La Turquie double les violations de la confidentialité numérique et de la libre expression

L'histoire récente de la Turquie regorge de lois et de pratiques étouffant les droits de l'homme . La loi sur Internet , ses amendements et la récente décision du régulateur turc (BTK ) ont encore renforcé cette tendance . La loi sur Internet et ses modifications exigent que les grandes plates-formes nomment un représentant local, localisent leurs données et accélèrent la suppression du contenu à la demande du gouvernement. La Turquie a également adopté une loi sur la protection des données ; cependant, il n'a pas réussi à protéger les droits fondamentaux dans la pratique. Par exemple, la Turquie a mis en œuvre des décrets de surveillance d' urgence , après le coup d'État de 2016, qui accordaient au gouvernement turc un accès illimité aux données de communication sans ordonnance du tribunal – une carte blanche pour l'espionnage du gouvernement. Les plates-formes doivent se tenir aux côtés de leurs utilisateurs et respecter le droit international des droits de l'homme et les normes qui protègent la vie privée et la liberté d'expression. Nous craignons que les plates-formes ne se heurtent à la pression du gouvernement turc.

Tous ces changements juridiques se produisent au milieu de l'état de droit et du déficit démocratique de la Turquie, et du manque d'indépendance du pouvoir judiciaire. La Turquie a rejeté et forcé le retrait de plus de 30 juges et procureurs turcs, que la Commission européenne a expliqué a conduit à l' autocensure dans le système judiciaire, ce qui compromet davantage son indépendance et d' impartialité. Le gouvernement a également emprisonné des opposants politiques, ce que la Cour européenne des droits de l'homme a reconnu, au-delà de tout doute raisonnable, que les prolongations de détention d'un chef de l'opposition politique avaient poursuivi le but ultime prédominant d'étouffer le pluralisme et de limiter la liberté de débat politique, un composante essentielle d’une société démocratique.

Avis forcé de représentants turcs ou encourir de lourdes amendes

En Turquie, les entreprises étrangères très présentes sur les réseaux sociaux en Turquie sont tenues de désigner un représentant local d' ici le 2 novembre – 30 jours après que BTK leur a envoyé un premier avertissement. La loi l'exige pour les entreprises avec un «accès quotidien» d'un million; mais on ne sait pas comment «l'accès quotidien» est mesuré. Ce représentant doit être une société dûment constituée de droit turc ou un citoyen turc. Mais la nomination d'un représentant légal est une décision complexe qui peut rendre les entreprises vulnérables à des poursuites judiciaires nationales, y compris des arrestations potentielles et des accusations criminelles. La nomination d'un représentant local nécessite des choix de tracés difficiles qui sont difficiles à obtenir lorsqu'ils sont légalement mandatés.

Avant cette exigence, le gouvernement turc envoyait du contenu de retrait ou des demandes de blocage d'accès au siège des plateformes dans l'UE ou aux États-Unis.Certains représentants locaux peuvent désormais répondre à de telles demandes du gouvernement et peuvent potentiellement faire l'objet de représailles pour non-respect d'un ordre disproportionné. Facebook a informé le gouvernement turc qu'il ne respecterait pas la loi. Twitter, Google et TikTok n'ont fait aucune déclaration officielle sur leurs intentions de nommer des représentants turcs, bien que le délai ait expiré le 2 novembre. À ce jour, seule la société russe de médias sociaux, VKontakte, a nommé un représentant local en Turquie. Le régulateur turc BTK a annoncé le 4 novembre avoir infligé pour la première fois une amende de 10 millions TRY (plus de 1 million USD) aux fournisseurs de réseaux sociaux qui n'ont pas nommé de représentants locaux , notamment Facebook, Instagram, Twitter, Periscope, YouTube et TikTok. .

La loi crée des amendes draconiennes pour les entreprises qui ne nomment pas de représentant et des amendes pour la deuxième fois de 30 millions TRY (plus de 3,5 millions USD). Si le fournisseur choisit toujours de ne pas se conformer, le BTK interdira aux contribuables turcs de placer des publicités sur la plate-forme du fournisseur et de leur effectuer des paiements. Pire encore, si le fournisseur choisit toujours de ne pas désigner de représentant, le BTK peut demander au tribunal pénal de paix de limiter (ralentir) la bande passante du fournisseur de 50%. Si le fournisseur n'a toujours pas désigné de représentant, BTK peut demander une réduction supplémentaire de la bande passante; cette fois, le juge peut décider de limiter la bande passante du fournisseur entre 50% et 90%. La limitation peut rendre les sites pratiquement inaccessibles en Turquie, renforçant la machine de censure de la Turquie et réduisant au silence le discours – une mesure très disproportionnée qui censure pratiquement la capacité des utilisateurs à accéder au contenu en ligne en Turquie.

