Sans changement, le projet de traité de surveillance policière du Conseil de l’Europe est une influence pernicieuse sur les cadres juridiques de protection de la vie privée en Amérique latine

Sans changement, le projet de traité de surveillance policière du Conseil de l'Europe est une influence pernicieuse sur les cadres juridiques de protection de la vie privée en Amérique latine

Le Conseil de l'Europe (CdE) est en passe d'approuver le deuxième protocole additionnel à la Convention de Budapest sur la cybercriminalité, qui établira de nouvelles règles internationales invasives pour l'accès des services répressifs aux données des utilisateurs et la coopération entre les États menant des enquêtes pénales. Dans notre récente soumission conjointe de la société civile à l'Assemblée parlementaire du CdE, nous avons recommandé 20 amendements solides pour préserver l'objectif du Protocole – faciliter des enquêtes transfrontalières efficaces et opportunes entre des pays dotés de systèmes juridiques différents – tout en intégrant une base de référence indispensable pour protéger les droits de l'homme. Dans cet article, le deuxième d'une série sur nos recommandations, nous examinons comment le texte du protocole actuel menace les droits à la vie privée en Amérique latine, une région confrontée à des défis plus importants pour le respect des garanties des droits de l'homme et de l'état de droit par rapport à de nombreux pays européens.

L'article 7 du Protocole est l'une des dispositions les plus troublantes, soulevant des problèmes de confidentialité concernant l'accès transfrontalier de la police aux données des abonnés. Comme nous l' avons écrit , l'article 7 établit des procédures d'application de la loi dans un pays pour demander l'accès aux données des abonnés directement auprès de fournisseurs de services situés dans un autre pays conformément aux normes juridiques du pays demandeur. Cela peut créer des asymétries injustifiables dans le droit national en appliquant aux autorités étrangères une base juridique plus permissive et moins protectrice de la vie privée pour accéder aux données des abonnés que ce qui est accordé aux services répressifs locaux en vertu de leur propre droit local.

L'article 7 porte sur l'autorisation d'accès de la police aux données des abonnés. Pourquoi les données des abonnés sont-elles importantes ? Votre adresse IP peut indiquer aux autorités quels sites Web vous visitez et avec qui vous communiquez. Il pourrait révéler des identités en ligne autrement anonymes, vos contacts sur les réseaux sociaux et, même parfois, votre emplacement physique via GPS. La police peut demander votre nom, les données d'abonné pour lier votre identité à votre activité en ligne, et cela peut être utilisé pour créer un profil policier bien détaillé de vos habitudes quotidiennes.

Quand et comment les règles de coopération directe de la police transfrontalière affecteront pernicieusement les pays d'Amérique latine

Nous voyons au moins deux scénarios possibles sur la façon dont l'article 7 pourrait être pernicieux sur les cadres Latam pour l'accès licite aux données de communication dans les enquêtes pénales. Premièrement, cette disposition peut servir d'influence pour faire baisser les normes dans la région pour accéder aux informations des abonnés (et dévoiler l'identité d'un utilisateur). Deuxièmement, il peut potentiellement exporter à l'échelle mondiale une définition plus large de ce qui constitue des « informations d'abonné », en élargissant les catégories de données de communication englobées par une norme de protection de troisième classe. Dans l'ensemble, l'article 7 contient de graves défauts qui devraient être corrigés avant de pouvoir servir de modèle solide de protection des droits à poursuivre et à approuver.

Avec l'adoption finale du projet de Protocole par le CdE, les pays d'Amérique latine déjà parties à la Convention originale de Budapest de 2001 pourront ratifier ou adhérer au Deuxième Protocole. À ce jour, ces pays sont l'Argentine, le Chili, le Costa Rica, la Colombie, la République dominicaine, le Panama, le Paraguay et le Pérou. Le Brésil et le Mexique ont été invités à devenir parties et agissent actuellement en tant qu'observateurs. La Convention de Budapest, le premier traité international traitant de la criminalité sur Internet et informatique en harmonisant les lois nationales et en augmentant la coopération entre les nations, a eu une influence dans la région, agissant comme un modèle pour la réglementation de la cybercriminalité et la production de preuves électroniques, même pour les pays qui ne sont pas parties de la Convention. Comme de nombreuses autorités répressives souhaitent accéder à des preuves électroniques potentielles au-delà des frontières, les pays d'Amérique latine chercheront probablement à adhérer au Protocole en raison de ses règles de coopération. Mais si le texte final est adopté sans nos amendements recommandés, le Protocole encouragera les Parties à renforcer les normes de confidentialité plus faibles déjà en place dans différents pays Latam au lieu de favoriser une tendance croissante dans d'autres pays de la région où les lois nationales ou les jugements des tribunaux ont fourni des protection des droits.

