Il s'agit du troisième article d'une série sur les recommandations que l'EFF, EDRi, la CIPPIC, Derechos Digitales, TEDIC, la Fondation Karisma et d'autres organisations de la société civile ont soumises à l'Assemblée parlementaire du Conseil de l'Europe (APCE), qui examine actuellement le Protocole. , d'amender le texte avant son approbation définitive à l'automne. Lisez la série complète ici , ici , ici et ici .
Les gouvernements sont sur le point d'adopter un ensemble de règles supplémentaires à l'échelle mondiale, qui remodèleront la façon dont les enquêtes policières transfrontalières sont menées. Le protocole, auquel se réfère le surnom de mauvais augure « Deuxième protocole additionnel à la Convention de Budapest du Conseil de l'Europe sur la cybercriminalité », accorde aux forces de l'ordre de nouveaux pouvoirs intrusifs tout en adoptant peu de garanties pour la vie privée et les droits de l'homme.
De nombreux éléments du Protocole sont une liste de souhaits en matière d'application de la loi, ce qui n'est guère surprenant étant donné que sa rédaction a été largement motivée par les intérêts des procureurs et de l'application de la loi avec une contribution minimale des parties prenantes externes telles que les groupes de la société civile et les régulateurs indépendants de la protection de la vie privée. En conséquence, l'EFF, European Digital Rights, la Clinique d'intérêt public et de politique Internet canadienne Samuelson-Glushko et d'autres organisations de la société civile ont demandé à l'Assemblée parlementaire du Conseil de l'Europe (APCE), qui révise actuellement le Protocole, de amender le texte avant son approbation définitive à l'automne.
Les enquêtes internationales sur les forces de l'ordre deviennent de plus en plus routinières, les forces de police cherchant à accéder aux preuves numériques stockées par les fournisseurs de services du monde entier. Mais en l'absence de normes internationales des droits de l'homme détaillées et facilement applicables, les autorités chargées de l'application des lois du monde entier doivent décider elles-mêmes des conditions dans lesquelles elles peuvent exiger l'accès aux informations personnelles. Par conséquent, le plus petit dénominateur commun en termes de protection de la vie privée et d'autres protections prévaudra souvent dans les enquêtes transfrontalières.
Malheureusement, le deuxième protocole additionnel du Conseil de l'Europe ne fournit pas le type de garanties détaillées et solides nécessaires pour garantir que les enquêtes transfrontalières intègrent le respect des droits de l'homme. Bien au contraire, le Protocole évite d'imposer des garanties solides dans une tentative active d'inciter les États dont les garanties en matière de droits de l'homme sont plus faibles à signer. À cette fin, le Protocole reconnaît de nombreux pouvoirs de police obligatoires et intrusifs, associés à des garanties relativement faibles qui sont en grande partie de nature facultative. Le résultat est une dilution nette de la vie privée et des droits de l'homme à l'échelle mondiale.
Les enquêtes transfrontalières soulèvent des questions difficiles, car des systèmes juridiques très différents s'affrontent. Comment les lois sur la protection des données régulent-elles la collecte et l'utilisation des données personnelles par la police lorsque le processus de collecte s'étend sur plusieurs juridictions et systèmes juridiques ? Plus précisément, quels types de garanties juridiques des boîtes à outils existantes en matière de droits de l'homme et de protection des données régiront ces formes et d'autres de collecte de preuves à travers les frontières ?
Bien que les lois sur la protection des données s'appliquent généralement aux secteurs public et privé, de nombreux pays n'ont pas réussi à établir des normes élevées. Certains pays ont exempté la collecte de données d'application de la loi et le traitement des données personnelles de leurs lois sur la protection des données, tandis que d'autres lois sur la protection de la vie privée comme la loi américaine sur la protection de la vie privée ne s'appliquent pas aux étrangers – les personnes non américaines qui ne sont pas des résidents permanents légaux.
De nombreux types différents de collecte de preuves internationales et de coopération internationale en matière d'application de la loi se produisent aujourd'hui, mais le projet de protocole cherche à établir une nouvelle norme internationale qui régira plusieurs aspects du maintien de l'ordre à l'échelle mondiale à l'avenir . Nous avons décrit certains de ses pouvoirs les plus intrusifs dans d'autres articles ici et ici .
