La commission des
libertés civiles, de la justice et des affaires
intérieures a adopté le rapport dinitiative de
Claude MORAES (S&D, UK) sur le programme de surveillance de la
NSA, les organismes de surveillance dans divers États membres
et les incidences sur les droits fondamentaux des citoyens
européens et sur la coopération transatlantique en
matière de justice et d'affaires intérieures.
Le rapport
considère qu'en comparaison des mesures prises par les
institutions européennes et par certains États membres,
le Parlement européen a pris très au sérieux son
obligation de faire la lumière sur les révélations
des pratiques non sélectives de surveillance de masse des
citoyens européens. Il a ainsi chargé sa commission des
libertés civiles, de la justice et des affaires
intérieures de mener une enquête approfondie sur la
question.
Principales
conclusions du rapport :
Les
députés estiment que les récentes
révélations faites dans la presse par des lanceurs
d'alerte et des journalistes, ainsi que les témoignages
d'experts recueillis pendant cette enquête, les aveux des
autorités et l'insuffisance de la réaction face à
ces allégations, ont permis d'obtenir des preuves
irréfutables de l'existence de systèmes vastes, complexes
et technologiquement très avancés conçus par les
services de renseignement des États-Unis et de certains
États membres dans le but de collecter, de stocker et
d'analyser les données de communication, y compris les
données de contenu, et les données et
métadonnées de localisation des citoyens du monde entier,
à une échelle sans précédent, sans aucun
discernement et sans se baser sur des soupçons.
Ils attirent plus
particulièrement l'attention sur :
- les programmes de
renseignement de la NSA permettant la surveillance de masse des
citoyens de l'Union européenne grâce à l'accès
direct aux serveurs centraux des grandes entreprises
américaines du secteur de l'internet (programme PRISM), à
l'analyse de contenus et de métadonnées (programme
Xkeyscore), au contournement du cryptage en ligne (BULLRUN), et
à l'accès aux réseaux informatiques et
téléphoniques et aux données de
localisation ;
- les systèmes
de l'agence de renseignement britannique GCHQ, notamment son
activité de surveillance en amont (programme Tempora),
etc.
Ils soulignent que
la confiance entre les deux partenaires transatlantiques a
été profondément mise à mal. Pour la restaurer,
il est indispensable d'adopter un plan d'intervention
immédiat et global prévoyant un ensemble de mesures
soumises au contrôle des citoyens.
Alors que plusieurs
gouvernements affirment que ces programmes de surveillance de masse
sont nécessaires à la lutte contre le terrorisme, les
députés considèrent que cela ne peut en aucun cas
justifier l'existence de programmes de surveillance de masse non
ciblés, secrets, voire illégaux. Le rapport réfute
l'idée selon laquelle toutes les questions liées aux
programmes de surveillance de masse relèveraient strictement
de la sécurité nationale et, dès lors, de l'unique
compétence des États membres. La discussion et
laction au niveau de l'Union européenne ne sont pas
seulement légitimes, elles sont nécessaires pour
l'autonomie de l'Union.
Les
députés demandent aux autorités américaines et
aux États membres de l'Union européenne d'interdire
les activités de surveillance de masse aveugle. Ils
invitent les États membres à :
- procéder
à un examen complet, et à la révision au besoin, de
leurs législations et pratiques régissant les
activités des services de renseignement, afin de s'assurer
qu'elles font l'objet d'un contrôle parlementaire et
judiciaire et sont soumises à la vigilance des
citoyens ;
- satisfaire
immédiatement à l'obligation qui leur incombe au titre de
la convention européenne des droits de l'homme de
protéger leurs citoyens des activités de surveillance
contraires aux dispositions de celle-ci, y compris lorsque ces
activités visent à garantir la sécurité
nationale, que ces activités soient réalisées par
des pays tiers ou par leurs propres services de
renseignement ;
- veiller à ce
que l'état de droit ne soit pas affaibli par l'application
extraterritoriale du droit d'un pays tiers.
