Tuesday, November 10, 2015

Protection des données, transparence, sonneurs d’alerte : c’est un délire


"Safe Harbor"? Golfe du Mexique. Photo ET




















Protection des données, transparence, sonneurs d’alerte : c’est un délire

L’évolution des technologies de l’information et le commerce électronique multiplient les exemples de paranoïa quant à la protection des données. Le droit à la vie privée est certes une question d’importance, mais qui de plus en plus souvent se définit par un grand écart : ce qui vaut pour l’individu ne vaut pas pour les gouvernements, et vice-versa.

La Cour de Justice de l’Union Européenne, CJUE, a récemment pris son flambeau activiste pour invalider « Safe Harbor », un cadre US-UE pour la protection « adéquate » des données personnelles. C’est une décision politique à plus d’un titre. D’abord le pouvoir judiciaire invalide des décisions de l’exécutif européen sur la réciprocité de la protection des données personnelles avec les USA. Puis elle se livre à la guéguerre culturelle : Safe Harbor est un compromis entre deux cultures. Les Etats-Unis privilégient sans doute la sécurité sur le droit à la vie privée. L’Europe semble faire l’inverse, mais c’est à voir. En tous cas, le jugement de la CJUE amalgame espionnage et protection des données, vie privée et transparence et droit de savoir.

La CJUE et Edward Snowden, même combat

Le fait remarquable est que la Cour se soit embarquée dans le sens d’activistes qui apportent comme seul élément pour invalider un mode opératoire vieux de 15 ans sur la protection de la vie privée, des révélations d’un espion américain, fugitif à Moscou. Ils ont réussi ce que j’appellerai un coup fumant : ils ont attiré la Cour dans leur territoire et la Cour a pris leur parti. Edward Snowden, le fugitif américain finit par exercer une influence démesurée et indue sur cette décision.

D’abord, je me demande à quel point les révélations de Snowden ont été corroborées par la Cour avant d’être prises comme pierre angulaire de la décision. Il est héros « whistleblower » ou sonneur d’alerte pour les uns, criminel pour les autres, quoiqu’il n’avait pas accès au trésor de guerre de la NSA. Mais lequel est-il ? Il a certes divulgué des secrets. Pour cela il serait en prison aux Etats-Unis. Il a sonné l’alerte ? Il est crédité pour cela, mais il fallait être simplet pour ne pas savoir que l’espionnage électronique existe. Donc Snowden n’a rien révélé d’extraordinaire si ce n’est l’envergure du programme. Mais l’espionnage massif n’est pas qu’américain. Il y en a beaucoup d’autres. Et attendez l’essor de Big Data !

En fin de compte la CJUE se réfère principalement au programme Prisme de la NSA, et en particulier la collecte de Meta data dans la lutte antiterroriste. C’est la solution qui considère que pour trouver une aiguille dans une meule de foin, amenons d’abord toute la meule de foin dans la grange. Nous savons que l’aiguille s’y trouve, s’il y en a une. Le contenu de la communication n’est pas capté, seulement l’emballage, les données des contacts. S’il faut trouver l’aiguille, connecter des personnes, dégager des modes de comportement, on décortiquera la meule pour fondre sur les suspects. Un juge ad hoc en donnera la permission. Bien-sûr on critiquera qu’il fait partie de la maison.

NSA ne s’occupe pas de M. Schrems, l’étudiant qui a porté plainte, et qui pourrait se trouver dans la meule. Il n’est pas assez important pour eux. L’étudiant militant continuera sans doute d’aller de guichet en guichet pour embarrasser, par rafales de plaintes judiciaires, d’autres grands de l’internet qui sont pratiquement tous américains. Avec sans doute aussi et toujours NSA et Edward Snowden comme argument à l’appui. Ira-t-il s’occuper de Baidu, le Google Chinois, ou Ali Baba, l’Amazon chinois ? Probablement pas plus que Wikileaks ne s’attaque à la Chine ou la Russie, car le joli bras d’honneur n’y est pas sans danger.

Entretemps si Face Book vous fait trembler pour votre vie privée, mais que vous avez l’habitude de faire vos courses au Supermarché en payant avec votre carte de crédit, sachez que ce magasin sait autant sur vous et même plus que FB. Ce magasin pourrait avec grande précision prédire quand vous achèterez de nouveau du papier de toilette. Et en déduire des conclusions pour son marketing, si vous n’en achetez plus. Votre vie privée de tous les jours est plus menacée par vos marchands locaux que par les communications internationales et par NSA.