Le Protocole comprend également certaines garanties relatives aux droits de l'homme et à la vie privée qui s'appliquent lorsque les États s'appuient sur les pouvoirs définis par le Protocole. Ces garanties sont concentrées au chapitre III, articles 13 et 14 du Protocole, et leurs lacunes seront explorées dans le reste de cet article.
L'article 13 reconnaît une obligation générale de veiller à ce que des protections adéquates soient en place pour les droits de l'homme et les libertés civiles. L'inclusion de cette garantie est importante, en particulier l'obligation d'incorporer le principe de proportionnalité dans la détermination de la portée des garanties des droits de l'homme. Mais l'article 13 impose peu de restrictions spécifiques, et les signataires sont largement laissés pour déterminer quelles protections sont « adéquates » et « proportionnées » sur la base du droit national. Ainsi, dans la pratique, il y a peu d'obligations directes pour les États d'imposer des garanties spécifiques dans des contextes d'enquête spécifiques.
L'article 14, en revanche, impose un certain nombre d'obligations détaillées et spécifiques de protection des données qui s'appliqueraient à toute information personnelle obtenue par le biais des nouveaux pouvoirs d'application de la loi du Protocole. Cependant, les normes de l'article 14 sont faibles et même ces faibles garanties peuvent être contournées par deux ou plusieurs signataires par accord.
Abaisser la barre de la protection des données
Les normes fixées par l'article 14 ne satisfont pas aux exigences modernes en matière de protection des données et, par endroits, cherchent activement à saper les normes internationales émergentes. Par exemple, l'article 14 oblige les parties à veiller à ce que les données à caractère personnel collectées par le biais des pouvoirs du Protocole soient utilisées d'une manière cohérente et pertinente aux fins des enquêtes pénales qui ont motivé leur collecte. Cependant, contrairement à la plupart des autres instruments de protection des données, les garanties de protection des données de l'article 14 n'exigent pas que tous les traitements de données à caractère personnel soient « adéquates, équitables et proportionnés » à leur objectif, tandis que l'article 13 n'exige que des garanties « adéquates » et un respect général de le principe de proportionnalité. Des conditions adéquates, équitables et proportionnées sont des conditions importantes et distinctives pour accéder aux données personnelles, reconnues dans plusieurs législations modernes sur la protection des données à travers le monde. Chaque terme impose des exigences différentes lorsqu'il est appliqué à la collecte, à l'utilisation et à la divulgation des renseignements personnels. L'absence des trois termes spécifiques dans le protocole est troublante, car elle indique que des conditions moins nombreuses, plus faibles et obsolètes pour accéder aux données seront autorisées et tolérées.
Les garanties de l'article 14 sont également problématiques dans la mesure où elles n'exigent pas que l'application de la loi soit soumise à un contrôle totalement indépendant. Le contrôle doit être impartial et libre de toute influence extérieure directe, mais le texte explicatif de l'article 14 (qui n'a jamais fait l'objet d'une consultation publique) permet aux organes de contrôle d'être soumis à une influence indirecte. En vertu de l'article 14, par exemple, de nombreuses fonctions de contrôle peuvent être exercées par des représentants du gouvernement logés dans les mêmes agences qui dirigent les enquêtes transfrontalières contrôlées. En outre, alors que les responsables de la surveillance ne doivent pas recevoir d'instructions de l'État concernant l'issue d'un cas particulier, l'article 14 permet aux États d' exercer des instructions et un contrôle sur les opérations générales de surveillance . L'article 14 interdit même expressément aux Parties d'exiger le recours à des régulateurs indépendants pour protéger la confidentialité des données personnelles transférées à d'autres Parties par le biais des pouvoirs d'enquête du Protocole. Dans l'ensemble, l'article 14 ne satisfait pas aux normes minimales de contrôle indépendant.
Enfin, l'article 14 du Protocole énonce également certaines garanties pour les données biométriques, mais celles-ci sont finalement insuffisantes et sapent une reconnaissance internationale croissante du fait que les données biométriques sont sensibles et nécessitent une protection supplémentaire dans tous les cas. Les données biométriques impliquent des représentations mathématiques des caractéristiques personnelles des personnes telles que leurs empreintes digitales, vocales ou iris et alimentent une gamme de technologies intrusives telles que la reconnaissance faciale. En raison de leur capacité à identifier les individus de manière persistante par des moyens automatisés, les informations biométriques sont généralement considérées comme sensibles par les tribunaux et les législatures duConseil de l'Europe et du monde entier .
