PRINCIPES INTERNATIONAUX SUR L’APPLICATION DES DROITS DE L’HOMME À LA SURVEILLANCE DES COMMUNICATIONS

16 février 2014

Publications

VERSION FINALE DU 10 JUILLET 2013

Alors que les technologies de surveillance des communications ne cessent de progresser, les États manquent à leurs obligations de garantir que les lois et les régulations relatives à la surveillance des communications respectent les droits de l’homme et protègent de manière adéquate les droits à la vie privée et à la liberté d’expression. Ce document tente d’expliquer comment le droit international relatif aux droits de l’homme s’applique à l’environnement numérique actuel, en particulier dans le contexte de la généralisation et de l’évolution des technologies et des méthodes de surveillance des communications. Ces principes peuvent servir de guide aux organisations de la société civile, aux entreprises et aux États qui cherchent à déterminer si les lois et pratiques de surveillance en vigueur ou envisagées sont en conformité avec les droits de l’homme.

Ces fondements sont le fruit d’une consultation globale menée auprès des organisations de la société civile, des entreprises et des experts internationaux sur les aspects juridiques, politiques et technologiques de la surveillance des communications.

PRÉAMBULE

Le respect de la vie privée est un droit de l’homme fondamental, indispensable au bon fonctionnement des sociétés démocratiques. II est essentiel à la dignité humaine et renforce d’autres droits, tels que la liberté d’expression et d’information, ou la liberté d’association. Il est reconnu par le droit international des droits de l’homme.[1] Les activités qui restreignent le droit au respect de la vie privée, et notamment la surveillance des communications, ne sont légitimes que si elles sont à la fois prévues par la loi, nécessaires pour atteindre un but légitime et proportionnelles au but recherché.[2]

Avant la démocratisation d’Internet, la surveillance des communications par l’État était limitée par l’existence de principes juridiques bien établis et par des obstacles logistiques inhérents au contrôle des communications. Au cours des dernières décennies, les barrières techniques à la surveillance se sont estompées. Dans le même temps, l’application des principes juridiques aux nouvelles technologies a perdu en clarté. L’explosion des communications numériques et des informations relatives à ces communications, également appelées « métadonnées des communications » (termes qui désignent les informations portant sur les communications d’une personne ou sur son utilisation d’appareils électroniques), la baisse des coûts de stockage et d’exploration de grands ensembles de données, ou encore la mise à disposition de données personnelles par le biais de prestataires de service tiers, ont conféré à l’État des pouvoirs de surveillance sans précédent.[3]Parallèlement, notre conception des droits de l’homme n’a pas encore intégré les récentes évolutions et la modernisation des moyens de surveillance des communications utilisés par l’État, de la capacité de ce dernier à combiner et organiser les informations obtenues par différentes techniques de surveillance, ou de la sensibilité croissante des informations accessibles.

La fréquence à laquelle les États cherchent à accéder au contenu des communications ou aux métadonnées associées augmente considérablement, sans contrôle approprié.[4] Après consultation et analyse, les métadonnées relatives aux communications permettent de dresser un profil descriptif de la vie d’un individu, incluant entre autres des informations sur son état de santé, ses opinions politiques et religieuses, ses relations sociales et ses centres d’intérêts. Ces données sont tout aussi complètes, si ce n’est plus, que le seul contenu des communications.[5] Malgré ce risque élevé d’intrusion dans la vie privée des personnes et l’effet d’intimidation qu’il peut avoir sur les associations politiques ou autres, les instruments législatifs et réglementaires accordent souvent aux métadonnées une protection moindre. Ils ne limitent pas suffisamment la façon dont les agences gouvernementales peuvent manipuler ces informations, notamment pour les explorer, les partager et les conserver.