La Commission est
quant à elle invitée à :
- réaliser,
avant juillet 2014, une évaluation de
l'applicabilité du règlement (CE) n° 2271/96
aux cas de conflits de législations lors de transferts de
données à caractère personnel ;
- présenter des
mesures prévoyant la suspension immédiate de sa
décision 2000/520/CE, qui déclare la pertinence de
la protection assurée par les principes de la "sphère de
sécurité". A ce sujet, les autorités des
États-Unis sont invitées à présenter une
proposition de nouveau cadre pour les transferts de données
à caractère personnel de l'Union européenne vers les
États-Unis, qui respecte les exigences de protection des
données de la législation de l'Union et garantisse un
degré de protection adéquat ;
- présenter
d'ici décembre 2014 une évaluation complète du
cadre américain en matière de respect de la vie
privée, portant sur les activités commerciales,
policières et de renseignement, ainsi que des recommandations
concrètes en l'absence de loi générale sur la
protection des données aux États-Unis ;
- travailler de
concert avec les autorités des États-Unis afin
d'établir un cadre juridique garantissant un degré
élevé de protection des personnes eu égard à la
protection de leurs données à caractère personnel
lorsqu'elles sont transférées aux États-Unis, et
à veiller à l'équivalence des cadres européen
et américain de respect de la vie privée ;
- effectuer, avant
fin 2014, une évaluation approfondie de l'accord en
matière d'entraide judiciaire existant ;
- réagir au
fait que trois des principaux systèmes informatisés de
réservation utilisés par les compagnies aériennes
partout dans le monde sont basés aux États-Unis et que
les données PNR sont sauvegardées dans des
systèmes en nuage opérant sur le sol américain et
régis par le droit américain, ce qui n'est pas conforme
aux dispositions en matière de pertinence de la protection des
données ;
- présenter,
avant décembre 2014, une proposition concernant une
procédure européenne d'habilitation de
sécurité pour l'ensemble des titulaires européens
d'une charge publique ;
- présenter une
proposition législative visant à interdire le recours aux
"portes dérobées" ("backdoors") par les services
répressifs ;
- présenter, en
janvier 2015 au plus tard, un plan d'action en vue de
renforcer l'indépendance de l'Union européenne dans le
secteur informatique, présentant une approche plus
cohérente pour renforcer les capacités technologiques
informatiques européennes (y compris systèmes,
équipement, services informatiques, informatique en nuage,
etc.) ;
- présenter,
avant décembre 2014, des propositions législatives
pour encourager les fabricants de logiciels et de matériel
à renforcer la sécurité et la vie privée en
incluant des fonctions par défaut dans leurs produits,
dès le stade de la conception. Ces propositions comprennent
également des mesures pour décourager la collecte
excessive et disproportionnée de données à
caractère personnel en masse et lintroduction dune
responsabilité légale pour les fabricants en cas de
vulnérabilités connues non corrigées, de produits
défectueux ou non sûrs, ou d'installation de portes
dérobées secrètes permettant d'accéder sans
autorisation aux données et de les traiter.
Les
députés demandent la création d'un groupe de haut
niveau qui proposerait, de manière transparente et en
collaboration avec les parlements, des recommandations et des
mesures pour :
- améliorer le
contrôle démocratique, y compris le contrôle
parlementaire, des services de renseignement ; et
- renforcer la
collaboration dans l'Union en matière de contrôle, en
particulier en ce qui concerne la dimension transfrontières de
cette collaboration.
Enfin, le rapport
propose de lancer un «habeas corpus numérique
européen protégeant les droits fondamentaux à
l'ère numérique», fondé sur huit actions et
s'appuyant sur un calendrier à respecter. Sa mise en
uvre inclut, entre autres :
- ladoption du
paquet relatif à la protection des données en 2014 ;
- la conclusion de
l'accord-cadre entre l'Union européenne et les États-Unis
garantissant le droit fondamental des citoyens au respect de la vie
privée et à la protection des données, et assurant
des mécanismes de recours adéquats aux citoyens
européens ;
- la suspension de
la "sphère de sécurité" jusqu'à ce qu'une
analyse complète de celle-ci soit effectuée et que ses
lacunes soient corrigées ;
- la suspension de
l'accord TFTP en attendant i) la conclusion des négociations
concernant l'accord-cadre; ii) la réalisation d'une
enquête approfondie sur la base d'une analyse européenne
et la prise en compte de l'ensemble des préoccupations
soulevées par le Parlement dans sa résolution
du 23 octobre 2013 ;
- le renforcement de
la protection des lanceurs d'alerte ;
- le
développement dune stratégie européenne en vue
d'une plus grande indépendance informatique.