Wikimedia France, European Digital Rights (EDRi) et une large coalition représentant une diversité d’acteurs ont rédigé un recueil de scénarios visant à contribuer au débat européen sur l’adoption d’un nouveau règlement sur les preuves électroniques, le règlement e-evidence. Notre association et les 13 organisations* qui ont co-écrit ce document, exhortent le Parlement européen et le Conseil de maintenir un niveau élevé de garanties concernant les libertés et droits fondamentaux au cours de leurs négociations.
Suite à une lettre conjointe envoyée le 18 mai 2021 soulignant nos préoccupations, ce recueil complète nos recommandations en présentant quatre scénarios différents dans lesquels le règlement e-evidence conduirait à de graves atteintes aux droits fondamentaux.
Démontrer les lacunes du règlement e-evidence sur les preuves électroniques
Les scénarios mentionnés dans le compendium démontrent l’impact disproportionné du futur règlement sur les travaux des journalistes, la protection des données de santé sensibles, la liberté de manifester dans les États membres confrontés à des problèmes systémiques liés à l’état de droit – que l’on développera dans cet article de blog -, et le droit à un procès équitable – si certaines de ses propositions restent dans le texte final.
Les scénarios préparés sont structurés de manière à mettre en évidence les droits fondamentaux en jeu, décrivent une problématique hypothétique, des situations impliquant l’accès transfrontalier aux données personnelles et soulignent les garanties nécessaires préconisées pour atténuer ces atteintes aux droits fondamentaux.
L’exemple de Wikipédia
En 2013, des manifestations massives ont eu lieu en Bulgarie, contestant plusieurs décisions du gouvernement et appelant à des responsabilités démocratiques de la part des dirigeants. A l’époque, les manifestants ont principalement utilisé Facebook pour organiser et coordonner leurs actions. Or, une commission parlementaire a confirmé, en 2015, que certains manifestants avaient été illégalement surveillés et mis sur écoute. Plus de 2 500 personnes ont été victimes d’une opération de surveillance, impliquant la création de profils personnels basés sur les médias sociaux (par exemple, publications sur Facebook, événements), l’interception de communications et photographies des manifestants. Certains manifestants ont même été convoqués au poste de police et menacés d’arrêter leurs actions de contestation en utilisant les données collectées contre elles.
Si le règlement e-evidence était adopté dans sa version actuelle, les hypothèses suivantes mettent en avant comment ce nouvel instrument de collecte de données pourrait avoir un impact sur les droits fondamentaux et civils des manifestants.
Imaginons que les manifestants utilisent Wikipédia pour rapporter et documenter l’histoire du mouvement, les violences policières et les réactions du gouvernement. La police pourrait chercher à identifier les leaders du mouvement et ainsi obtenir l’identité des auteurs des différents articles Wikipédia relatifs aux événements. Les autorités bulgares pourraient donc émettre une injonction européenne afin d’accéder aux données d’identification détenues par la Fondation Wikimedia, notamment les adresses IP des éditeurs des articles. Le représentant européen de la Fondation reçoit la demande, et, malgré des doutes sur la légalité de cette dernière, se conforme à l’injonction afin d’éviter les risques – très élevée – de sanction . La police reçoit les addresses IP, identifie les auteurs et cible alors des mesures de répression contre eux.
Les garanties nécessaires
1. Prévenir les abus dans les États membres où l’État de droit est affaibli
Les scandales d’enquêtes illégales sont récurrents en Bulgarie. Récemment encore, les agences nationales de sécurité nationale du pays ont été accusées d’avoir écouté plus de 25 hommes politiques de l’opposition à l’approche des élections générales, ainsi que des dizaines d’autres personnes qui ont participé aux protestations de la société civile contre le gouvernement.
Ces scandales représentent des problèmes systémiques d’état de droit qui ont reçu des critiques internationales à de nombreuses reprises, y compris dans une résolution du Parlement européen. Cependant, les garanties fondamentales des droits et libertés inscrites dans les traités de l’UE (article 7) se sont avérées inefficaces pour faire face à ces situations, notamment car la Bulgarie n’est pas le seul État membre connaissant de graves problèmes d’État de droit, et que les procédures afin de palier à ces problèmes nécessite l’unanimité des autres États membres.
L’introduction du règlement e-evidence dans les États membres où l’indépendance de la justice n’est pas garantie serait gravement dangereux pour la protection des droits fondamentaux. Afin d’atténuer ce risque d’abus, nous recommandons d’introduire un régime d’implication systématique des autorités de l’État membre d’exécution – dès que possible dans le processus – pour toutes sortes de commandes et catégories de données sollicitée, avec l’obligation de contrôler la conformité des ordonnances et d’invoquer des motifs de refus sur cette base. Dans l’exemple ci-dessus, les autorités judiciaires de l’État membre où le représentant européen de la Wikimedia Fondation réside devrait être responsable de revoir l’ordre de fabrication et le refuser.
2. Empêcher les transferts illégaux de données et la divulgation injustifiée d’identité
Selon la proposition de la Commission et la version du Conseil, les adresses IP de Wikipédia seraient considérées comme des « données d’accès ». Cette catégorisation signifie que l’ordonnance de production ne nécessite aucune validation d’un juge, aucune notification aux autorités d’exécution et est disponible pour tous les types d’infractions pénales, voire des délits mineurs. Aux termes des accords les plus récents des trilogues, il s’agirait de « données de trafic » mais un régime spécial s’applique « aux seules fins d’identification de l’utilisateur, les adresses IP et, si nécessaire, les ports source et l’horodatage pertinents (date/ temps), ou des équivalents techniques de ces identifiants ».
La création d’un « régime spécial » qui assimile effectivement certains traitement de données de trafic à des données d’accès est préoccupante car il maintient l’exclusion des « données d’accès ». Il est essentiel que le futur règlement soit conforme à la jurisprudence la plus récente de la Cour de Justice de l’Union européenne (notamment C-746/18 – Prokuratuur) selon laquelle même l’accès à un petit sous-ensemble de données relatives au trafic peut fournir des informations précises sur la vie privées d’une personne et nécessite donc plus de protections.
Il devrait être obligatoire pour l’autorité d’exécution de donner son avis explicitement avant qu’un ordre de production puisse être exécuté. Cela éviterait les situations où il est trop tard pour l’autorité d’exécution de s’opposer à une commande car le prestataire de services a déjà transmis les données. Cela garantirait que tous les droits fondamentaux soient respectés avant d’avoir accès à l’identité de la personne. Car une fois que les autorités policières apprendront l’identité des manifestants, ils ne l’oublieront pas ou ne la supprimeront pas simplement parce que le transfert de données d’identification a été déclaré illégal.
*European Digital Rights, The European Magazine Media Association (EMMA), HOPE, Free Knowledge Advocacy Group EU, Committee to Protect Journalists, Wikimédia France, The Council of Bars and Law Societies of Europe (CCBE), European Newspaper Publishers’ Association (ENPA), IT-Political Association of Denmark (IT-Pol), European Broadcasting Union, VDZ (Association des éditeurs de magazines allemands), Deutscher Anwaltverein (Association du Barreau allemand), Fair Trials et le Comité permanent des médecins européens (CPME)