Localisation forcée des données

Les amendements à la loi sur Internet et la décision BTK obligent également les géants de la technologie à prendre «toutes les mesures nécessaires» pour conserver en Turquie les données des personnes basées en Turquie. Ces obligations de localisation des données soulèvent des préoccupations importantes concernant la confidentialité des utilisateurs, la liberté d'expression et la sécurité des informations. Forcer les plates-formes à localiser les données peut aller à l'encontre des attentes et de la liberté des utilisateurs de s'inscrire à un service hébergé en dehors de la Turquie – une raison qu'ils ont peut-être prise en compte lors du choix de ce service.

Une fois les données stockées dans le pays, l'entreprise a moins de capacité à contrôler l'exploitation des vulnérabilités et les accès non autorisés. Si les entreprises conservent les données des utilisateurs en Turquie, ce pays aura plus de facilité à accéder aux données. Cela oblige les entreprises à se conformer aux demandes du gouvernement dans un pays avec un bilan médiocre en matière de droits humains. Ici aussi, certains représentants locaux peuvent trop se conformer aux demandes du gouvernement par crainte de représailles.

Dans l'ensemble, cette mesure vise à renforcer la capacité du gouvernement turc à contrôler le contenu publié dans les médias sociaux et à lui faciliter l'obtention des données des utilisateurs, ce qui exposera leurs associations et leurs emplacements.

Règles de confidentialité étendues, sans équilibrage pour une expression gratuite

Les nouveaux amendements créent un certain nombre de nouveaux outils puissants pour ceux qui souhaitent supprimer des informations personnelles sur Internet: pour dissocier les entrées des moteurs de recherche, ordonner aux hôtes de supprimer des informations et bloquer les hôtes étrangers qui refusent de se conformer. Bien que la gestion des conséquences pour la vie privée d'un Internet ouvert soit une question avec laquelle tous les pays sont maintenant aux prises, les dispositions de la Turquie sont trop larges et ne parviennent pas à équilibrer le droit tout aussi important des utilisateurs d'Internet d'envoyer et de partager des informations.

Désindexation des résultats de recherche contestés pour violation des droits personnels

Les nouveaux amendements à la loi sur Internet et les décisions BTK obligeraient les fournisseurs (via son représentant local) à désindexer de leurs résultats de recherche les noms des utilisateurs de l'adresse Internet d'une publication qui viole les droits personnels des utilisateurs sur décision du tribunal – un disposition similaire à celle du droit européen à l'oubli de 2014 . La norme de l'UE, cependant, demande si les droits à la vie privée d'un individu l'emportent sur l'intérêt du public à avoir un accès continu aux données. Quelle que soit la précision avec laquelle une disposition de désindexation est rédigée, des principes contradictoires de procédure régulière et de libre expression en font inévitablement une tâche complexe et contestée. Le problème est exacerbé en raison du manque d'indépendance de la justice de la Turquie. La Turquie est également tristement célèbre pour son mac hine de censure sur Internet , et l'obscurcissement par son gouvernement des actes des documents historiques turcs en ligne, y compris des dénonciations de corruption gouvernementale. ( Consultez plusieurs exemples de nouvelles censurées sur la base de «droits personnels» .).

Suppression et blocage de contenu pour violation des droits personnels

La loi sur Internet et la décision BTK obligent déjà les fournisseurs de contenu (via leur représentant local) à retirer le contenu en ligne (publication, photos et autres commentaires) dont l'utilisateur prétend qu'il viole ses droits personnels. Si les fournisseurs ne peuvent être joints, le fournisseur d'hébergement doit se conformer à ces demandes. Cette disposition encouragerait les plateformes de médias sociaux comme Facebook et Twitter, dans leur hâte d'éviter de lourdes amendes, 5 millions TRY (plus de 500 000 USD), à supprimer toute expression parfaitement légale. Il supplée également les plates-formes au discours de la police à la demande du gouvernement.

Les utilisateurs peuvent également demander directement au tribunal pénal de paix d'ordonner à l'Union des fournisseurs d'accès de supprimer le contenu ou de bloquer l'accès dans les 24 heures. Selon les nouveaux amendements, l' Union des fournisseurs d'accès (une association qui réunit tous les fournisseurs d'accès dans le pays) informera les fournisseurs d'hébergement, d'accès et de contenu (via les représentants locaux) de se conformer à l'ordonnance du tribunal dans un délai de quatre heures, et en Turc.

