Valentin Boullier

Si la France rêve d’une école connectée où les nouvelles technologies seraient les reines de l’apprentissage et où les élèves apprendraient à coder, les États-Unis s’inquiètent des possibles violations de la vie privée des étudiants par les appareils électroniques mis à leur disposition.

NB : Nous n’aborderons pas ici les bases de données étudiantes, malgré l’attrait du sujet. Celui-ci mériterait en effet un autre article. 

Un constat alarmant

Avec la mise à disposition de Chromebooks, l’utilisation possible de spywares, la multiplication des publicités ou encore les possibilités pour certaines écoles de procéder à des « inspections » – un terme plus correct pourrait être « fouilles »-, de nombreux parents d’élèves et associations se sont inquiétés de possibles abus. 

À titre d’exemple, l’ACLU mentionne – dans un rapport rendu public le 28 octobre 2015, disponible ici – une école ayant utilisé un spyware sur les ordinateurs mis à la disposition des étudiants afin de récupérer les correspondances et des captures d’écran. Les parents de deux étudiants poursuivirent l’école et obtinrent un dédommagement conséquent. Une autre école utilisa une application afin de connaître – en temps réel – l’historique web, la localisation, et la frappe clavier des étudiants (certaines fonctionnalités furent désinstallées par la suite). Ce même rapport souligne l’inquiétude des parents face à des technologies non maîtrisées, en citant une étude menée par le Future of Privacy Forum, indiquant que 87 % des parents interrogés « s’inquiètent que des données soient piratées ou volées ». Un parent d’élève, dans une tribune publiée par The Oregonian, n’hésitait pas à invoquer la Convention relative aux droits de l’enfant, dont l’article 16 dispose que : 

1. Nul enfant ne fera l’objet d’immixtions arbitraires ou illégales dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d’atteintes illégales à son honneur et à sa réputation. 2. L’enfant a droit à la protection de la loi contre de telles immixtions ou de telles atteintes. 

Les exemples de violations de la vie privée sont nombreux : ainsi, en 2011, le principal d’une école du Minnesota avait réclamé le mot de passe du compte Facebook d’une élève en raison de la plainte d’un parent ayant pris connaissance des conversations privées de leur fils avec une élève de l’établissement. L’intéressée et ses parents, en invoquant le quatrième amendement, parvinrent à pousser l’école à la négociation. Pour rappel, le quatrième amendement protège notamment les citoyens américains contre les fouilles arbitraires : 

Il ne sera pas porté atteinte au droit des citoyens d’être exempts de toute perquisition ou saisie déraisonnable concernant leur personne, leur domicile, les documents et biens leur appartenant ; aucun mandat de perquisition ne pourra être délivré s’il ne se fonde sur des motifs plausibles, s’il ne s’appuie sur des déclarations ou des affirmations sous serment et s’il ne mentionne de façon détaillée les lieux qui doivent faire l’objet de la perquisition et les personnes ou objets dont il faut s’assurer (traduction présente sur le site de la Documentation française, consultable à cette adresse). 

Il est intéressant de noter que si le quatrième amendement ne contient pas explicitement le terme privacy, la Cour suprême reconnaît qu’il la protège, comme le montre l’arrêt Katz v. United States, (389 U.S. 347, 1967) : dans cet arrêt, Justice Stewart, chargé de communiquer l’opinion de la Cour, écrit ainsi que si le quatrième amendement ne peut consacrer un « droit constitutionnel général à la vie privée », il protège les « personnes, pas les lieux » : Justice Stewart conclut ainsi que ce que la personne « cherche à garder privé, même dans un lieu accessible au public, peut être protégé constitutionnellement » (l’arrêt peut être consulté ici). L’ACLU, dans une notice à destination des étudiants, relève que « le droit à la vie privée n’est pas mentionné par la Constitution [la privacy est par contre mentionnée dans les Constitutions de plusieurs États fédérés, comme la Californie ou la Floride, ndlr], mais la Cour suprême a affirmé que plusieurs amendements créaient ce droit ». En effet, la privacy est « diffusée » par plusieurs amendements. Certains auteurs relèvent ainsi que les premier, troisième, quatrième cinquième, neuvième et quatorzième amendements permettent une protection de la privacy. Cependant, ces amendements protègent plus que la vie privée : le quatrième protège en effet les citoyens des fouilles et saisies arbitraires (on parle de la nécessité d’une « probable cause » – en français, « motifs plausibles »). Au-delà de l’application du droit à la vie privée à des problématiques « numériques », et à titre anecdotique, il est intéressant de relever que les étudiants américains disposent de moins de protection contre les fouilles que les étudiants français : ainsi, l’ACLU, dans sa notice, souligne que « vous avez moins de vie privée dans l’école qu’à l’extérieur de l’école » : la lutte contre les stupéfiants justifierait ainsi la diminution des droits. Mais revenons au sujet de cet article. 

Une étude du Pittsburgh Post-Gazette révèle que sur 31 « systèmes éducatifs » de Pennsylvanie, seuls 11 avaient mis en place des procédures permettant de s’assurer que les logiciels ou applications ne violaient pas la vie privée des étudiants. Sur son site, le journal publie également un tableau relatif aux pratiques des districts. Un de ces districts est salué par le journal, celui-ci imposant aux enseignants, avant toute utilisation d’un logiciel ou d’une application, de remplir un document qui sera transmis au district, qui procédera à l’examen du software et du respect de celui-ci de la vie privée et des lois fédérales. Le journal précise également que le district procède à l’envoi « de lettres à destination des parents, en réclamant la permission des parents afin d’utiliser les données de l’étudiant en vue de l’enregistrement de celui-ci sur des sites webs, comme Google, Dropbox ou ThinkCentral ». Enfin, ce district aurait banni « dans les écoles élémentaires » les Google Apps for Education, en raison d’un procès intenté à Google, la plainte indiquant que Google aurait procédé à l’analyse des e-mails des étudiants.