C'est à cause d'un autre mandat concernant l'article 7 : dans les pays dont les lois empêchent les fournisseurs de services de répondre volontairement aux demandes de données d'abonnés sans garanties appropriées, telles qu'une exigence de motif raisonnable et/ou une ordonnance du tribunal, l'article 7 exige ces « empêchements » juridiques. être supprimé pour les demandes transfrontalières. Les pays ayant des normes plus élevées sont autorisés à se réserver le droit de ne pas se conformer à l'article 7, mais uniquement au moment de la signature/ratification/approbation, et non à un stade ultérieur. Cela signifie qu'à l'avenir, les Parties seront confrontées aux défauts inhérents à l'article 7 et ne pourront pas désigner l'article 8 – une autre disposition du Protocole légèrement plus protectrice de la vie privée pour le transfert de données à travers les frontières – comme le seul moyen de accéder à certains ou à tous les types de données d'abonnés, même si leurs systèmes juridiques, en raison de nouvelles lois ou décisions de justice, finissent par reconnaître des garanties supplémentaires pour les informations des abonnés.

De plus, bien que le Protocole stipule d'importantes garanties de protection des données, son texte actuel contient des dispositions qui permettront aux États parties de les contourner (comme nous l'expliquerons plus en détail dans le troisième article de cette série).

Nivellement vers le bas des protections des informations des abonnés

Les pays de la région ont adopté divers degrés de protection de la vie privée dans les enquêtes criminelles. Le cadre juridique du Mexique a de bonnes normes, du moins dans les livres, exigeant une autorisation judiciaire pour la divulgation des données de communication stockées, y compris les informations sur les abonnés, et appelant les autorités à spécifier des objectifs et des périodes ainsi qu'à justifier le besoin des informations recherchées. Au Brésil , lorsqu'il s'agit d'accéder aux données des abonnés des internautes ( dados cadastrais , en portugais), les autorités ayant le pouvoir légal exprès d'accéder aux informations des abonnés ne sont pas tenues d'obtenir un mandat pour accéder aux données. Les demandes directes des autorités aux prestataires de services doivent indiquer le fondement juridique explicite de la demande et doivent préciser les personnes dont les informations sont recherchées (les demandes collectives génériques et non spécifiques sont interdites).

Mais les services de police brésiliens contestent que les demandes directes ne soient autorisées que pour certains cas légalement spécifiés et poussent à une interprétation plus large de leurs pouvoirs. L'Association nationale des fournisseurs de services mobiles (ACEL) s'est adressée à la Cour suprême du Brésil pour affirmer que les utilisateurs bénéficient de protections constitutionnelles de la vie privée lorsque le gouvernement demande des données de communication, y compris des informations sur les abonnés. Mais avec l'affaire toujours pendante devant les tribunaux, une proposition de réforme du code de procédure pénale du pays cherche à se ranger du côté des forces de l'ordre en autorisant généralement la police et les procureurs à demander directement les données des abonnés aux fournisseurs de services.

Cette volonté de permettre aux agents des forces de l'ordre d'accéder aux données des abonnés sans décision judiciaire préalable reflète les mauvaises pratiques adoptées dans certains pays d'Amérique latine comme le Panama , le Paraguay et la Colombie. En Colombie , une simple résolution administrative stipule que les fournisseurs de services de télécommunications doivent autoriser les autorités à se connecter à distance à leurs systèmes pour obtenir des informations sur les utilisateurs. D'autres pays, comme l' Argentine , n'ont pas de règles juridiques ou de jurisprudence traitant spécifiquement de l'accès des forces de l'ordre aux informations des abonnés.

Les règles de l'article 7 du Protocole pour la coopération directe des fournisseurs de services avec les forces de l'ordre s'alignent sur les normes de confidentialité les plus faibles de la région. Cela entrave également les engagements des entreprises en matière de meilleures pratiques d'interpréter les lois locales d'une manière qui offre le plus de protections de la vie privée aux utilisateurs. En collaboration avec l'EFF, les principaux groupes de droits numériques en Amérique latine et en Espagne ont poussé les entreprises à s'engager davantage sur ce front. Les évaluations de Who Defends Your Data , inspirées du projet Who Has Your Back de l'EFF , ont encouragé les entreprises à améliorer leurs pratiques de confidentialité ces dernières années, démontrant que les lois locales sur la confidentialité devraient être le fondement, et non le plafond, des efforts des entreprises pour soutenir les utilisateurs. droits fondamentaux.