Pour que les États respectent réellement leurs obligations en matière de droits de l’homme au plan international dans le domaine de la surveillance des communications, ils doivent se conformer aux principes présentés ci-dessous. Ces principes s’appliquent à la surveillance exercée au sein d’un État ou la surveillance extraterritoriale. Ils sont mis en œuvre quel que soit l’objectif de la surveillance : application de la loi, sécurité nationale ou toute autre fin réglementaire. Ils concernent également l’obligation qui incombe à l’État de respecter les droits de chaque individu et de protéger ces droits contre d’éventuels abus commis par des acteurs non étatiques, et en particulier des entreprises privées.[6] Le secteur privé assume une responsabilité équivalente en termes de respect des droits de l’homme, car il joue un rôle déterminant dans la conception, le développement et la diffusion des technologies, dans la mise à disposition des services de communication et, le cas échéant, dans la coopération avec les activités de surveillance des États. Néanmoins, le champ d’application des présents principes est limité aux obligations des États.

DES TECHNOLOGIES ET DES DÉFINITIONS EN PLEINE ÉVOLUTION

Dans un contexte moderne, le concept de « surveillance des communications » désigne le contrôle, l’interception, la collecte, l’analyse, l’utilisation, la préservation, la conservation, la modification ou la consultation d’informations qui contiennent les communications passées, présentes ou futures d’une personne, ainsi que de toutes les informations qui sont relatives à ces communications. Les « communications » désignent toute activité, interaction ou transaction transmise de façon électronique, telle que le contenu des communications, l’identité des parties impliquées, les données de localisation (adresses IP, par exemple), les horaires et la durée des communications, ainsi que les identifiants des appareils utilisés.

Le caractère intrusif de la surveillance des communications est traditionnellement évalué sur la base de catégories artificielles et formelles. Les cadres légaux existants font la distinction entre le « contenu » et les « données hors contenu », les « informations sur l’abonné » et les « métadonnées », les données stockées et celles en transit, les données conservées dans leur emplacement d’origine et celles transmises à un prestataire de services tiers.[7] Pourtant, ces distinctions ne sont plus appropriées pour mesurer le niveau d’intrusion entraîné par la surveillance des communications dans la vie privée et les relations sociales des individus. Il est admis de longue date que le contenu des communications nécessite une protection légale importante dans la mesure où il peut révéler des informations sensibles. Toutefois, il est maintenant clair que d’autres informations issues des communications d’un individu, telles que les métadonnées et d’autres formes de données hors contenu, peuvent fournir plus de renseignements sur cette personne que le contenu lui-même. Elles doivent donc bénéficier d’une protection équivalente. Aujourd’hui, qu’elles soient analysées séparément ou conjointement, ces informations peuvent permettre de déterminer l’identité d’un individu et d’en savoir plus sur son comportement, ses relations, son état de santé, son origine ethnique, sa couleur de peau, son orientation sexuelle, sa nationalité ou ses opinions. Elles peuvent également être utilisées pour établir une carte complète des déplacements et des interactions de cette personne dans le temps,[8] ou de toutes les personnes présentes à un endroit donné, par exemple dans le cadre d’une manifestation ou d’un rassemblement politique. Par conséquent, toutes les informations qui contiennent les communications d’une personne ou sont relatives à ces communications, et qui ne sont pas publiquement et facilement accessibles, doivent être considérées comme des « informations protégées ». Elles doivent donc, à ce titre, bénéficier du plus haut niveau de protection au regard de la loi.

Pour évaluer le caractère intrusif de la surveillance des communications par l’État, il convient de prendre en considération non seulement le risque de divulgation des informations protégées, mais également les raisons pour lesquelles l’État recherche ces informations. Si la surveillance des communications a pour conséquence de révéler des informations protégées susceptibles d’exposer une personne à des enquêtes, des discriminations ou des violations des droits de l’homme, elle constitue à la fois une violation sérieuse du droit au respect de la vie privée et une atteinte à la jouissance d’autres droits fondamentaux tels que la liberté d’expression, d’association et d’engagement politique. En effet, ces droits ne sont effectifs que si les personnes ont la possibilité de communiquer librement, sans subir l’effet d’intimidation qu’engendre la surveillance gouvernementale. Il est donc nécessaire de rechercher, pour chaque cas particulier, tant la nature des informations collectées que l’usage auquel elles sont destinées.

