilisation, au nom de la sécurité?
Des normes internationales pour l’ère du numérique
Les révélations d’Edward Snowden ont déclenché un débat mondial sur la surveillance à l’ère contemporaine, la sécurité nationale, et les droits humains. Le droit à la vie privée est désormais à l’ordre du jour pour divers États et institutions internationales, pour la toute première fois.
Plusieurs des principales institutions des droits humains des Nations Unies ont commencé à se pencher sur les pratiques contemporaines de surveillance. En mars 2014, le Comité des droits de l’Homme, un corps d’experts internationaux responsable de l’interprétation du Pacte international relatif aux droits civils et politiques (PIDCP)— un traité mondial auquel les États-Unis sont partie— a appelé les États-Unis à faire en sorte que toute surveillance soit nécessaire et proportionnée, pour atteindre des objectifs légitimes, et ce quelles que soient la nationalité ou la localisation géographique des personnes affectées.
En juillet 2014, une des principales responsables des droits humains des Nations Unies, Navi Pillay, qui était alors Haut-Commissaire aux Droits de l’Homme, a publié un rapport ouvrant de nouveaux horizons sur le droit à la vie privée à l’ère du numérique, et qui contredit directement les arguments avancés par les États-Unis et le Royaume-Uni pour justifier la surveillance massive exercée en secret.
Navi Pillay a notamment conclu que la surveillance de masse se développait «sous la forme d’une pratique habituelle dangereuse, et non comme mesure exceptionnelle ». Elle a affirmé que l’ « espionnage non contrôlé » pouvait nuire à différents droits humains, tels que le droit à la liberté d’expression et d’association. Il incombe désormais aux gouvernements, a-t-elle souligné, de prouver que leurs pratiques sont nécessaires et proportionnées à leurs objectifs en matière de sécurité. En d’autres termes, ce n’est pas parce qu’on est capable d’espionner tout le monde qu’on doit le faire.
Le rapport de la Haut-Commissaire était le résultat des efforts soutenus des défenseurs du droit à la vie privée et d’un groupe de pays, menés par l’Allemagne et le Brésil, pour pousser les États-Unis et le Royaume-Uni à mettre fin à la surveillance de masse et à protéger le droit à la vie privée des personnes du monde entier. Investissant le vide de gouvernance laissé par ces deux pays, l’Allemagne et le Brésil, avec l’Autriche, le Liechtenstein, le Mexique, la Norvège et la Suisse, ont permis l’adoption d’une résolution de l’Assemblée Générale en décembre 2013, appelant à la réalisation du rapport de la Haut-Commissaire.
Face à l’inaction des États-Unis, du Royaume-Uni, et de leurs alliés les plus proches, ces institutions des Nations Unies ont commencé à dessiner une approche de la surveillance et des droits humains à l’ère numérique qui s’appuie sur des principes, et s’ancre dans les normes du droit international des droits humains communément acceptées.
Plusieurs points critiques issus de ce travail contredisent directement les arguments utilisés pour défendre la surveillance de masse :
- La surveillance nuit à un large éventail de droits, au-delà du seul droit à la vie privée, parmi lesquels la liberté d’expression, d’association et de déplacement, de même que le droit à disposer d’un avocat. Quand les gens ne peuvent pas se connecter à Internet sans craindre un contrôle injustifié, la capacité des technologies numériques à favoriser le respect des droits humains est sérieusement remise en cause. Les journalistes ne peuvent pas protéger leurs sources, les avocats ne peuvent pas garantir la confidentialité de leurs échanges avec leurs clients, et les défenseurs des droits humains ne peuvent pas faire leur travail en toute sécurité.
- Les États ont des obligations en ce qui concerne la protection des droits liés à la vie privé d’usagers situés hors de leurs frontières. A notre époque de réseaux mondialisés, c’est un argument intenable que d’affirmer que le droit à la vie privée s’arrête aux frontières, alors que la surveillance n’a justement pas de frontières.
- La surveillance de masse est menée de manière intrinsèque sans distinction, et est présumée illégale. L’article 17 du PIDCP exige que toute intrusion dans la vie privée soit proportionnée et étroitement circonscrite. Ce n’est pas parce que la surveillance et la collecte massive de données pourraient rapporter des informations qui seront peut-être utiles un jour, que l’invasion de la vie privée de tous est justifiée.
- Les États devraient reconnaître que le droit à la vie privée et d’autres droits sont affectés quand ils collectent des données privées, que celles-ci soient utilisées ou non. Savoir que le gouvernement peut obtenir des données sur vos communications et activités connectées peut paralyser la liberté d’expression et d’association, même si les données collectées ne sont jamais utilisées à mauvais escient. Les États devraient limiter de façon significative les circonstances dans lesquelles des données peuvent être collectées, de même que les utilisations possibles de ces données et la durée pendant laquelle elles peuvent être conservées.
