L'EFF a rejoint European Digital Rights (EDRi), la Clinique d'intérêt public et de politique Internet canadienne Samuelson-Glushko (CIPPIC) et d'autres organisations de la société civile pour recommander 20 mesures solides et complètes pour renforcer la protection des droits de l'homme dans le nouveau projet de traité sur la surveillance transfrontalière. qui est en cours d'examen par l'Assemblée parlementaire du Conseil de l'Europe (APCE). Les recommandations visent à garantir que le projet de traité, qui accorde à la police des pouvoirs étendus et intrusifs pour accéder aux informations des utilisateurs dans les enquêtes criminelles transfrontalières, contienne une base solide pour protéger la vie privée et la protection des données.
Qu'il s'agisse d'exiger des forces de l'ordre l'obtention d'une autorisation judiciaire indépendante comme condition pour les demandes transfrontalières de données d'utilisateurs, ou d'interdire aux équipes d'enquête de la police de contourner les garanties de confidentialité dans les accords de transfert de données secrets, nos recommandations soumises à l'APCE ajouteront des protections des droits de l'homme indispensables à la projet de deuxième protocole additionnel à la convention de Budapest sur la cybercriminalité. Les recommandations visent à préserver l'objectif du Protocole – faciliter des enquêtes transfrontalières efficaces et opportunes entre des pays dotés de systèmes juridiques différents – tout en intégrant des garanties protégeant les droits individuels.
Sans ces amendements , la crédibilité du Protocole est remise en question. La Convention de Budapest sur la cybercriminalité a connu un succès remarquable en termes de signataires – des États grands et petits du monde entier l'ont ratifiée. Cependant, l'objectif de longue date de la Russie de remplacer le traité par son propre projet de convention des Nations Unies pourrait être une pression supplémentaire sur le Conseil de l'Europe (CdE) pour qu'il précipite son approbation au lieu d'étendre son mandat pour permettre correctement une non-partie prenante significative consultation. Mais si le CdE a l'intention d'offrir une approche plus protectrice des droits humains à l' initiative des Nations Unies sur la cybercriminalité , il doit montrer l'exemple en corrigeant les principales erreurs techniques que nous avons soulignées dans notre soumission et renforcer les garanties de protection de la vie privée et des données dans le projet de protocole.
Cet article est le premier d'une série d'articles décrivant nos recommandations à l'APCE. La série expliquera également comment le Protocole aura un impact sur la législation dans d'autres pays. Le projet de protocole a été approuvé par le Comité sur la cybercriminalité (T-CY) du Conseil de l'Europe le 28 mai à l'issue d'un processus opaque de plusieurs années largement réquisitionné par les forces de l'ordre.
Les groupes de la société civile, les responsables de la protection des données et les avocats de la défense ont été mis à l' écart au cours du processus, et le projet de protocole reflète ce processus profondément défectueux et déséquilibré. L'APCE peut recommander d'autres amendements au projet au cours du processus d'adoption et d'approbation finale du traité. L'EFF et ses partenaires exhortent l'APCE à utiliser nos recommandations pour adopter de nouveaux amendements au Protocole afin de protéger la vie privée et les droits de l'homme à travers le monde.
Dénaturer la nature intrusive des pouvoirs d'accès aux données des abonnés
L'un des plus gros défauts du projet est son traitement, à l'article 7, des données des abonnés, l'information la plus recherchée par les enquêteurs des forces de l'ordre. Le texte explicatif du Protocole prétend à tort que l'information des abonnés « ne permet pas de tirer des conclusions précises sur la vie privée et les habitudes quotidiennes des individus concernés », elle est donc moins sensible que d'autres catégories de données.
Mais, comme cela est de plus en plus reconnu dans le monde , les informations sur les abonnés telles que l'adresse et le numéro de téléphone d'une personne, sous certaines conditions, sont fréquemment utilisées par la police pour découvrir l'identité des personnes et les relier à des activités en ligne spécifiques qui révèlent des détails de leur vie privée. La divulgation de l'identité des personnes publiant de manière anonyme révèle des détails intimes de la vie privée des personnes. La caractérisation dédaigneuse des données d'abonné par le Protocole entre directement en conflit avec la jurisprudence , en particulier si l'on considère la définition large du Protocole des informations d'abonné, qui comprend les adresses IP et autres identifiants en ligne.
Dans nos recommandations, nous exhortons donc l'APCE à aligner la description du projet de texte explicatif des données des abonnés avec les avis judiciaires du monde entier qui reconnaissent qu'il s'agit d'informations hautement sensibles. L'accès illimité aux données des abonnés porte atteinte au droit à la vie privée et à l'anonymat, ainsi qu'au droit des personnes à la liberté d'expression en ligne, mettant en danger les journalistes, les dénonciateurs, les politiciens, les dissidents politiques et autres.