Lors de l’adoption d’une nouvelle technique de surveillance des communications ou de l’extension du champ d’action d’une technique existante, l’État doit vérifier préalablement si les informations susceptibles d’être obtenues entrent dans le cadre des « informations protégées ». Il est ensuite tenu de se soumettre à un examen par le pouvoir judiciaire ou à un mécanisme de supervision démocratique. Pour déterminer si les informations obtenues par le biais de la surveillance des communications doivent être considérées comme des « informations protégées », il est judicieux de prendre en compte non seulement la nature de la surveillance, mais aussi sa portée et sa durée. Une surveillance généralisée ou systématique peut entraîner la divulgation d’informations privées au-delà des données collectées individuellement. Elle est donc susceptible de conférer à la surveillance des informations non protégées un caractère intrusif nécessitant une protection renforcée.[9]

Pour déterminer si l’État peut ou non entreprendre une surveillance des communications faisant intervenir des informations protégées, il convient de se conformer aux principes ci-dessous.

PRINCIPES

LÉGALITÉ:

Toute restriction apportée au droit au respect de la vie privée doit être prévue par la loi. L’État ne doit pas adopter ni mettre en œuvre de mesure qui porte atteinte au respect de la vie privée sans qu’elle ne soit prévue par une disposition législative publique, suffisamment claire et précise pour garantir que les personnes ont été préalablement informées de sa mise en œuvre et peuvent en anticiper les conséquences. Étant donné le rythme des changements technologiques, les lois qui restreignent le droit au respect de la vie privée doivent faire l’objet d’un examen régulier sous la forme d’un processus législatif ou réglementaire participatif.

PORTÉE LÉGITIME:

La surveillance des communications par des autorités gouvernementales ne doit être autorisée par la loi que pour poursuivre un objectif légitime lié à la défense d’un intérêt juridique fondamental pour une société démocratique. Aucune mesure de surveillance ne doit donner lieu à une discrimination basée sur l’origine, la couleur de peau, le sexe, la langue, la religion, les opinions politiques ou autres, la nationalité, l’appartenance à un groupe social, la richesse, la naissance ou toute autre situation sociale.

NÉCESSITÉ:

Les lois permettant la surveillance des communications par l’État doivent limiter cette dernière aux éléments strictement et manifestement nécessaires pour atteindre un objectif légitime. Cette surveillance ne doit être utilisée que si elle constitue l’unique moyen d’atteindre un but légitime donné, ou, dans le cas où d’autres moyens existent, si elle représente celui qui est le moins susceptible de porter atteinte aux droits de l’homme. La charge de la preuve à cet égard incombe à l’État, pour les procédures judiciaires et législatives.

ADÉQUATION:

Toute surveillance des communications prévue par la loi doit être en adéquation avec l’objectif légitime poursuivi.

PROPORTIONNALITÉ:

La surveillance des communications doit être considérée comme un acte hautement intrusif qui interfère avec le droit au respect de la vie privée, ainsi qu’avec la liberté d’opinion et d’expression. Elle constitue de ce fait une menace pour les fondements d’une société démocratique. Il convient de prendre les décisions relatives à la surveillance des communications en comparant les bénéfices attendus aux atteintes portées aux droits des personnes et aux autres intérêts contradictoires. Elles doivent en outre prendre en compte le degré de sensibilité des informations et la gravité de l’atteinte à la vie privée.