La contre-attaque des associations

De nombreuses associations ont ainsi décidé d’enquêter plus en profondeur : outre la fameuse ACLU, l’EPIC (Electronic Privacy Information Center, notamment auteur du Student Privacy Bill of Rights), l’EFF (Electronic Frontier Fondation), ou la Data Quality Campaign ont mené des enquêtes approfondies, parfois en réclamant des écoles les documents publics relatifs à la vie privée des étudiants. Une étude de la Data Quality Campaign relève ainsi qu’en 2014, 110 propositions de lois furent déposées dans 36 États ; à la fin de l’année, 24 propositions de lois furent votées dans 21 États. En 2015, 182 propositions furent déposées auprès de 46 assemblées fédérées. Sur ces 182 propositions, 28 furent adoptées. 15 États renforcèrent ainsi la vie privée des étudiants. L’association fournit également un tableau complet, permettant de mieux appréhender les problématiques prises en compte par les États fédérés (opt-out, guidelines, etc.). 

En 2015, l’EFF a lancé une campagne nationale permettant aux étudiants et aux parents de contacter  l’association afin d’alerter les pratiques des écoles. Cette enquête permet également à des lanceurs d’alerte d’attirer l’attention de l’EFF : ainsi, les directeurs d’établissement et les professeurs peuvent également contacter l’association. Cette dernière est même allée plus loin, en introduisant auprès de la FTC (Federal Trade Commission) une plainte contre Google, accusée de violer le Student Privacy Pledge, une charte développée par le Future of Privacy Forum par laquelle les signataires (les distributeurs d’appareils électroniques) s’engagent à respecter la vie privée des étudiants. Ainsi, 227 entreprises – comme Google (celle-ci ayant, au départ, refusé de signer le Pledge en raison de la conformité existante des produits développés par Google ; cf. l’article du Wall Street Journal cité en fin d’article), Apple, KhanAcademy – se sont engagées, par exemple, à ne pas vendre de données personnelles ou à ne pas utiliser un profil (crée à partir de données récoltées grâce à un service éducatif) pour de la publicité ciblée. Si, en France, la loi 78-17 instaure un cadre strict, la conception américaine est toute différente : ce Pledge est donc nécessaire afin de préserver la vie privée des étudiants. Par cette plainte, l’EFF réclame à la FTC l’application stricte du FTCA (Federal Trade Commission Act), dont la section 5 prévoit que : 

The Commission is herevy empowered and directed to prevent persons, partnerships, or corporations […] from using unfait methodes of competition in or affecting commerce and unfait or deceptive acts or pratices in or affecting commerce. 

Dans sa plainte, l’EFF vise tout particulièrement la collecte de données au-delà de ce qui est autorisé par le Pledge, collecte notamment opérée par Chrome Sync (Chrome étant le navigateur par défaut des Chromebooks). L’association parle ainsi de pratiques déloyales et de pratiques déceptives, et réclame, d’une part, la destruction de l’ensemble des données récoltées sans autorisation et non nécessaires au service éducatif, et, d’autre part, que Google avertisse les étudiants (« et, dans la mesure du possible, les parents ») de la collecte de données. Enfin, l’EFF estime que la FTC doit enjoindre Google à ne plus opérer de collecte, ou, à défaut, de se retirer du Pledge. 

Google, dans un post de blog en date du 2 décembre 2015, a réagi, en rappelant « la manière dont nos produits fonctionnent, et comment nous protégeons les données des étudiants ». La firme souligne ainsi que les Google Apps for Education Core Services récoltent des données uniquement afin de permettre le fonctionnement de ces applications : « il n’y a donc pas de publicité dans ces Core Services, et les données des étudiants ne sont donc pas utilisées dans des buts publicitaires ». Enfin, Google se défend en affirmant que Chrome Sync « n’est pas connecté à une personne spécifique et n’est pas utilisé dans le but d’analyser le comportement des étudiants » ; les données de Chrome Sync ne permettraient ainsi pas « d’effectuer de la publicité ciblée ». 

L’Université de Berkeley a également indiqué, le 1er février 2016, poursuivre Google, qui procéderait, selon l’université, à l’analyse des e-mails des étudiants. 

Des réactions fédérales et fédérées

Le pouvoir législatif, qu’il soit fédéral ou fédéré, s’organise actuellement afin de renforcer la protection de la vie privée. Au niveau fédéral, nous pouvons citer le Student Digital Privacy and Parental Rights Act of 2015 (H.R. 2092 – « To require operators that provide online and similar services to educational agencies or institutions to protect the privacy and security of personally identifiable information, and for other purposes »), introduit le 29 avril 2015.

Cette loi, si elle était votée, interdirait la publicité ciblée, la vente de données à une tierce-partie, la collecte ou l’utilisation de données en-dehors de buts pédagogiques. La loi imposerait également la mise en place de procédures de sécurité, la suppression de données dans certaines hypothèses (par exemple si l’école le réclame) ou encore une notification en cas de « fuite » de données. 

Toujours au niveau fédéral, nous pouvons citer le FERPA (Family Educational Rights and Privacy Act) de 1974 relatif à la confidentialité des données, ou encore le Student Privacy Protection Act (S. 1341) introduit au Sénat le 14 mai 2015. 