Ce revirement rapide encouragerait les fournisseurs à supprimer les discours juridiques pour éviter de lourdes amendes. La Turquie n'a pas de pouvoir judiciaire indépendant et refuse de respecter les normes de procédure régulière crée un terrain fertile pour des ordonnances judiciaires sans fondement. Cela peut conduire à la suppression de discours qui réduisent au silence les voix qui méritent d'être entendues, y compris celles qui dénoncent la corruption du gouvernement ou d'autres fautes.

Les entreprises devraient s'opposer aux ordonnances incompatibles avec le critère de limitation admissible en vertu du droit international des droits de l'homme. Outre les pressions juridiques et les lourdes amendes, le Rapporteur spécial des Nations Unies sur la libre expression s'est dit préoccupé par le fait que les fournisseurs d'accès Internet ont également «fait face à des intimidations extralégales dans certaines juridictions, telles que des menaces à la sécurité de leurs employés et de leur infrastructure en cas de non-conformité . »

Blocage d'accès pour violation du droit à la vie privée

En vertu de la loi sur Internet et de la décision BTK , toute personne basée en Turquie peut demander à BTK de bloquer l'accès à une publication en ligne qui, selon l'utilisateur, a violé le droit des utilisateurs à la vie privée. Le BTK peut décider d'ordonner à l'Union des fournisseurs d'accès de se conformer dans les quatre heures ou les fournisseurs de réseaux sociaux peuvent s'exposer à de lourdes amendes de 5 millions de TRY (plus de 500 000 USD). Comme auparavant, cette réponse rapide encouragerait les plateformes, dans leur hâte d'éviter de lourdes amendes, à bloquer l'expression juridique.

De plus, l'individu doit également soumettre sa demande au tribunal pénal de paix dans les 24 heures. Le juge décidera dans un délai de 48 heures, sinon le blocage d'accès prend fin automatiquement. En cas d'urgence, BTK peut effectuer le blocage d'accès directement sur ordre du président de BTK et le soumettre au tribunal pénal de paix. Le juge peut revoir la demande rétroactivement dans les 48 heures.

Suppression et blocage de contenu selon les normes internationales des droits de l'homme

L'article 19 du Pacte international relatif aux droits civils et politiques permet aux États de limiter la liberté d'expression dans certaines circonstances, à condition qu'ils satisfassent à un triple critère: être prescrit par la loi; avoir un but légitime; et être nécessaire et proportionné. Les limitations doivent également être interprétées et appliquées de manière restrictive. Les limitations autorisées, comme expliqué par le Comité des droits de l'homme des Nations Unies , sont généralement spécifiques au contenu; les interdictions génériques sont incompatibles avec le test de limitation admissible.

En outre, interdire à un site ou à un système de diffusion de publier du matériel qui pourrait critiquer le gouvernement ou le système politique et social adopté par le gouvernement est également incompatible avec le test en trois étapes. Elle ne peut pas non plus être invoquée pour justifier «le musellement de tout plaidoyer en faveur de la démocratie multipartite, des principes démocratiques et des droits de l’homme. En aucune circonstance, une attaque contre une personne ne peut non plus être exercée en raison de l'exercice de sa liberté d'expression, y compris des formes d'attaque telles que l'arrestation arbitraire, la torture, les menaces de mort et le meurtre. » Le Rapporteur spécial des Nations Unies sur la liberté d'expression est allé plus loin en recommandant aux États de ne chercher à restreindre le contenu que sur décision de justice rendue par une autorité judiciaire indépendante et impartiale, avec une procédure régulière et le plein respect des principes de légalité, de nécessité, de proportionnalité et de légitimité.

En matière de blocage, le Conseil de l'Europe a recommandé aux autorités publiques de ne pas, par des mesures générales de blocage, refuser l'accès du public aux informations sur Internet, indépendamment des frontières. Les quatre mandats spéciaux sur la liberté d'expression expliquent que:

«Le blocage obligatoire de sites Web entiers, d'adresses IP, de ports, de protocoles réseau ou de types d'utilisation (tels que les réseaux sociaux) est une mesure extrême – analogue à l'interdiction d'un journal ou d'un diffuseur – qui ne peut être justifiée que conformément aux normes internationales, par exemple le cas échéant, pour protéger les enfants contre les abus sexuels. »

De l'avis de l'EFF, le blocage de sites Web est toujours une mesure intrinsèquement disproportionnée au regard du droit international des droits de l'homme. Cela conduit à un blocage excessif, des faux positifs, des faux négatifs, provoque une grave interférence avec l'infrastructure Internet, réduit la vitesse du trafic Internet et ne résout pas le problème de la cause première.