Cela signifie en particulier que si un État, dans le cadre d’une enquête criminelle, souhaite avoir accès à des informations protégées par le biais d’une procédure de surveillance des communications, il doit démontrer les points suivants à une autorité judiciaire compétente, indépendante et impartiale:

1. Il existe une forte probabilité pour qu’une infraction pénale grave ait été ou soit commise;

2. Il est possible d’obtenir la preuve d’une telle infraction en accédant à l’information protégée recherchée;

3. Les techniques d’investigation moins intrusives ont toutes été utilisées;

4. Les informations recueillies se limiteront à ce qui est raisonnablement pertinent au regard de l’infraction concernée, et toute information superflue sera rapidement détruite ou restituée;

5. Les informations sont consultées uniquement par l’autorité spécifiée et utilisées exclusivement aux fins pour lesquelles l’autorisation a été accordée.

Si l’État cherche à accéder à des informations protégées par le biais de la surveillance des communications à des fins non susceptibles d’exposer une personne à des poursuites pénales, des enquêtes, des discriminations ou des violations des droits de l’homme, il doit démontrer les points suivants à une autorité indépendante, impartiale et compétente:

1. D’autres techniques d’investigation moins intrusives ont été envisagées.;

2. Les informations recueillies se limiteront à ce qui est raisonnablement pertinent, et toute information superflue sera promptement détruite ou restituée à la personne concernée;

3. Les informations sont consultées uniquement par l’autorité spécifiée et utilisées exclusivement aux fins pour lesquelles l’autorisation a été accordée.

AUTORITÉ JUDICIAIRE COMPÉTENTE:

Les décisions relatives à la surveillance des communications doivent être prises par une autorité judiciaire compétente, impartiale et indépendante. Cette autorité doit être:

1. distincte des autorités chargées de la surveillance des communications;

2. au fait des enjeux relatifs aux technologies de la communication et aux droits de l’homme, et compétente pour rendre des décisions judiciaires dans ces domaines;

3. disposer de ressources suffisantes pour exercer les fonctions qui lui sont assignées.

PROCÉDURE ÉQUITABLE:

Une procédure équitable suppose que les États respectent et garantissent les droits des personnes en s’assurant que les procédures qui régissent les atteintes aux droits de l’homme sont prévues par la loi, systématiquement appliquées et accessibles à tous. En particulier, pour statuer sur l’étendue de ses droits, chacun peut prétendre, dans un délai raisonnable, à un procès équitable et public devant un tribunal établi par la loi, indépendant, compétent et impartial,[10] sauf dans les cas d’urgence où il existe un risque imminent de danger pour la vie des personnes. Dans de tels cas, une autorisation rétroactive doit être recherchée dans un délai raisonnable. Le simple risque de fuite ou de destruction de preuves ne doit jamais être considéré comme suffisant pour justifier une autorisation rétroactive.

NOTIFICATION DES UTILISATEURS:

Les personnes concernées doivent être informées de toute décision autorisant la surveillance de leurs communications, dans un délai et des conditions leur permettant de faire appel de la décision. Elles doivent par ailleurs avoir accès aux documents présentés à l’appui de la demande d’autorisation. Les retards dans la notification ne se justifient que dans les cas suivants:

1. La notification porterait gravement atteinte à l’objet pour lequel la surveillance est autorisée, ou il existe un risque imminent de danger pour la vie des personnes;

2. L’autorisation permettant de retarder la notification est accordée par l’autorité judiciaire compétente en même temps que l’autorisation de surveillance;

3. La personne concernée est informée dès que le risque est levé ou dans un délai raisonnable (la plus courte de ces deux périodes étant retenue), et au plus tard lorsque la surveillance des communications prend fin. C’est à l’État qu’il incombe d’informer les personnes concernées, mais dans le cas où cette obligation ne serait pas remplie, les fournisseurs de services de communication sont libres d’informer les personnes de la surveillance de leurs communications, que ce soit de leur propre initiative ou en réponse à une demande.