Au niveau fédéré, nous pouvons signaler les actions de M. Duane Hall, membre de la Chambre des représentants de la Caroline du Nord, qui serait en train de rédiger une loi « empêchant le personnel d’une école de réclamer aux étudiants les noms d’utilisateurs et les mots de passe des réseaux sociaux tels que Facebook ou Twitter ». M. Duane Hall avait déjà tenté, avec plusieurs de ses collègues, de faire adopter par l’Assemblée de Caroline du Nord une loi (HB846 – Job and Education Privacy Act) visant à empêcher les employeurs et les universités de réclamer les noms d’utilisateurs et les mots de passe des réseaux sociaux et des comptes de messagerie électronique. De nombreux État s’intéressent actuellement au sujet (citons, en dernier exemple, l’État de Hawai : HB2513, « Protects student privacy with respect to electronic data », consultable ici).

Des personnalités politiques ont également réagi : l’EFF cite ainsi le sénateur Al Franken, qui, suite à la plainte déposée auprès de la FTC, a procédé à l’envoi d’une lettre à Google. Celle-ci traduit notamment l’inquiétude du sénateur tout en réclamant à Google des explications sur plusieurs points. L’Assemblée du Minnesota (État du sénateur Franken) aurait également introduit plusieurs propositions de lois afin de renforcer la vie privée. 

Des voix s’élèvent cependant contre une trop grande protection de la vie privée. La privacy est en effet souvent confrontée à d’autres droits (par exemple, le droit de propriété) et accusée de freiner l’innovation. Un article publié dans The Hill expose ainsi que « si nous sommes tous d’accord sur les objectifs, il est ardu de développer une législation protégeant la vie privée des étudiants tout en maximisant l’efficacité éducative et l’encouragement à l’innovation ». Le journal, afin d’illustrer ses propos, cite l’exemple de la Louisiane, qui a adopté une loi « tellement restrictive que les écoles ne peuvent plus afficher les noms de leurs joueurs de football sur le grand écran durant un match », et cite également l’exemple « d’un intendant inquiet de publier le livre de l’école depuis que la loi interdit aux écoles de dévoiler le nom et les photos sans autorisation parentale ». Le journal estime ainsi que « nous n’avons pas à couper nos enfants du monde pour les protéger ». La lecture de l’article complet est vivement conseillé. 

Ainsi, si certaines personnes rêvent d’une école connectée, d’autres rêvent d’une école connectée et protégeant la vie privée des étudiants – que ceux-ci soient mineurs ou majeurs. Aux États-Unis, le sujet est très régulièrement abordé par les médias. Dans tous les cas, les défendeurs de la privacy sont souvent confrontés aux défenseurs de l’innovation… même si la privacy et l’innovation peuvent habilement se combiner pour l’intérêt général. 

Sources & Références :
*ANONYME, « OUR VIEW : Protect student privacy from school snoopers », www.yourdailyjournal.com, publié le 23 janvier 2016, consulté le 2 février 2016, disponible à l’adresse : <http://yourdailyjournal.com/opinion/editorials/21228/our-view-protect-student-privacy-from-school-snoopers>

*BARR (A.), « Google Changes Course, Signs Student Data Privacy Pledge », publié le 20 janvier 2016, consulté le 2 février 2016, disponible à l’adresse : <http://blogs.wsj.com/digits/2015/01/20/google-changes-course-signs-student-data-privacy-pledge/>

*BAUER-WOLF (J.), « Chromebooks in the clasroom : Student data privacy issues », www.fredericknewspost.com, publié le 31 janvier 2016, consulté le 2 février 2016, disponible à l’adresse : <http://www.fredericknewspost.com/news/education/funding/chromebooks-in-the-classroom-student-data-privacy-issues/article_e2caa052-191a-52e4-9d98-d058ce74330a.html>

*BROWN (E.) « UC-Berkeley students sue Google, alleging their emails were illegally scanned », www.washingtonpost.com, publié le 1er février 2016, consulté le 2 février 2016, disponible à l’adresse : <https://www.washingtonpost.com/news/grade-point/wp/2016/02/01/uc-berkeley-students-sue-google-alleging-their-emails-were-illegally-scanned/>

*BUTTAR (S.), GULLO (K.), « Senator Franken Concerned Over Google’s Treatment of Student Privacy », www.eff.org, publié le 16 janvier 2016, consulté le 2 février 2016, disponible à l’adresse : <https://www.eff.org/deeplinks/2016/01/senator-franken-concerned-over-googles-treatment-student-privacy>

*CONOLLY (K.), Public school students have a right to privacy (OPINION) », www.oregonlive.com, publié le 12 janvier 2016, consulté le 2 février 2016, disponible à l’adresse : <http://www.oregonlive.com/opinion/index.ssf/2016/01/public_school_students_have_a.html>

*GELMAN (A.), « Report From the Student Privacy Frontlines: 2015 in Review », www.eff.org, publié le 3 janvier 2016, consulté le 2 février 2016, disponible à l’adresse : https://www.eff.org/deeplinks/2015/12/report-student-privacy-frontlines-2015-review>

*GILLULA (J.), « Google’s Student Tracking Isn’t Limited to Chrome Sync », publié le 2 décembre 201, consulté le 2 février 2016, disponible à l’adresse : <https://www.eff.org/deeplinks/2015/12/googles-student-tracking-isnt-limited-chrome-sync?from=student-privacy>

*HENNEY (M.), LORD (R.), Surveillance Society: Review shows few safeguards against student privacy leaks », www.post-gazette.com, publié le 24 août 2015, consutlé le 2 février 2016, disponible à l’adresse : <http://www.post-gazette.com/news/surveillance-society/2015/08/24/Surveillance-Society-Review-shows-few-safeguards-against-student-privacy-leaks/stories/201508240003>