Crise de la liberté de la presse en Turquie et podcasts comme canaux alternatifs

Au milieu de la capture de l' état des médias , Internet joue un rôle central. Comme nous l'avons dit , les journalistes, universitaires et écrivains qui critiquent le gouvernement risquent des poursuites pénales et du harcèlement. Les citoyens turcs éprouvent également de plus en plus de problèmes sociaux et économiques; la lire turque a atteint des creux records par rapport au dollar américain. Dans cette atmosphère, les citoyens turcs ont du mal à obtenir des informations dignes d'intérêt de manière neutre et objective, ou à exprimer leurs préoccupations.

Les podcasts sont devenus un refuge sûr pour la communication d'idées en Turquie. Cependant, une réglementation récente menace ce dernier bastion de la liberté. En août 2019, le gouvernement a exigé des plateformes qui offrent des services de radio, de télévision ou de publication à la demande sur Internet pour obtenir une licence pour continuer à opérer en Turquie. Spotify a récemment été contraint d'obtenir la licence, pour éviter le blocage d'accès en Turquie. Netflix, lors de l'obtention de la licence, a fait l'objet d'une censure systématique sur sa plateforme. Les universitaires prédisent que l'exigence de licence ouvrira également la voie à la censure sur Spotify.

Les plateformes technologiques doivent respecter les droits de l'homme

Les entreprises de médias sociaux doivent respecter le droit international des droits de l'homme, même en cas de conflit avec les lois locales. Le Rapporteur spécial des Nations Unies sur la liberté d'expression a appelé les entreprises à reconnaître le droit des droits de l'homme comme la norme mondiale faisant autorité pour la liberté d'expression sur leurs plateformes, et non les lois nationales. Nous sommes d'accord. Le droit des droits de l'homme «donne aux entreprises les outils pour articuler et développer des politiques et des processus qui respectent les normes démocratiques et contrent les demandes autoritaires». De même, les Principes directeurs des Nations Unies relatifs aux entreprises et aux droits de l'homme stipulent que les entreprises doivent respecter les droits de l'homme et éviter de contribuer aux violations des droits de l'homme. Les entreprises doivent également «chercher à prévenir ou à atténuer les impacts négatifs sur les droits de l'homme qui sont directement liés à leurs opérations …, même si elles n'ont pas contribué à ces impacts».

Selon l'évaluation des droits de l'homme de la Global Network Initiative, Google a répondu aux demandes du gouvernement en vertu des principes RNB , comme suit:

«Premièrement, il examine attentivement la législation nationale citée pour évaluer ses exigences spécifiques et son application à l’accès ou à la suppression des données demandées. Si la loi est ambiguë, Google peut l'interpréter de manière restrictive pour éviter ou restreindre la demande du gouvernement. Ensuite, sa pratique consiste à n'appliquer le droit interne qu'au contenu et aux données relevant de la juridiction d'émission. »

GNI explique également que Google contacte l'entité gouvernementale compétente pour obtenir des éclaircissements sur la manière dont le contenu enfreint les lois locales lorsque la demande de suppression n'est pas claire. Cela peut inclure, par exemple, l'endroit où le contenu est localisé précisément (URL spécifiques) et quelle partie du contenu enfreint la loi. Le rapport RNB explique également comment Google évalue les risques encourus par les utilisateurs dans chaque juridiction pour déterminer où les données doivent être physiquement collectées et conservées:

«L'entreprise peut varier la nature des données collectées ou traitées dans des juridictions spécifiques en fonction de ces risques. L'entreprise utilise également le cryptage et des limites d'accès interne pour atténuer les risques pour les données collectées et stockées. »

Le rapport de transparence de Google pour la Turquie explique que Google évalue ces demandes du gouvernement selon ses règles communautaires. Google a signalé avoir refusé de supprimer du contenu, notamment des discours de minorités kurdes et de manifestants de Gezi Parki, ainsi que des allégations de corruption impliquant des fonctionnaires et des politiciens. D'autre part, Google a répondu aux demandes lorsque le contenu concernait des intérêts de sécurité nationale ou violait les règles de la communauté Google. Il reste à voir si ou dans quelle mesure Google se conformera à la loi sur les médias sociaux.