Malgré cette reconnaissance croissante de la nature sensible des informations biométriques, l'article 14 interdit aux États d'utiliser des garanties supplémentaires à moins que les informations biométriques ne puissent être démontrées comme présentant un risque supplémentaire pour la vie privée. Bien que le protocole fournisse peu d'indications sur ce qui pourrait constituer ce risque supplémentaire, le résultat est de fournir une portée plus étroite de la protection des données biométriques que ne l'exigent les lois concurrentes telles que le RGPD , la directive européenne sur l'application des lois et la propre convention du Conseil de l'Europe. 108+ , dont chacune reconnaît les données biométriques tous sensibles dans tous les contextes. Cela crée une ambiguïté dans la définition de l'étendue de la protection appliquée aux transferts bilatéraux, car de nombreux signataires anticipés du Protocole ont également signé la Convention 108+ et se sont engagés à respecter ses normes plus élevées de protection biométrique alors que beaucoup d'autres ne l'ont pas fait. Alors que le texte explicatif semble reconnaître que les parties liées par la Convention 108+ devront appliquer les protections biométriques renforcées de ce traité, l'article 14 interdit également aux signataires d'appliquer des conditions supplémentaires de protection des données « génériques » à tout transfert de données entre les signataires. De plus, de nombreuses Parties au Protocole ne seront pas liées par la Convention 108+ et seront empêchées de garantir que le niveau de protection approprié est appliqué lorsque des informations biométriques sensibles sont transférées à d'autres juridictions par les forces de l'ordre.
Pour toutes ces raisons, nous avons demandé que le Protocole soit amendé afin que les signataires puissent refuser d'appliquer ses pouvoirs les plus intrusifs (articles 6, 7 et 12) lorsqu'ils traitent avec tout autre signataire n'ayant pas également ratifié la Convention 108+.
N'importe qui peut ignorer même ces sauvegardes
Même les faibles normes appliquées par l'article 14 sont effectivement facultatives en vertu du Protocole. Les signataires sont explicitement autorisés à contourner ces garanties par le biais de divers mécanismes, dont aucun ne garantit que des protections adéquates de la vie privée seront en place.
Par exemple, deux ou plusieurs signataires peuvent conclure un accord international de protection des données qui remplacera les garanties décrites à l'article 14. Il n'y a aucune obligation de garantir que les accords de remplacement offrent un niveau de protection adéquat, ou même un niveau comparable aux garanties qui sont effectivement énoncées à l'article 14. Et les parties peuvent continuer à s'appuyer sur les pouvoirs d'application de la loi du Protocole tout en appliquant des garanties plus faibles établies dans un tel accord de remplacement au lieu de celles de l'article 14. En effet, le texte explicatif de l'article 14 présente le soi-disant Accord « cadre » UE-États-Unis — qui fournit des garanties et des garanties de licéité pour les transferts de données — en tant qu'exemple paradigmatique d'un accord admissible. Mais des questions ont été soulevées quant à savoir si l'accord-cadre est conforme à la Charte des libertés fondamentales de l'UE.
Même si aucun accord international contraignant n'est en place, les Parties peuvent contourner les garanties de l'article 14 en concluant des accords ad hoc entre elles. Ces accords n'ont pas besoin d'être formels, complets, contraignants ou même publics. Si une enquête conjointe entre les autorités chargées de l'application de la loi dans plusieurs juridictions est en cours, les policiers de première ligne peuvent même décider d'adopter leurs propres accords, ce qui laisse craindre que les garanties de confidentialité soient sacrifiées pour la commodité de l'enquête. (Une analyse plus détaillée de la section d'enquête conjointe du Protocole sera publiée prochainement.)
Pour garantir qu'au moins certaines garanties de base soient en place, nous avons donc recommandé que le protocole soit modifié pour garantir que les protections spécifiques décrites à l'article 14 établissent un seuil minimum de protection de la vie privée. Celles-ci peuvent être complétées par des protections plus rigoureuses, mais ne peuvent être remplacées par des normes plus faibles.
Limites des limites de transfert de données personnelles
L'article 14 sape également une garantie clé utilisée par les régulateurs indépendants de la vie privée dans les enquêtes transfrontalières, où il n'y a souvent aucune possibilité directe d'appliquer des garanties une fois que les données personnelles ont été transférées par les forces de l'ordre vers un autre pays. Pour cette raison, de nombreux régimes de protection des données exigent que des régulateurs indépendants bloquent les transferts de données vers les États qui ne parviennent pas à fournir certains niveaux minimums de protection de la vie privée. L'article 14 impose des limites strictes à la capacité des autorités chargées de la protection des données d'empêcher les forces de l'ordre de transférer des données personnelles vers d'autres juridictions, supprimant ainsi un outil essentiel de la boîte à outils de protection des droits humains.