*LAMBERT (B.), « Minnesota lawmakers introduce legislation to protect student privacy », www.minnpost.com, publié l 21 janvier 2016, consulté le 2 février 2016, disponible à l’adresse : <https://www.minnpost.com/glean/2016/01/minnesota-lawmakers-introduce-legislation-protect-student-privacy>

*ROCHELLE (J.), « The fact about student data privacy in Google Apps for Education and Chromebooks », www.googleforeducation.blogspot.fr, posté le 2 décembre 2015, consulté le 2 février 2016, disponible à l’adresse : <http://googleforeducation.blogspot.fr/2015/12/the-facts-about-student-data-privacy-in.html>

*SZABO (C.), « Student Privacy legislation requires a surgical approach », www.the hill.com, publié le 21 janvier 2016, consulté le 2 février 2016, disponible à l’adresse : <http://thehill.com/blogs/congress-blog/technology/266455-student-privacy-legislation-requires-a-surgical-approach>

WORF (L.), « NC lawmaker part of push to protect student privacy online », www.charlotteobserver.com, publié le 25 janvier 2016, consulté le 2 février 2016, disponible à l’adresse : <http://www.charlotteobserver.com/news/local/community/news-alliance/article56432400.html>

SItes Web :

*Congress.gov

*Data Quality Campaign : http://dataqualitycampaign.org/find-resources/student-data-privacy-legislation-2015/

*govtrack.us/

*Student Privacy Pledge, disponible à l’adresse : <https://studentprivacypledge.org/>

Pour consulter la -longue- liste des lois relatives aux interdictions de réclamer les mots de passe des étudiants, c’est par ici.

Le gouverneur de Californie, M. Jerry Brown, a signé le 8 octobre le California Electronic Communications Act (CEPA SB-178). Cette loi a notamment pour objectif d’empêcher les entités gouvernementales d’accéder aux communications électroniques sans mandat, citation à comparaître ou autorisation de mise sur écoute. La Californie, déjà précurseur dans la protection des communications électroniques, renforce donc son arsenal législatif en tirant les conséquences des révélations d’Edward Snowden. Cette loi avait par ailleurs le support de plusieurs associations de défense des droits des citoyens, comme l’EFF (Electronic Frountier Foundation, très active dans la protection des droits fondamentaux), et la renommée ACLU (American Civil Liberties Union).

Rédigée par les sénateurs Mark Leno et Joel Anderson, cette loi renforce considérablement les droits des citoyens, en imposant aux government entities (définie comme « un ministère, une agence ou une subdivision, ou un individu agissant au nom de l’Etat ou de l’une de ses subdivisions ») d’obtenir un mandat ou une autorisation de mise sur écoute afin de pouvoir obtenir la production ou l’accès aux communications électroniques d’un citoyen. La loi établit également une longue liste de définitions. Par exemple, elle établit qu’une communication électronique est « le transfert de signes, signaux, écrits, images, sons, données ou renseignements de toute nature, système ou partie de système, en tout ou partie par un fil, par radio, ou par système électromagnétique, électrique ou optique ». Cette définition est à rapprocher de la définition établie par l’article L.32 du Code des postes et communications électroniques français, qui dispose que : « on entend par communications électroniques les émissions, transmissions ou réception de signes, de signaux, d’écrits, d’images ou de sons, par voie électromagnétique ». 

Cette loi renforce donc considérablement les droit des citoyens. Ainsi, les entités gouvernementales peuvent accéder physiquement ou électroniquement aux appareils visés si et seulement si l’une ou plusieurs des conditions suivantes sont remplies :

• obtention d’un mandat, dont les formes sont conformes aux autres dispositions de la loi;
• obtention d’une autorisation de mise sur écoute;
• consentement spécifique du détenteur de l’appareil;
• consentement spécifique du propriétaire de l’appareil, si l’appareil a été perdu ou volé;
• sans mandat, s’il existe un danger de mort ou de blessures graves;
• si l’appareil est perdu, volé, et si les communications électroniques pourraient permettre d’identifier et de contacter le propriétaire de l’appareil.

Une dernière disposition s’applique aux saisies d’appareils électroniques dans les prisons.

De même, le mandat autorisant la production et l’accès aux communications électroniques doit respecter plusieurs conditions formelles :

• il doit notamment indiquer les informations à saisir, la période de temps concernée, les comptes et/ou les applications concernées, et l’information recherchée. Ainsi, l’interception massive avec traitement a posteriori de l’information afin d’y déceler une information ou un renseignement jusque-là non spécifiquement recherché est prohibée;
• le mandat doit impérativement préciser que si une information différente de celle recherchée est obtenue, celle-ci doit être « scellée » et ne pas être utilisée, sans une autorisation judiciaire. Nous retrouvons là la notion de « probable cause », chère au droit américain. En effet, si une juridiction estime qu’il existe une « probable cause », elle peut alors délivrer une autorisation pour qu’une telle information puisse être utilisée;
• l’authenticité des informations doit également être garantie par le fournisseur de service;
• la juridiction en charge de l’affaire pourra également, à titre discrétionnaire, imposer la destruction des informations saisies mais ne rentrant pas dans le champ d’application du mandat;
• enfin, et il s’agit là d’un point intéressant, si le fournisseur de service délivre des informations de manière volontaire (et ne violant pas d’autres dispositions juridiques) ces informations devront être détruites 90 jours après leur saisie. Des exceptions sont une nouvelle fois prévues, par exemple si l’entité gouvernementale obtient le consentement de l’expéditeur ou du destinataire sur l’information délivrée. L’emploi d’une telle conjonction de coordination n’est pas neutre. Il en sera de même, si la juridiction délivre une autorisation de rétention. Cependant, cette autorisation est elle-même soumise à plusieurs conditions, par exemple s’il existe une raison de penser que l’information constitue la preuve qu’un crime a été commis.