Par exemple, les FAI chiliens ont adopté les meilleures pratiques pour exiger une décision judiciaire avant de remettre les informations des utilisateurs (voir les directives d'application de la loi de GTD et de Claro ) et pour se conformer uniquement aux demandes de données personnelles individualisées (en plus de Claro, voir Entel lignes directrices). La loi chilienne ne crée pas explicitement de distinction artificielle entre les différents types de données de communication, mais le Code de procédure pénale du pays autorise plutôt une norme plus protectrice en exigeant un mandat préalable dans toutes les procédures qui affectent, privent ou restreignent le droit d'un accusé ou d'un tiers. droits constitutionnels à la vie privée. Depuis 2017, les rapports Who Defends Your Data de Derechos Digitales appellent les entreprises chiliennes à s'engager à adopter l'interprétation la plus protectrice des normes juridiques concernant la divulgation des données de communication, y compris les données des abonnés.

Début 2020, le bureau du procureur du Chili a cherché à obtenir tous les numéros de téléphones portables connectés aux antennes des stations de métro de Santiago, où des incendies ont marqué le début du soulèvement social de 2019 dans le pays . En obtenant les numéros de téléphones portables, il serait possible d'identifier leurs propriétaires. La plupart des FAI ne se sont pas conformés à la demande directe du procureur sans examen judiciaire. Ce cas est une démonstration claire de la façon dont les informations sur les abonnés, qui dévoilent l'identité d'un utilisateur liée à des activités spécifiques, peuvent fournir des détails sensibles sur la vie quotidienne des individus.

À notre avis, nous recommandons de supprimer l'article 7 car il érode les normes de confidentialité même lorsque des protections appropriées existent déjà. Cet amendement permettrait à l'article 8, mentionné ci-dessus, de devenir la base juridique principale par laquelle les données des abonnés sont accessibles dans des contextes transfrontaliers. L'article 8 autorise l'autorité requérante à soumettre un ordre de production à l'autorité nationale de réception afin qu'elle puisse contraindre les fournisseurs de services locaux à produire les abonnés et les « données de trafic » stockés. Même si l'article 8 pourrait également bénéficier de garanties supplémentaires, telles que l'établissement d'une norme d'autorisation judiciaire préalable, il offre des protections plus strictes que l'article 7. L'article 8 exige la participation des autorités nationales de la partie destinataire qui peuvent, en appliquant les normes contenues dans ses propres , obliger la production de données d'abonnés au fournisseur de services local situé sur son territoire.

Élargissement de la portée de la protection de troisième classe pour les informations des abonnés

Nous avons écrit sur la protection de « seconde classe » toujours accordée aux métadonnées dans la région. Les lois nationales sur la protection de la vie privée du Latam considèrent souvent les métadonnées comme moins dignes de protection que le contenu d'une communication. La Convention de Budapest a toujours promu la distinction entre les « données de trafic » (équivalentes aux « métadonnées ») et les « informations sur les abonnés », et les définit séparément. Le Protocole utilise cette distinction pour incorporer un niveau de protection inférieur pour les informations d'abonné dans le contexte des demandes transfrontalières. Mais comme nos 13 principes sur l'application des droits de l'homme à la surveillance des communications l'indiquent , ces catégories formalistes de données « contenu », « informations sur les abonnés » ou « métadonnées » ne sont plus appropriées pour mesurer à quel point la surveillance des communications est intrusive pour la vie privée des individus. Bien qu'il soit reconnu depuis longtemps que le contenu des communications mérite une protection légale importante en raison de sa capacité à révéler des informations sensibles, il est désormais clair que d'autres informations issues des communications, y compris les données d'abonné et les métadonnées, peuvent révéler des aspects extrêmement sensibles d'un individuel, et mérite donc des protections tout aussi robustes.

Malheureusement, la définition large de la Convention des informations sur les abonnés , qui inclut les adresses IP, exacerbe le traitement insensible du Protocole de cette catégorie d'informations , lui donnant un traitement de troisième classe.

Cette définition va au-delà, par exemple, de la définition légale brésilienne des données d'abonné ( dados cadastrais ). En effet, les adresses IP sont considérées comme faisant partie des journaux de connexion et d'application, uniquement divulguées au moyen d'une autorisation judiciaire préalable, sans l'exception des demandes directes, évoquées ci-dessus, pouvant porter sur les données de l'abonné. Comme le souligne le rapport explicatif du protocole, les informations relatives aux adresses IP et autres numéros d'accès peuvent être traités comme des données de trafic dans certains pays, c'est pourquoi le deuxième protocole additionnel (article 7, paragraphe 9.b) permet aux Parties de se réserver le droit de ne pas appliquer l'article 7 à certains types de numéros d'accès.