Turquie Normes d'adéquation de la protection des données après les décisions Schrems

Si, après un processus législatif de 35 ans, la Turquie a adopté une loi sur la protection des données qui reflète la précédente directive de l'UE sur la protection des données, la Turquie n'a pas encore obtenu un niveau adéquat de protection des données équivalent à celui de l'Union européenne. La norme d'adéquation permet le transfert de données à caractère personnel de l'UE vers la Turquie ( et vice versa ) sans qu'aucune garantie supplémentaire ne soit nécessaire. L'Autorité turque de protection des données a récemment publié une annonce publique indiquant qu'elle se préparait à des négociations avec la Commission européenne en vue d'une décision d'adéquation.

Cependant, la Commission européenne a déjà recommandé à la Turquie de garantir que l'autorité turque de protection des données puisse agir de manière indépendante et que les activités des services répressifs relèvent du champ d'application de la loi. Dans l' arrêt de la Cour de justice de l'Union européenne relatif aux transferts internationaux, à savoir Schrems II, la Cour a indiqué à la Commission de l'UE quels éléments doivent être pris en compte pour évaluer si le cadre juridique du pays tiers offre un niveau de protection adéquat:

«L'état de droit, le respect des droits de l'homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle, y compris en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal et l'accès des autorités publiques aux données à caractère personnel, ainsi que la mise en œuvre des cette législation…, la jurisprudence, ainsi que les droits effectifs et opposables des personnes concernées et les recours administratifs et judiciaires efficaces pour les personnes concernées dont les données à caractère personnel sont transférées; »

L' arrêt de la Cour de justice de l'Union européenne dans l'affaire Schrems I. c. Commissaire à la protection des données, a également précisé que les cadres juridiques qui accordent aux autorités publiques un accès aux données de manière généralisée compromettent «l'essence du droit fondamental à la vie privée», car garanti par l'article 7 de la Charte des droits fondamentaux de l'UE. En d'autres termes, toute loi qui compromet «l'essence du droit à la vie privée» ne peut jamais être proportionnée ni nécessaire.

Surveillance gouvernementale

La Turquie a également adopté plus de trente décrets au cours de son état d'urgence de deux ans, prolongé sept fois. À la suite de la tentative de coup d'État de 2016 en Turquie, le pouvoir exécutif a adopté ces décrets sans approbation ni contrôle parlementaire. Les décrets ont entraîné des changements législatifs et structurels permanents et des licenciements massifs de fonctionnaires, en deçà des normes de l'UE en matière de droits de l'homme. Un décret accorde à de nombreuses institutions non spécifiées un accès sans entrave aux données de communication sans ordonnance du tribunal. Le décret de surveillance a été conçu pour être utilisé contre les putschistes et les soi-disant «organisations terroristes». Un tel pouvoir illimité viole la primauté du droit et le principe de légalité , de nécessité et de proportionnalité en vertu du droit international des droits de l'homme. Le décret oblige également les entreprises à se conformer aux exigences de BTK . Le non-respect de cette règle entraîne de lourdes amendes et la possibilité que le BTK reprenne les locaux d'un FAI.

L'EFF n'a pas fait une évaluation complète des lois et pratiques de surveillance turques, cependant, nous avons appris du Citizen Lab que le plus grand FAI de Turquie , Türk Telekom, (dont le gouvernement turc détient 30%) avait utilisé une inspection approfondie des paquets pour rediriger des centaines de utilisateurs en Turquie aux logiciels espions de l'État-nation lorsque ces utilisateurs ont tenté de télécharger certaines applications. Citizen Lab a également constaté que les DPI étaient utilisés pour bloquer les contenus politiques, journalistiques et relatifs aux droits humains. Un autre document divulgué a révélé que l' utilisation Türk Telekom de l'inspection approfondie des paquets (DPI) des outils pour espionner les utilisateurs et extraire non seulement « les noms d' utilisateur et mots de passe de trafic non chiffré, mais aussi leurs adresses IP, quels sites ils avaient visité et quand. » Ce ne sont là que la pointe de l'iceberg du niveau réel de confidentialité et de protection des données en Turquie.

Conclusion

Les mauvais résultats de la Turquie en matière de droits de l'homme devraient être un signal d'alarme pour que les plateformes se tiennent aux côtés de leurs utilisateurs et respectent le droit international des droits de l'homme. Les entreprises ne doivent pas supprimer le contenu qui n'est pas conforme au test de limitation admissible. Les mesures de blocage, à notre avis, sont toujours incompatibles avec les principes nécessaires et proportionnés . Les entreprises devraient légalement contester ces ordres de blocage. Ils devraient également riposter stratégiquement sous toute pression du gouvernement turc.