Une dernière disposition importante est la possibilité pour un citoyen, partie à un procès ou à une procédure de réclamer la suppression des informations obtenues en violation du quatrième amendement, qui dispose que :

The right of the people to be secure in their persons, houses, papers, and effects, against unreasonable searches and seizures, shall not be violated, and no Warrants shall issue, but upon probable cause, supported by Oath or affirmation, and particularly describing the place to be searched, and the persons or things to be seized.

Cette loi constitue, de toute évidence, une avancée importante pour la protection des droits fondamentaux, et les principales associations de défense des droits ont salué sa signature par le gouverneur.

The law places California not only at the forefront of protecting digital privacy among states, it outpaces even the federal government, where such efforts have stalled

ZETTER (K.), « California now has the nation’s best digital privacy law », www.wired.com, publié le 8 octobre 2015, consulté le 12 octobre 2015, consultable ici.

Il estégalement intéressant de noter que de nombreux universitaires américains avaient adressé au gouverneur de l’Etat de Californie une lettre en faveur du SB-178. Cette lettre peut être librement consultée ici.

Pour aller plus loin :

• Le dossier législatif peut être consulté ici.
• HANS (G.S.), « A Major Win for Privacy: California ECPA Signed into Law », cdt.org, publié le 9 octobre 2015, consulté le 12 octobre 2015, consultable ici.
• Anonyme, « California Rejects Warrantless Surveillance, Enacts CalECPA », epic.org, publié le 9 octobre 2015, consulté le 12 octobre 2015, consultable ici.
• Anonyme, « California’s Electronic Communications Privacy Act (CalECPA) – SB 178 », www.eff.org, date de publication inconnue, consulté le 12 octobre 2015, consultable ici.

La commission des lois du Sénat a adopté, le 1er avril 2015, le projet de loi « autorisant l’approbation de l’accord sous forme d’échange de lettres entre le Gouvernement de la République française et le Gouvernement des États-Unis d’Amérique relatif au renforcement de la coopération en matière d’enquêtes judiciaires en vue de prévenir et de lutter contre la criminalité grave et le terrorisme ».

Ce projet de loi a pour but de renforcer la coopération policière entre la France et les États-Unis dans le cadre du « Visa Waiver Program ». Celui-ci vise à exempter de visa les ressortissants de nombreux pays pour les séjours – touristiques ou d’affaires- de moins de trois mois. Or, ce programme a été mis en péril par les attentats terroristes ayant frappé les États-Unis et les pays d’Europe. En effet, les américains souhaitent depuis quelques années réformer ce programme afin de renforcer la sécurité aux frontières. Les États-Unis ont donc imposé comme maintien du programme une condition visant au renforcement de la coopération policière (GARRIAUD-MAYLAM J., rapport n°386, enregistré à la Présidence du Sénat le 1er avril 2015, p.8).

Les négociations avec la France ont débuté en 2008 et ont porté sur l’échange d’informations relatives aux données génétiques et aux empreintes digitales. En 2012, les négociations aboutissent à une proposition, basée sur le traité de Prüm (fichier .pdf ici, source : CNIL), qui prévoyait déjà, entre sept pays européens – dont la France – un renforcement de la coopération transfrontalière par l’échange de données relatives aux profils ADN et dactyloscopiques. L’objectif, à terme, est de permettre aux deux parties de pouvoir consulter de manière automatisée des « fichiers d’analyses ADN et des systèmes d’identification dactyloscopique » (exposé des motifs, IV°). Le système retenu est le système « hit/no hit » (traduit par concordance/absence de concordance).

Quel champ d’application ?

Un opérateur – et, à terme, le système automatisé – ne pourra réaliser une vérification de toutes les personnes concernées par le programme d’exemption de visa. La recherche d’informations ne pourra ainsi être opérée par la simple suspicion : en effet, cette recherche doit être justifiée par l’existence d’une enquête ou d’une procédure judiciaire, où une peine privative de liberté de trois ans est encourue.

Quels garde-fous ?

Le droit national s’appliquera dans tous les cas : ainsi, la transmission de données ne pourra intervenir que dans le cadre du droit national, et, en cas de concordance, « la transmission de données à caractère personnel complémentaires […] se fait selon la législation nationale de la Partie requise, notamment dans le cadre de l’entraide judiciaire, et non pas de manière automatique » (rapport n°386 préc., p. 12). Par voie de conséquence, les grands principes français relatifs à la protection des données personnelles (finalité, sécurité, conservation, etc.) devront être appliqués lorsque les États-Unis utiliseront ce système. Il est intéressant de noter que les données provenant d’un État tiers (par exemple, le Royaume-Uni), ne peut faire l’objet d’aucune transmission sans autorisation, et ne peut rentrer dans le système basé sur la concordance.

Il est intéressant de noter que le rapport n°386 rappelle que la transmission de données à un autre pays ne peut être réalisée que lorsque ce pays protège efficacement les données personnelles transmises : « la Commission européenne estime que les États-Unis ne présentent pas un niveau de protection globale et que l’appréciation du niveau de protection doit se faire au cas par cas » (rapport n°386 préc., p. 13). Ainsi, la France a « négocié des garanties importantes »… malgré le fait que la CNIL n’a pas été « spécifiquement associée à la conclusions (sic) de cet accord […] ».

Une traçabilité des échanges est également mise en place par la création d’un registre permettant de retracer toutes les demandes et données transmises. Les autorités en charge de la protection des données personnelles sont en charge du contrôle du système.