NSA, SREL, SRV, Unité 61398

Il n’y a certainement pas un manque de services secrets qui opèrent aussi massivement et avec moins de règles de conduite que NSA. La Fédération Russe a ses deux agences de Sécurité et de Renseignement, le FSB et SVR. Elles sont connues pour leurs bonnes technologies et leurs intrusions dans les systèmes américains et européens. Les hackers très officiels de l’Armée de Libération du Peuple de Chine sont notoires. Son Unité 61398 à Kunming travaille avec Naikon, une communauté de hackers. Leurs cibles sont de multiples gouvernements et c’est un organe de guerre électronique. Des intrusions répétées sont rapportées sur le réseau de l’énergie électrique américain, dans un but de répétition générale pour un sabotage futur. Il est évident qu’un collapse du réseau électrique mettrait à genou une économie avancée. Ces intrusions sont source de tensions ouvertes entre Washington et Pékin.

Et il y a bien d’autres services de ce genre : Citons ceux de l’Iran, d’Israël, de la Corée du Nord, et tous les autres BND et MI5. Et rappelez-vous qu’un client de Hacker Team, le développeur de logiciels d’espionnage italien compte parmi ses clients  … le Luxembourg. Officiellement et étonnamment l’Administration des Contributions (!) pour vous espionner ? Pour vous dire, que si ces agences veulent savoir quelque chose sur vous, ou sur des secrets industriels ou militaires, ils l’obtiendront. Ce n’est pas la culbute de Safe Harbor qui vous protègera mieux. Si par protection des données privées vous comprenez aussi le secret bancaire, sachez que le trend là aussi est vers la transparence et même l’échange de données. Et le danger que votre banque voie ses secrets embarrassants, voire criminels, dévoilés par un agent secret est infiniment plus petit que par un de ses propres employés, qui sera tantôt criminel pour la banque ou héros pour le grand public.
Où sont, après le jugement de la CJUE, les bons et les mauvais ? C’est une jungle.

Hervé, Bradley, Denis, Antoine, Klaus et Monsieur X

La CJUE vient donc indirectement de célébrer Edward Snowden comme grand bienfaiteur de l’UE. Cela ne peut que lui conférer le statut de whistleblower. Au grand dam des Etats-Unis, il est accueilli les bras ouverts en Chine, en Russie et célébré en Europe ? Donc il est traitre aux Etats-Unis et héros partout ailleurs, y compris au Luxembourg. La Schadenfreude est grande aussi, mais elle est symptôme de schizophrénie.

En effet nous pensons volontiers à l’envers dans les cas plus proches de nous. L’autre jour TV 5 Amérique a diffusé un film, « L’enquête ». C’est la version cinéma de « Révélation$ », les recherches du journaliste français Denis Robert sur les comptes opaques de la chambre de compensation CEDEL devenue ensuite Clearstream. Suite à ses révélations, Denis Robert a passé un mauvais quart d’heure, ou plutôt 10 ans de harcèlement judiciaire orchestré avec des dizaines et des dizaines de procédures judiciaires lancées contre lui au Luxembourg, en France et en Belgique depuis 2001, dans le but évident de le détruire. Car on ne gagne pas contre la banque. En 2011, il a été blanchi par un jugement de la cour de cassation en France.

Après cet acharnement judiciaire, le Luxembourg devient curieusement coproducteur avec la France et la Belgique du film « L’enquête » réalisé par Samsa Films de Luxembourg. Le « Fonds National de Soutien à la Production Audiovisuelle du Grand-Duché de Luxembourg » figure en grande évidence au générique. Ce support, est-ce manifester du regret pour les torts du passé, est-ce du cynisme ou est-ce un symptôme d’un désordre de la pensée ? Cela dépend du repère. Mesuré à Edward Snowden le héros des juges, Denis Robert est d’abord traité en criminel, puis réhabilité et ses souvenirs finissent par valoir un sérieux subside pour un film. Mesurant Antoine Deltour, employé de PwC qui est à l’origine de Luxleaks, à Denis Robert, il se dessine la même carrière pour celui-ci pour les 10 années à venir : poursuites pénales d’abord, puis une vague réhabilitation dans l’oubli.