TRANSPARENCE:

Les États doivent faire preuve de transparence quant à l’utilisation et à la portée de leurs pouvoirs et techniques de surveillance des communications. Ils doivent publier au minimum les informations globales relatives au nombre de demandes approuvées et rejetées, une ventilation des demandes par fournisseur de services, par type d’enquête et par objectif. Les États doivent fournir aux individus des informations suffisantes pour leur permettre de comprendre pleinement la portée, la nature et l’application des lois autorisant la surveillance des communications. Ils doivent permettre aux fournisseurs de service de communiquer les procédures qu’ils appliquent en ce qui concerne la surveillance des communications par l’État, de respecter ces procédures et de publier des informations détaillées sur cette surveillance.

CONTRÔLE PUBLIC:

Les États doivent établir des mécanismes de contrôle indépendants pour garantir la transparence et la responsabilisation en matière de surveillance des communications.[11]Les instances de contrôle doivent avoir les pouvoirs suivants : accéder à toutes les informations potentiellement utiles concernant les actions de l’État, y compris, le cas échéant, à des informations secrètes ou confidentielles ; évaluer si l’État fait un usage légitime de ses prérogatives ; déterminer si l’État a publié de façon transparente et précise les informations relatives à l’utilisation et à la portée de ses pouvoirs et techniques de surveillance ; publier des rapports réguliers et toute autre information pertinente concernant la surveillance des communications. Ces mécanismes de contrôle indépendants doivent être mis en place en complément de tout contrôle interne déjà assuré par un autre organe du gouvernement.

INTÉGRITÉ DES COMMUNICATIONS ET SYSTÈMES:

Afin d’assurer l’intégrité, la sécurité et la confidentialité des systèmes de communication, et compte tenu du fait que toute atteinte à la sécurité pour des raisons d’État compromet presque toujours la sécurité en général, les États ne doivent pas contraindre les fournisseurs de services, ou les vendeurs de matériels et de logiciels, à inclure des fonctions de surveillance dans leurs systèmes, ou à recueillir et conserver certaines informations exclusivement dans le but de permettre une surveillance par l’État. La collecte et le stockage des données a priori ne doivent jamais être demandés aux fournisseurs de services. Les individus ayant le droit de s’exprimer de façon anonyme, les États doivent s’abstenir d’imposer l’identification des utilisateurs comme condition préalable pour l’accès à un service.[12]

GARANTIES DANS LE CADRE DE LA COOPÉRATION INTERNATIONALE:

En réponse à l’évolution des flux d’informations ainsi que des technologies et services de communication, les États peuvent avoir besoin de demander l’assistance d’un fournisseur de services étranger. Les traités d’entraide juridique et les autres accords conclus entre les États doivent garantir que, lorsque plusieurs droits nationaux peuvent s’appliquer à la surveillance des communications, ce sont les dispositions établissant le plus haut niveau de protection pour les individus qui prévalent. Lorsque les États demandent de l’aide pour l’application du droit, le principe de double incrimination doit être appliqué. Les États ne doivent pas utiliser les processus d’entraide juridique ou les requêtes internationales portant sur des informations protégées dans le but de contourner les restrictions nationales relatives à la surveillance des communications. Les règles d’entraide juridique et autres accords doivent être clairement documentés, rendus publics et conformes au droit à une procédure équitable.

GARANTIES CONTRE TOUT ACCÈS ILLÉGITIME:

Les États doivent adopter une législation réprimant la surveillance illicite des communications par le biais d’acteurs publics ou privés. La loi doit prévoir des sanctions civiles et pénales dissuasives, des mesures de protection au profit des lanceurs d’alertes, ainsi que des voies de recours pour les personnes affectées. Cette législation doit prévoir que toute information obtenue en infraction avec ces principes est irrecevable en tant que preuve dans tout type de procédure, de même que toute preuve dérivée de telles informations. Les États doivent également adopter des lois prévoyant qu’une fois utilisées pour l’objectif prévu, les informations obtenues dans le cadre de la surveillance des communications doivent être détruites ou restituées à la personne concernée.

Souscrire

Souscrire à nos flux RSS et profils sociaux pour recevoir les mises à jour.

Pas encore de commentaire.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s