De même, un recours est ouvert aux personnes ayant été visées par une recherche. L’exposé des motifs et le rapport n°386 ne sont pas plus explicites.

Pourquoi un tel changement ?

Les États-Unis souhaitent renforcer leur sécurité, et conditionnent le maintien du « Visa Waiver Program » à la coopération des autres États membres dudit programme. Le rapport n°386 rappelle par ailleurs que :

Depuis 2007, 475 demandes d’entraides ont été adressées aux États-Unis par les autorités françaises dont 48 en matière de terrorisme et 225 par les autorités américaines à la France dont 37 en matière de terrorisme.

Le rapport aborde également les échanges « limités » (rapport n°386 préc., p.8) de données biométriques entre la France et les États-Unis par le biais d’Interpol.

Rien d’autre ?

Si ! L’article 9 de l’accord dispose ainsi que la transmission d’informations peut être réalisée « sur demande ou spontanément […], lorsque certains faits laissent présumer que des personnes sont susceptibles de commettre ces infractions. Ces données comprennent, les noms, prénoms, date et lieu de naissance, ainsi que les circonstances précises qui conduisent à la présomption invoquée ». L’emploi de « spontanément » fait référence à l’urgence, une fois de plus nécessaire pour justifier certaines dispositions…

Le projet sera discuté le 4 juin 2015 au Sénat.

POUR ALLER PLUS LOIN

• Projet de loi autorisant l’approbation de l’accord sous forme d’échange de lettres entre le Gouvernement de la République française et le Gouvernement des États-Unis d’Amérique relatif au renforcement de la coopération en matière d’enquêtes judiciaires en vue de prévenir et de lutter contre la criminalité grave et le terrorisme, page sur le site du Sénat ici.
• Rapport fait au nom de la commission des affaires étrangères, de la défense et des forces armées, n°386, par Mme Joëlle Garriaud-Maylam, disponible ici.

Si le 26 février 2015 restera une date cruciale pour la neutralité du net, il peut être intéressant de s’intéresser aux opinions des commissaires de la FCC. Les conséquences des nouvelles règles adoptées par la FCC sont claires, et nous renvoyons vers les sites spécialisés. En revanche, il peut être utile de de comprendre dans quel état d’esprit les commissaires ont adopté ces nouvelles règles.

• M. le président Tom Wheeler : après avoir rappelé l’importance de la journée du 26 février 2015 (« today is the culmination of that effort »), le président de la FCC a détaillé le processus ayant mené à l’adoption de ces règles tout en soulignant la multiplicité des acteurs ayant fait part de leurs opinions : géants des nouvelles technologies, startups, fournisseurs d’accès, membres du Congrès, et…le Président lui-même. Cependant, si certains de ces acteurs ont joué un rôle primordial dans l’obtention de cette victoire, le président de la FCC souligne surtout le rôle joué par les citoyens eux-mêmes : près de quatre millions de citoyens américains ont en effet participé en faisant entendre leur voix de plusieurs manières.

Ainsi, il était possible d’envoyer un mail à son député via le site Battle for the Net. Le Net a ainsi su reformer son unité afin de contrer les prétentions des géants du câble. Ce site a ainsi souligné l’opposition entre la « team cable » et la « team internet ».

There are three simple keys to our broadband future. Broadband networks must be fast. Broadband networks must be fait. Broadband networks must be open.

M. Tom Wheeler, Président de la FCC

• M. Mignon L. Clyburn n’hésite pas, dans sa déclaration, à rappeler le Bill of Rights et le premier amendement de la Constitution ainsi que la fierté que les Pères fondateurs pourraient ressentir en constatant la transposition des grands principes démocratiques américains sur un moyen de communication moderne et dorénavant au coeur de la société. De même, le commissaire Clyburn se déclare fier de ne pas être le citoyen d’un pays censurant les informations et sites web accessibles aux citoyens. L’égalité que procure la neutralité du Net (et donc la nécessité d’un Internet unique) est également largement abordée par le commissaire. L’accent est donc mis sur les idéaux américains, et notamment ceux découlant des grands textes.

So here we are, 224 years later, at a pivotal fork in the road, poised to preserve those very same vitues of a democratic society – free speech, freedom of religion, a free press, freedom of assembly and a functioning free market.

Commissaire Mignon L. Clyburn

• La déclaration de la commissaire Jessica Rosenworcel est la déclaration la plus courte, mais se distingue par sa clarté et la force des mots utilisés. En effet, la commissaire rappelle l’essence de l’internet : « the most dynamic platform for free speech ever invented. It is our printing press. It is our town square. It is our individual soapbox – and our shared platform for opportunity ». De même, Mme Roseworcel estime qu’il n’est pas possible d’avoir un internet à deux vitesses : l’un rapide pour les personnes privilégiées, et un autre beaucoup plus lent pour les autres. Enfin, la commissaire rappelle la vision de l’internet propre aux pionniers comme Sir Tim Berners-Lee.

We cannot have gatekeepers who tell us what we can and cannot do and where we can and cannot go online.

Commissaire Jessica Rosenworcel

Les deux autres déclarations sont des opinions dissidentes, dans la droite lignée de la tradition américaine.

• M. Ajit Pai : le commissaire regrette « la tentative sans précédent de la FCC de remplacer cette liberté [la liberté d’expression ] par un contrôle gouvernemental », mais également l’intervention du Président américain. Pour le commissaire, la FCC adopte ces nouvelles règles « pour une seule et unique raison. Le Président nous a enjoint de le faire ». De même, ces nouvelles règles seraient un frein non seulement à la liberté d’expression, mais également à l’innovation, et pourraient avoir pour conséquence l’augmentation des coûts d’accès (et la possible instauration d’une nouvelle taxe) et la diminution de la la vitesse de déploiement. Enfin, le commissaire rappelle que l’internet a pu se développer grâce au secteur privé, et estime également que les citoyens américains auraient du être sollicités.