Cependant, la réserve de l'article 7, paragraphe 7.9.b n'est possible que lorsque la divulgation de ces numéros d'accès par le biais d'une coopération transfrontalière directe « serait incompatible avec les principes fondamentaux du système juridique national ». Mais dans de nombreux systèmes juridiques latams, le contrôle judiciaire et/ou la présence de motifs raisonnables pour les données de communication ne sont pas clairement énoncés. Ils s'appuient souvent sur des législations qui ne distinguent pas clairement les types d'informations, une jurisprudence ne traitant explicitement que des communications téléphoniques ou des interprétations protectrices favorisées par les bonnes pratiques des entreprises. Cette situation pourrait non seulement entraver l'utilisation de la clause de réserve, lorsque les pays finiront par signer le Protocole, mais peut également servir d'outil pour diffuser une compréhension générale de la portée des « informations sur les abonnés », commodément servies avec des normes de protection de troisième classe.

Conclusion

Dans leur décision historique affirmant que la protection des données est un droit fondamental en vertu de la Constitution du pays, les juges de la Cour suprême du Brésil ont souligné que les changements dans notre paysage technologique exigent un traitement plus prudent des informations sur les abonnés. La juge Rosa Weber a rappelé les annuaires téléphoniques publics qui contenaient les noms, les numéros de téléphone et les adresses de personnes, affirmant que « ce qui pourrait être fait de la publication de ces données personnelles [il y a quelques décennies] n'est pas comparable à ce qui peut être fait au niveau technologique actuel. niveau, où de puissantes technologies de traitement des données, de références croisées et de filtrage permettent la formation de profils individuels extrêmement détaillés. Mentionnant également les annuaires téléphoniques publics, le juge Cármen Lúcia est allé jusqu'à dire « ce monde est fini !

L'article 7 du Deuxième Protocole est en décalage avec les réalités de la façon dont la technologie d'aujourd'hui peut être utilisée pour menacer la vie privée, en s'appuyant sur une hypothèse dépassée et incorrecte, avancée dans le rapport explicatif du Protocole , selon laquelle les informations sur les abonnés «ne permettent pas de tirer des conclusions précises. concernant la vie privée et la vie quotidienne des personnes concernées.

Nous espérons que l'Assemblée parlementaire du CdE supprimera l'article 7 dans son intégralité du texte du Protocole, permettant à l'article 8 de constituer la base principale par laquelle les informations des utilisateurs sont divulguées dans des contextes transfrontaliers. Cela permettrait à la coopération transfrontalière d'accéder aux informations privées des personnes pour s'aligner correctement sur les progrès réalisés dans la législation nationale en matière de protection de la vie privée. Cela aidera à éviter la dérive vers une protection de troisième classe pour les informations des utilisateurs qui peuvent dévoiler l'identité des personnes et les relier à des activités en ligne spécifiques. Alternativement, si l'Assemblée parlementaire conserve l'article 7, il doit être amendé pour empêcher les efforts étrangers de contourner les garanties nationales lors de la demande d'accès aux données des utilisateurs.

L'Assemblée a la possibilité de garantir le respect des droits de l'homme dans les enquêtes policières transfrontalières. L'amélioration des garanties du Protocole aura du poids auprès des parties prenantes au niveau national et influencera leurs décisions de défendre, au lieu de rejeter, des garanties de confidentialité appropriées. Les règles internationales du CdE devraient servir à faire pencher la balance en faveur de la protection des droits fondamentaux au lieu d'adopter des tactiques de surveillance qui manquent fortement de protections des droits de l'homme.

En savoir plus sur ce sujet :

EFF au Conseil de l'Europe : un traité de surveillance policière transfrontalière défectueux doit être corrigé : voici nos recommandations pour renforcer la protection de la vie privée et des données à travers le monde

Commentaire conjoint de la société civile à l'Assemblée parlementaire du Conseil de l'Europe (APCE) sur le deuxième Protocole additionnel à la Convention sur la cybercriminalité (STCE 185)

Les actions du Conseil de l'Europe démentent ses promesses d'impliquer la société civile dans le développement du traité sur les compétences de la police transfrontalière

La Convention mondiale sur l'application des lois affaiblit la vie privée et les droits de l'homme

Lettre conjointe de la société civile pour le 6e cycle de consultation sur le Protocole sur la cybercriminalité sur le premier projet complet du Protocole


Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2021/09/without-changes-council-europes-draft-police-surveillance-treaty-pernicious le Fri, 03 Sep 2021 15:18:00 +0000.