AEDH

L’AEDH participe aux journées de la société civile

This post is also available in: enEnglish (Anglais)

Les 24 et 25 mai dernier se tenaient les Journées de la Société Civile 2018. Thème central de cette année, le monde numérique. A cette occasion, l’Association européenne pour la défense des droits de l’homme, le Forum civique européen et la section TEN du CESE – Transports, énergie, infrastructures et société de l’information ont organisé l’atelier Cybersécurité et protection des données au service de l’intérêt général.

L’atelier comprenait un panel unique réunissant 7 représentants des institutions de l’UE, des organisations de la société civile et du secteur du numérique. Dans l’introduction, M.Coulon, Président de la section TEN du CESE, a ouvert l’atelier et a rappelé aux participants les travaux du CESE dans le domaine de la cybersécurité et de la protection des données et notamment sa publication sur l’éthique des mégadonnées (Big Data) et ses avis sur la loi concernant la cybersécurité et la protection des données à caractère personnel. Un court extrait du documentaire Nothing to Hide a ensuite été diffusé. Disponible en open-source, il a été réalisé par Marc Meillassoux et Mihaela Gladovic en 2017. Il traite de la question de la surveillance de masse. L’extrait diffusé pendant l’atelier portait sur l’histoire de Jennifer Schulte, une chercheuse en droits de l’Homme. Elle aurait notamment été surveillée par les services de renseignements américains après ses enquêtes en Somalie, révélant la participation d’Américains et de Saoudiens à un réseau de trafic sexuel à Djibouti.

Le panel a abordé deux thématiques différentes mais étroitement liées: d’une part les droits fondamentaux et d’autre part la souveraineté européenne.

Droits fondamentaux

Mario Oetheimer (FRA) a présenté les publications de l’Agence, à savoir la ‘Surveillance par les services de renseignement: garanties et recours en matière de droits fondamentaux dans l’Union européenne’ qui associent une cartographie de la législation relative à la surveillance généralisée des communications dans les États membres de l’UE et un travail de terrain dans 7 d’entre eux afin d’évaluer la réelle protection des droits fondamentaux, de la vie privée et de la liberté d’expression au sein de ces pays. M. Oetheimer a insisté sur le fait qu’il est possible de créer un système de renseignement approprié conforme aux droits fondamentaux. À cet égard, le rapport de 2017 se concentre en particulier sur un élément, à savoir le cadre de supervision et l’importance d’inclure les acteurs de la société civile, les institutions nationales des droits de l’homme et les médiateurs. Une société civile animée et extrêmement dynamique est essentielle pour assurer la responsabilité de l’ensemble du système de renseignement. Il a également souligné le rôle crucial joué par les lanceurs d’alerte dans ce domaine ainsi que la difficulté d’assurer leur protection dans ce secteur particulier, couvert par le secret.

Chris Wylie (lanceur d’alerte) a adressé une vidéo aux participants puisqu’il ne pouvait pas être présent lors de cet atelier. Il y explique que Cambridge Analytica a récolté 50 à 60 millions de profils Facebook sur une période de 2 à 3 mois et les a utilisés comme base pour ses propres algorithmes. Grâce aux informations collectées, l’entreprise a pu créer un contenu sur mesure (blogs, articles, sites Web) pour «murmurer» à l’oreille de chaque électeur et ainsi morceler la société pour mieux la remodeler. Dans cette vidéo, M. Wylie a adressé un message particulier aux participants de l’atelier en rappelant que, par le contrôle des flux d’informations, il est possible d’influencer les comportements et les interactions et par conséquent de changer la perception de la réalité. Cela peut donc avoir une influence en politique puisque les citoyens et leur culture ont été modifiés au préalable. Selon lui, il ne faut faire confiance à personne. Il faut toujours se montrer sceptique pour appréhender au mieux l’information.

Souveraineté numérique

Laure Batut (CESE), Présidente du groupe d’étude TEN / 646 sur la cyber-sécurité du CESE, a confirmé l’extrême vulnérabilité de l’UE face aux cyber-attaques et la nécessité de développer une approche globale en matière de cyber-sécurité. Elle a mentionné l’intervention légitime d’un eurodéputé rappelant à M. Zuckerberg, lors de son audition au Parlement Européen, que ses excuses répétitives ne sont jamais suivies d’actions puisque les mêmes problèmes ne cessent de se répéter. Mme Batut a souligné à cet égard le cas de Cambridge Analytica et le transfert de ses bases de données et de ses algorithmes à une nouvelle société, Emerdata, sans aucune précision quant à l’usage qui en sera fait. Mme Batut nous a alertés non seulement au sujet des GAFAM mais aussi des entreprises chinoises, qui sont pas aussi connues que les GAFAM, mais qui ont un grand pouvoir de frappe. Le groupe d’étude du CESE qu’elle préside appelle à la création d’un réseau de recherche sur la sécurisation pour soutenir la souveraineté numérique européenne et conduire à la phase industrielle avec le développement de technologies clés permettant la mise en place d’un véritable niveau de sécurité indépendant. Pour contrer les cyber-attaques et préserver nos données personnelles, elle a fortement insisté sur l’investissement dans la culture numérique et la formation continue de tous les citoyens, indépendamment de leur âge ou de leur statut socio-économique. Malgré ses faiblesses, la loi sur la cyber-sécurité reste un outil important pour protéger les citoyens tout en permettant d’en comprendre les enjeux. Mme Batut a conclu en insistant sur le maintien d’un juste équilibre entre sécurité / sûreté et libertés fondamentales pour préserver nos valeurs et nos principes démocratiques.