This isn’t how the FCC should operate. We should be an independant agency making decisions in a transparent manner based on the law and the facts in the record. We shouldn’t be a rubber stamp for political decisions made by the White House.

Commissaire Ajit Pai

• La déclaration du commissaire Michael O’Rielly est extrêmement critique envers la FCC. Les termes employés sont offensifs : « imagination », « raisonnement fragile », « cycle vertueux dépourvu de sens », « le Titre II est une solution extrême à un problème imaginaire », « il y a une raison à ce que le Titre II ait été dénommé l’option atomique », « oubliez l’internet ouvert, il n’y a pas d’internet », « contraire à la loi et aux faits », etc. La déclaration est abondamment sourcée, et les considérations techniques sont largement abordées.

Today a majority of the Commission attempts to usurp the authority of Congress by re-writing the Communications Act to suit its own « values » and political ends.

[…]

Moreover, this shift to regulate Internet traffic exchange highlights that the Commission’s real end game has become imposing Title II on all parts of the Internet, not just setting up neutrality rules. In subjecting a thriving, competitive market to regulation in the name of net neutrality, the Commission is trying to use a small hook and a thin line to reel in a very large whale. This line will surely break.

Commissaire Michael O’Rielly

La déclaration finale de la FCC n’est pas encore disponible au public. La FCC a communiqué sur ce point, et assure que la déclaration sera bientôt mise en ligne. 

Pour aller plus loin :

• site web de la FCC.
• Battle for the net : site web et infographie.

Les traductions de cet article sont libres.

Depuis l’arrêt rendu par la Cour européenne de justice de l’Union européenne le 13 mai 2014, le droit à l’oubli est l’objet de nombreux articles et actualités. Les premiers « dé-référencements » ont été relevés récemment. Nous pouvons noter l’initiative du journal britannique « The Telegraph », qui a publié une liste d’articles dont les liens renvoyant vers le site web du journal n’apparaissent plus dans les résultats de recherche de Google. La liste est longue, et les articles concernent des personnes physiques, les personnes morales ne pouvant invoquer un quelconque droit à l’oubli (l’article peut être consulté ici). Fortement contesté, le droit à l’oubli est susceptible de porter atteinte à de nombreux droits et libertés fondamentaux, tout en en protégeant d’autres. La Cour note ainsi la nécessité d’établir un « juste équilibre » particulièrement difficile à délimiter.

La CJUE note ainsi que :

 Au vu de la gravité potentielle de cette ingérence, force est de constater que celle-ci ne saurait être justifiée par le seul intérêt économique de l’exploitant d’un tel moteur dans ce traitement. Cependant, dans la mesure où la suppression de liens de la liste de résultats pourrait, en fonction de l’information en cause, avoir des répercussions sur l’intérêt légitime des internautes potentiellement intéressés à avoir accès à celle-ci, il y a lieu de rechercher, dans des situations telles que celles en cause au principal, un juste équilibre notamment entre cet intérêt et les droits fondamentaux de cette personne au titre des articles 7 et 8 de la Charte. Si, certes, les droits de la personne concernée protégés par ces articles prévalent également, en règle générale, sur ledit intérêt des internautes, cet équilibre peut toutefois dépendre, dans des cas particuliers, de la nature de l’information en question et de sa sensibilité pour la vie privée de la personne concernée ainsi que de l’intérêt du public à disposer de cette information, lequel peut varier, notamment, en fonction du rôle joué par cette personne dans la vie publique.

(§81)

En effet, dans la mesure où l’inclusion dans la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, d’une page web et des informations qui y sont contenues relatives à cette personne facilite sensiblement l’accessibilité de ces informations à tout internaute effectuant une recherche sur la personne concernée et peut jouer un rôle décisif pour la diffusion desdites informations, elle est susceptible de constituer une ingérence plus importante dans le droit fondamental au respect de la vie privée de la personne concernée que la publication par l’éditeur de cette page web.

(§83)

CJUE, grande chambre, 13 mai 2014, (Gooble Spain SL, Google Inc. c/ Agencia Española de Protección de Datos (AEPD), Mario Costeja González », disponible ici.

Pour aller plus loin :

• FOEGLE (J.-P.), « La CJUE, magicienne européenne du « droit à l’oubli » numérique « , in Revue des droits de l’homme/ ADL, 16 juin 2014, disponible ici.
• BOUTIER (F.), « Le droit à l’oubli : une menace pour l’e-reputation ? », pro.clubic.fr, publié le 25 septembre 2014, consulté le 26 janvier 2015, disponible ici.
• FLO (pseud.), « Droit à l’oubli, une page Wikipédia prise pour cible », www.gizmodo.fr, publié le 5 août 2014, consulté le 26 janvier 2015, disponible ici.
• Technology Team, « Telegraph stories affected by EU’ right to be forgotten », www.telegraph.co.uk, publié le 26 janvier 2015, consulté le 26 janvier 2015, disponible ici.

Deux individus sont interpellés après la commission d’un vol avec violence envers une commerçante. Ceux-ci sont alors fouillés par la police, qui découvre sur l’un d’eux un téléphone portable non protégé par un mot de passe. Les policiers procèdent alors à l’examen de ce téléphone à plusieurs reprises :

• lors de l’interpellation des deux individus ;
• deux heures après leur interpellation ;
• quelques mois plus tard, la police ayant obtenu un mandat leur autorisant à procéder à un examen de l’appareil.