Dans la plupart des systèmes juridiques qui s'appuient sur les restrictions de transfert de données comme garantie de confidentialité, des régulateurs indépendants déterminent si le système juridique d'un autre État offre des garanties suffisantes pour permettre les transferts d'application de la loi. Cependant, l'article 14 « juge » que ses garanties (ou toute garantie adoptée dans tout accord international de protection des données entre deux parties au protocole) sont suffisantes pour répondre aux normes nationales de tout signataire, supprimant ce rôle décisionnel important des régulateurs indépendants . Le Protocole autorise les signataires à suspendre les transferts de données si les propres garanties de l'article 14 sont violées, mais uniquement avec des preuves substantielles d'une violation systématique ou matérielle, et seulement après avoir consulté le pays suspendu. En fixant une norme de preuve restrictive et en obligeant l'exécutif d'un État à entamer des négociations avant de suspendre les transferts, l'article 14 sape davantage la capacité des régulateurs de la vie privée à assurer un niveau adéquat de protection des données.
Pour éviter que le Protocole ne diminue le rôle important joué par les autorités de protection des données dans l'arbitrage et la protection de la vie privée dans les transferts transfrontaliers d'application de la loi, nous avons demandé que les tentatives de l'article 14 de limiter les restrictions de transfert de données soient supprimées.
Conclusion
Certains ont défendu le deuxième protocole additionnel dans sa configuration actuelle, affirmant qu'il est nécessaire de prévenir les efforts qui pourraient conduire à un cadre plus intrusif pour la police transfrontalière. Plus précisément, la Russie a proposé un autre traité international sur la cybercriminalité , qui obtient le soutien des Nations Unies. Le traité des Nations Unies traiterait de bon nombre des pouvoirs d'enquête mentionnés dans le Protocole et la Convention de Budapest.
La société civile tire la sonnette d'alarme au sujet de l'initiative de lutte contre la cybercriminalité dirigée par la Russie. Human Rights Watch a souligné, par exemple, que l'ONU est dirigée par des pays qui utilisent les lois sur la cybercriminalité comme couverture pour sévir contre les droits. Le Conseil de l'Europe devrait proposer une alternative respectueuse des droits de l'homme à l'initiative des Nations Unies. Mais le Protocole, tel qu'il existe actuellement, ne l'est pas.
L'APCE a la possibilité d'améliorer considérablement la protection des droits de l'homme dans le Protocole en recommandant au Conseil des ministres, l'organe décisionnel du CdE, des amendements qui corrigeront les erreurs techniques du Protocole et renforceront ses garanties de confidentialité et de protection des données. Des pouvoirs d'application de la loi détaillés devraient s'accompagner de garanties juridiques détaillées, et non d'un compromis unilatéral sur la protection de la vie privée et des données.
En savoir plus sur ce sujet :
- EFF au Conseil de l'Europe : un traité de surveillance policière transfrontalière défectueux doit être corrigé : voici nos recommandations pour renforcer la protection de la vie privée et des données à travers le monde
- Commentaire conjoint de la société civile à l'Assemblée parlementaire du Conseil de l'Europe (APCE) sur le deuxième protocole additionnel à la Convention sur la cybercriminalité (STCE 185)
- Sans changement, le projet de traité sur la surveillance policière du Conseil de l'Europe est une influence pernicieuse sur les cadres juridiques de protection de la vie privée en Amérique latine
- Les actions du Conseil de l'Europe démentent ses promesses d'impliquer la société civile dans le développement du traité sur les compétences de la police transfrontalière
- La Convention mondiale sur l'application des lois affaiblit la vie privée et les droits de l'homme
- Lettre conjointe de la société civile pour le 6e cycle de consultation sur le Protocole sur la cybercriminalité sur le premier projet complet du Protocole
- Des groupes de la société civile demandent plus de temps pour examiner et commenter le traité mondial précipité pour les pouvoirs de police transfrontaliers intrusifs
Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2021/09/eff-council-europe-cross-border-police-surveillance-treaty-must-have-ironclad le Wed, 08 Sep 2021 18:56:43 +0000.