Maryse Artiguelong (AEDH) a présenté le RGPD qui allait entrer en vigueur le jour suivant et a rappelé que si les États membres avaient réussi à mettre en œuvre en 6 mois seulement la Directive de 2001 sur la conservation des données réduisant les libertés des personnes, ils avaient mis plus de 4 ans et attendu les révélations de Snowden pour enfin s’accorder sur un texte renforçant les droits des personnes à la protection des données. Le RGPD prévoit un champ d’application territorial étendu, un renforcement des droits des personnes, des sanctions plus dissuasives, l’évolution de la responsabilité des sous-traitants, de nouveaux mécanismes de contrôle ainsi que de nouvelles obligations pour les responsables du traitement des données. Mme Artiguelong a expliqué que le champ d’application territorial étendu prévu par le RGPD susmentionné vient gêner davantage les GAFAM puisqu’il s’applique à toute organisation ou société traitant les données des résidents européens, même si elle n’est pas établie dans l’UE. Elle a souligné que dorénavant, les résidents européens bénéficieraient de droits supplémentaires tels que le consentement libre, spécifié, éclairé et sans équivoque, le droit à l’oubli ainsi que la minimisation des données. Elle a également souligné que la Convention 108 modernisée du Conseil de l’Europe a été adoptée le 18 mai 2018 et qu’elle constitue actuellement le seul instrument international juridiquement contraignant à valeur de traité en matière de protection des données. Contrairement au RGPD, elle couvre également les données relatives à la justice et à la police. Comme elle sera ouverte à la signature des organisations internationales, Mme Artiguelong invite l’UE à signer et à ratifier la Convention 108 afin d’offrir une protection supplémentaire aux résidents européens. Mme Artiguelong a conclu son intervention sur la nécessité de plaider en faveur de la souveraineté numérique de l’Europe afin de lutter efficacement contre les violations de données.

Guillaume Vassault-Houlière (Yes We Hack) a souligné que la protection des données des ONG ne doit pas se limiter aux données personnelles car elles disposent d’un large éventail de données : employés, militants, pétitionnaires, donateurs, victimes, témoins, lanceur d’alerte, etc. qui sont des données tout aussi sensibles que les données personnelles. Il a évoqué le cas d’une société française condamnée pour avoir espionné Greenpeace. M. Vassault-Houlière a insisté sur la nécessité pour les institutions et agences européennes et nationales d’envisager enfin de sécuriser les ONG, comme elles le font pour les entreprises. Selon lui, si ces dernières contribuent à l’économie, les ONG contribuent, elles, au bien commun et à la démocratie. Elles devraient donc à ce titre bénéficier d’un niveau de protection similaire. En outre, compte tenu du contexte et des défis rencontrés par les ONG, notamment d’un point de vue financier, il a également recommandé à l’UE de renforcer les stages internationaux d’ONG en cyber-sécurité au profit des ONG, le renforcement immédiat des systèmes d’information des ONG, le maintien d’un bon niveau de sécurité informatique par des formations, la promotion des carrières comme le bénévolat dans la cyber-sécurité et l’utilisation de la sécurité. Enfin, le directeur général de Yes We Hack a présenté le cercle vertueux du Bug Bounty.

Après une session de questions-réponses, Jan Robert Suesser (FCE) a fait part de ses conclusions. Il a notamment rappelé que les valeurs fondamentales telles que les droits de l’Homme et la protection des données devraient toujours passer avant les intérêts économiques. Il a également souligné le manque de sensibilisation des citoyens aux enjeux de la protection des données. M. Suesser a conclu l’atelier en invitant le CESE à lancer des débats publics – sur la base d’études – concernant les deux questions suivantes :

  • Le modèle économique soutenu par les sociétés de traitement des données est-il compatible avec le respect de la vie privée et de la dignité des personnes ?
  • Quels sont les coûts économiques, sociaux, de bien-être, psychologiques, des changements entraînés par la révolution numérique sur nos sociétés ?

Recommandations finales de l’atelier :

  • L’UE devrait renforcer les stages internationaux d’ONG dans le domaine de la cyber-sécurité au profit des ONG et promouvoir la crowd security.
  • L’UE devrait signer la Convention 108 afin d’offrir une protection renforcée aux résidents de l’UE et de soutenir le développement de sa souveraineté numérique.
  • Le contrôle et la supervision de la surveillance doivent être améliorés et la société civile devrait être associée aux mécanismes de supervision en la matière.

Pour plus d’informations sur l’ensemble des journées de la société civile : ici

webmin