Lors des deux premiers examens, les policiers découvrent des informations (message texte et photo d’une arme de poing) tendant à établir la culpabilité des deux personnes interpellées. Aucun autre élément de preuve ne pourra être découvert lors du troisième examen. Ainsi, les seuls éléments de preuve consistaient en les éléments découverts lors des deux premiers examens du téléphone.

En l’espèce, le propriétaire du téléphone soutenait que les forces de police ne disposaient pas des pouvoirs nécessaires pour opérer la fouille de son téléphone portable. Ainsi, l’article 8 de la Charte canadienne des droits et libertés, disposant que Chacun a droit à la protection contre les fouilles, les perquisitions ou les saisies abusives, aurait été violé.

En première instance, les éléments de preuve sont favorablement accueillis, et le propriétaire du téléphone est reconnu comme l’auteur d’un vol qualifié. L’appel, interjeté par celui-ci, est rejeté.

La Cour suprême du Canada devait donc se prononcer sur la problématique de la fouille des téléphones portables par les forces de l’ordre, dans le cas où celles-ci ne disposaient pas du mandat approprié. La Cour rejette, par une courte majorité (sur les sept juges, trois formulent une opinion dissidente), le pourvoi.

La décision de la Cour suprême est importante, en raison notamment du vocabulaire employé. Les juges rappellent l’intérêt de procéder à de telles fouilles : identification des auteurs d’un délit ou d’un crime, découverte d’armes à feu, découverte d’éléments de preuve,  »etc ». Devant des impératifs de sécurité publique, les juges déclarent ainsi que

« Les fouilles de téléphone cellulaire répondent aussi à des considérations d’urgence, ce qui justifie l’élargissement du pouvoir de fouille accessoire à l’arrestation »

Or, ces fouilles doivent être très strictement encadrées en raison de leur effet liberticide. Ainsi, les juges utilisent le terme « équilibre », afin d’illustrer l’impérative conciliation entre le maintien de l’ordre public et les droits et libertés fondamentaux. Les juges de la Cour suprême proposent ainsi de renforcer les garanties des citoyens en modifiant le régime actuel et estiment que quatre conditions devraient impérativement être respectées :

• l’arrestation doit répondre aux exigences légales : une fouille faisant suite à une arrestation arbitraire conduirait ainsi au rejet des éléments de preuve obtenus;
• la fouille doit « véritablement » être accessoire à l’arrestation : une fouille arbitraire conduirait également au rejet des éléments de preuve;
• la proportionnalité entre la fouille et l’objectif recherché;
• la prise de « notes » par les forces de police procédant à la fouille. Ces notes doivent notamment porter sur les éléments fouillés et la méthode utilisée, et seront examinées lors du contrôle judiciaire.

En l’espèce, les juges reconnaissent que la fouille a violé les droits de la personne interpellée. En revanche, ils écartent l’argument visant à faire rejeter les éléments de preuve obtenus par cette fouille, l’atteinte à la vie privée n’étant « pas particulièrement grave ». Les juges relèvent également que le mandat ayant permis le troisième examen du téléphone portable n’a pas été contesté : ainsi, l’incidence sur la vie privée est identique :

« il y aurait eu d’une façon ou d’une autre une incidence sur ses intérêts en matière de respect de la vie privée, et la violation dans ce cas n’a pas changé considérablement la nature de cette incidence »

Enfin, et nous atteignons le passage le plus important de la décision, les juges estiment que si les policiers ont commis une « erreur » en procédant à une telle fouille, ceux-ci ont fourni un « état détaillé » des examens effectués : dès lors, les juges en concluent qu' »une erreur honnête, commise raisonnablement, ne constitue pas une inconduite de l’État qui exige l’exclusion des éléments de preuve ».

Les juges majoritaires concluent leur argumentation en estimant que l’exclusion des éléments de preuve pourrait conduire à porter atteinte aux intérêts de la société :

« L’intérêt de la société à ce que l’affaire soit jugée au fond milite aussi en faveur de l’admission de la preuve : les éléments de preuve sont convaincants et fiables, et leur exclusion minerait la fonction de recherche de la vérité du système de justice ».

Les juges dissidents optent pour une argumentation sensiblement différente, et soulignent le rôle particulier remplit par un téléphone portable. Celui-ci ne constituant pas une arme pouvant mettre en danger la vie des forces de l’ordre, les données privées qu’il contient nécessitent une protection particulière. Les juges dissidents semble être satisfaits du régime consistant à autoriser les fouilles de tels appareils en fonction de l’urgence : ainsi, la destruction de preuve par un téléphone portable peut conduire à sa fouille immédiate, dans le cas où il existe des « motifs raisonnables » de soupçon. Ils concluent ainsi que

« l’important intérêt qu’une personne arrêtée porte au respect de sa vie privée à l’égard de son appareil numérique personnel l’emporte sur l’intérêt qu’a l’État à effectuer une fouille sans mandat accessoire à l’arrestation »

Les juges dissidents estiment également peu pertinentes les modifications proposées par les juges majoritaires, qui pourraient « engendrer l’incertitude » chez les policiers, qui « ne sont pas les mieux placés pour déterminer si les objectifs d’application de la loi l’emportent clairement sur l’atteinte potentiellement importante à la vie privée que constitue la fouille d’un appareil numérique ».

Enfin, les juges dissidents estiment que l’acceptation des éléments de preuve conduirait à « déconsidérer l’administration de la justice », et non pas à miner « la fonction de recherche de la vérité du système de justice ».

La décision peut être librement consultée ici.