Pour Hervé Falciani, la classification Suisse est nette : c’est un criminel recherché internationalement.  L’ex-employé de HSBC à Genève avait copié des listes de plus de 100.000 clients de la banque sur un CD, pour le vendre dit-on à des gouvernements, et le procurer aussi au gouvernement français pour former la base de la fameuse Liste Lagarde de fraudeurs du fic. Pour la  Suisse un crime a été commis. Falciani ne se rendra pas en Suisse. Même pas aux Etats-Unis qui, comme d’autres états le déporteraient immédiatement vers la Suisse sur base d’un mandat d’arrêt international, alors même que ces gouvernements ont volontiers consulté son CD. Par contre Falciani est appelé le « Edward Snowden de l’évasion fiscale » par ses supporters.

Plus net était le sort de Klaus Lins, informaticien autrichien qui au Liechtenstein a dérobé les données de clients de la fiduciaire Herbert Batliner, surtout des « Stiftungen ». Il a été fêté comme un Robin Hood d’abord, et est un homme ruiné aujourd’hui, qui a écopé de 6 mois de prison en Autriche. Il n’a pas vendu ses informations, mais logé des accusations diverses et de taille sur l’opération au Liechtenstein.

La quadrature du cercle a certainement été le cas de Bradley Birkenfeld. L’affaire porte son nom en Suisse, et a constitué une grande brèche dans ce plus vieux sanctuaire de l’évasion fiscale. Birkenfeld qui avait soulevé des objections contre la facilitation de l’évasion fiscale des clients américains, a été débouté par son employeur, l’UBS. Il a ensuite dénoncé la pratique et les noms des clients aux autorités américaines qui l’ont à la fois condamné pour ses activités à 40 mois de prison, et l’ont récompensé de USD 104 millions payés par le IRS (Administration des Contributions) Whistleblower Office sur base de la législation US sur le whistleblowing, qui récompense les alerteurs. Un héros criminel en quelque sorte. L’IRS a récupéré USD 10 milliards en impôts et amendes, et UBS a payé une amende d’USD 780 millions.

Encore plus près de chez nous il y a X, Monsieur ou Madame, pour compléter notre galerie de portraits. X aurait vendu des données bancaires provenant de la BCEE, qui porte plainte contre X, et « la BCEE rappelle que ses pratiques commerciales sont et ont toujours été conformes aux exigences de la réglementation bancaire luxembourgeoise et européenne applicable [sic]. »

Quelle étiquette faut-il coller à X, héros ou criminel ? Et au receleur allemand ? La réponse est que cela dépend du moment, de l’endroit, et du stade d’avancement de la crise. Soit on le condamnera comme criminel, le réhabilitera beaucoup plus tard, ou au contraire on le fêtera comme héros. Il est clair aussi que notre galerie de whistleblowers a changé chaque fois la banque en forçant l’éthique et la transparence. Leur action va de pair avec des législations sur la transparence des gouvernements, généralement connus comme « Freedom of Information » ou FOI, sauf au Luxembourg où la loi Bodry sur l’accès à l’information est en souffrance depuis presque 15 ans.

La justice assise, entre deux chaises

Les juges de la CJUE sont-ils à contre-courant de l’évolution en célébrant la transparence de Snowden et la confidentialité des données personnelles? En fait on va vers l’érosion du secret d’état et à celle de la confidentialité personnelle.
Le secret d’état, centenaire, fond sous les coups de FOI. La sphère privée, invention citadine plus récente, se rétrécit bon gré mal gré par l’omniprésence de technologies, le besoin de sécurité, et le simple besoin de communication. Ainsi nous avons protesté les caméras de surveillance avant de concéder qu’elles préviennent des crimes ou aident à les résoudre. Nous nous soumettons à la prise de nos empreintes digitales, et perdons notre temps dans les lignes de sécurité aux aéroports. Et comme M. Schrems, nous n’avons aucun problème à mettre nos données personnelles sur FB ou sur la carte de garantie du nouveau fer à repasser. Je me revois dans mon ancien village, où chacun savait tout sur chacun. On se livrait soit spontanément, soit on était l’objet du « Beschass ». Personne ne pouvait cacher grand-chose, même pas le curé.


Dans cette évolution la CJUE a pris la décision de protéger une ambition politique et peut-être utopique, celle de protéger les données personnelles en invalidant Safe Harbor.  En ce faisant, elle a érigé des obstacles nouveaux pour startups et innovateurs de l’internet de tout genre qui auront très difficile financièrement à se conformer aux nouvelles restrictions.  La Cour a aussi atomisé la politique européenne de la protection des données en 28 parcelles qui risquent des conflits d’interprétation entre eux. Il est urgent que l’UE et les USA remettent Safe Harbor à flot. La politique devra prévaloir sur les phantasmes de la paranoïa. 



No comments:

Post a Comment