N'exigez pas une coopération directe entre les fournisseurs de services et les forces de l'ordre étrangères
L'article 7 demande aux États d'adopter une législation qui permettra aux forces de l'ordre d'un pays de demander la production de données d'abonné directement à des entreprises situées dans un autre pays en vertu de la norme juridique du pays demandeur. En raison de la diversité des cadres juridiques entre les signataires des Parties, les lois de certains pays autorisent les forces de l'ordre à accéder aux données des abonnés sans garanties appropriées, par exemple sans autorisation judiciaire préalable et/ou sans motif raisonnable. L'article s'applique à tous les fournisseurs de services publics ou privés, définis de manière très large pour englober les fournisseurs de services Internet, les fournisseurs de courrier électronique et de messagerie, les sites de médias sociaux, les opérateurs de téléphonie mobile, les services d'hébergement et de capture, qu'ils soient gratuits ou payants, et que au public ou en groupe fermé (ex. réseau communautaire).
Pour les pays dotés de solides garanties juridiques, l'article 7 les obligera à supprimer toute loi qui empêcherait les fournisseurs de services locaux détenant des données d'abonnés de répondre volontairement aux demandes de ces données émanant d'agences ou de gouvernements étrangers. Ainsi, un pays qui exige une autorisation judiciaire indépendante pour que les sociétés Internet locales produisent des informations sur leurs abonnés, par exemple, devra modifier sa loi afin que les sociétés puissent directement transmettre les données des abonnés à des entités étrangères.
Nous avons reproché à l'article 7 de ne pas fournir, ou d'exclure, les garanties essentielles qui sont incluses dans de nombreuses lois nationales. Par exemple, l'article 7 n'inclut aucune restriction explicite sur les activités de ciblage qui impliquent des droits fondamentaux, tels que la liberté d'expression ou d'association, et empêche catégoriquement tout État d'exiger de la police étrangère qu'elle démontre que les données d'abonné qu'elle recherche feront avancer une enquête pénale avant justifiant l'accès à celui-ci.
C'est pourquoi nous avons exhorté l'APCE à supprimer entièrement l'article 7 du texte du Protocole. Les États seraient toujours en mesure d'accéder aux données des abonnés dans des contextes transfrontaliers, mais s'appuieraient plutôt sur une autre disposition du Protocole (article 8), qui pose également quelques problèmes mais comprend davantage de garanties pour les droits de l'homme.
Si l'article 7 est conservé, le Protocole devrait être amendé pour permettre aux États de limiter plus facilement son champ d'application. Dans l'état actuel du texte, les pays doivent décider d'adopter ou non l'article 7 lors de la mise en œuvre du projet de protocole. Mais la portée de la protection juridique offerte par de nombreux États aux données des abonnés évolue, car de nombreux tribunaux et corps législatifs reconnaissent de plus en plus que l'accès à ces données personnelles peut être intrusif et peut nécessiter des garanties supplémentaires. Tel qu'il est rédigé, si un signataire du Protocole ajoute plus de garanties à son régime d'accès aux données des abonnés – pour des raisons de politique publique ou en réponse à une décision de justice – étendre ces garanties à la police étrangère le mettra en violation de ses obligations en vertu du Protocole.
Étant donné que le projet de protocole confère des pouvoirs d'application de la loi ayant un impact direct sur les droits de l'homme et sera disponible pour un nombre varié de signataires avec des systèmes de justice pénale et des antécédents en matière de droits de l'homme différents, nous recommandons qu'il fournisse des garanties supplémentaires pour les demandes de données transfrontalières :
- Permettre à une Partie d'exiger une autorisation judiciaire indépendante pour les demandes étrangères de données d'abonnés adressées aux fournisseurs de services sur son territoire. Ou mieux encore, nous aimerions voir une obligation générale imposant un contrôle indépendant sur chaque demande de données d'abonnés transfrontalière.
- Permettre aux autorités du pays où sont situés les fournisseurs de services d'être informés des demandes de données d'abonnés et de recevoir suffisamment d'informations pour évaluer leur impact sur les droits et libertés fondamentaux ; et
- Adopter des mesures juridiques pour garantir que les demandes de bâillon (demandes de confidentialité et de secret) ne soient pas invoquées de manière inappropriée lorsque les forces de l'ordre imposent des demandes d'accès transfrontalier aux données des abonnés.
Nous sommes reconnaissants à l'APCE de nous avoir donné l'opportunité de présenter nos préoccupations alors qu'elle formule sa propre opinion et recommandations avant que le traité n'atteigne l'organe final d'approbation du CdE, le Conseil des ministres. Nous espérons que PACE prendra au sérieux nos préoccupations en matière de confidentialité et de droits humains. Ces dernières semaines, l'EFF et le monde ont appris que les gouvernements du monde entier ont ciblé des journalistes, des militants des droits humains, des dissidents, des avocats et des citoyens privés pour surveillance en raison de leur travail ou de leurs points de vue politiques. Les régimes militarisent la technologie et les données pour cibler ceux qui s'expriment. Nous exhortons vivement l'APCE à adopter nos recommandations pour l'ajout de garanties solides en matière de droits de l'homme au Protocole afin de s'assurer qu'il ne devienne pas un outil d'abus.
Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2021/08/eff-council-europe-flawed-cross-border-police-surveillance-treaty-needs-fixing le Mon, 30 Aug 2021 21:10:27 +0000.