- Les États devraient renforcer la transparence et le contrôle des autorités de surveillance et de renseignement. Il existe des raisons légitimes de maintenir le secret, quand il s’agit de répondre à des menaces à la sécurité nationale. Mais de tels pouvoirs doivent être soumis à un contrôle pour prévenir les débordements et les abus, y compris via les organes judiciaires et parlementaires.
- Les acteurs du secteur privé ont la responsabilité de respecter les droits humains, quand il leur est demandé de contribuer à la surveillance ou à la collecte de données. Quand des entreprises de l’Internet ou des télécommunications livrent des données d’usagers ou contribuent aux efforts de surveillance sans mesures de protection adéquates, elles risquent d’être complices des violations qui peuvent en résulter.
La voie à suivre
Si la controverse suscitée par les révélations d’Edward Snowden a porté l’attention sur les États-Unis et le Royaume-Uni, comme mentionné plus haut, il n’y a pas de raison de croire que les lois ou pratiques des autres gouvernements soient meilleures. La plupart des régimes de la vie privée ont été mis en place au cours des premiers balbutiements de l’Internet, avant que les médias sociaux ou les téléphones intelligents n’existent, et ils s’avèrent désormais incapables d’assurer une protection efficace des droits. Et, bien sûr, il y a des gouvernements qui, comme l’Ethiopie, la Chine, ou la Russie, pratiquent quotidiennement une surveillance abusive, comme partie intégrante de leurs politiques et de leurs choix stratégiques.
Grâce au Brésil et à l’Allemagne, il existe aujourd’hui un élan international en faveur du développement de normes et de lignes directrices, et de la création d’institutions permettant de garantir que le droit à la vie privée ait toujours un sens à l’ère du numérique. Parmi ces efforts, dans les mois à venir, Human Rights Watch va soutenir la création d’un nouveau Rapporteur spécial chargé du droit à la vie privée, au sein du Conseil des droits de l’Homme des Nations Unies— un expert indépendant, chargé d’examiner les pratiques de surveillance des États de façon systématique et permanente.
À l’heure de la rédaction de ce chapitre, cependant, le désir d’obtenir l’adhésion des États-Unis et du Royaume-Uni, alors que le débat sur la surveillance de masse se joue dans ces instances internationales, reste d’actualité. L’instinct qui pousse à prendre des gants avec les États-Unis et le Royaume-Uni n’a rien de surprenant, compte tenu de leurs capacités technologiques et de leur puissance politique. A terme, cependant, cette approche pourrait être contre-productive. A court terme, ces deux États sont en effet plus susceptibles de jouer le rôle d’empêcheurs de tourner en rond, que de s’engager en faveur de normes fondées sur des principes. C’était d’ailleurs certainement le cas au cours du débat qui a conduit à l’adoption de la résolution de l’Assemblée Générale des Nations Unies de décembre 2013 sur le droit à la vie privée à l’ère du numérique, quand les États-Unis et le Royaume-Uni ont œuvré en coulisse, avec un certain succès, pour diluer le texte, et à nouveau en novembre 2014, pour la résolution de suivi adoptée sur le même sujet.
Bien sûr, nous devons continuer d’exhorter les États-Unis et le Royaume-Uni à entreprendre des réformes, et de presser ces gouvernements d’étendre les protections de la vie privée aux personnes qui se trouvent en dehors de leurs frontières. Mais nous ne devrions pas laisser la paralysie politique de ces pays freiner le développement de normes internationales sur le droit à la vie privée. Un processus d’engagement international général, avec des alliés stratégiques, peut faciliter l’acceptation à terme par les États-Unis et le Royaume-Uni, et l’assimilation avec le temps, de normes internationales fortes. Quand d’autres nations et institutions internationales montreront l’exemple et créeront des nomes solides pour les droits humains, elles entraîneront les États-Unis et le Royaume-Uni dans leur sillage.
Le développement de normes mondiales n’est cependant qu’une première étape. L’affaire Snowden a montré jusqu’où les agences de sécurité étaient susceptibles d’aller, quand on les autorise à opérer sans mécanismes de supervision et de responsabilisation adaptés. Alors que de nouveaux potentiels de surveillance se développent, et que les États sont aux prises avec des menaces sécuritaires accrues – que ce soit le terrorisme et l’extrémisme violent, ou les cyber-attaques – un contrôle public soutenu est plus que jamais nécessaire, de même que l’application de normes mondiales au niveau national. Le rapport de Navi Pillay a proposé des orientations très utiles. Il incombe maintenant aux parlements et aux corps législatifs des États du monde entier d’examiner les pratiques de surveillance, et d’évaluer leurs coûts et leurs bénéfices tangibles de plus près, de façon publique, dans le cadre général des droits humains.
La surveillance doit rester à l’ordre du jour des politiques relatives aux droits humains, aux niveaux national et mondial. Sinon, nous risquons de faire d’Internet un œil qui voit tout, au service de n’importe quel gouvernement.
-------------
Cynthia Wong est chercheuse senior sur l’Internet et les droits humains auprès de Human Rights Watch.