Le 26 octobre, l’ensemble du Parlement européen a décidé de clore les débats sur le règlement ePrivacy. Sa position est donc celle arrêtée le 19 octobre par sa commission d’examen principale. Le texte sera désormais débattu entre les gouvernements des États européens et des représentants du Parlement, qui tenteront de s’entendre sur une version commune. Faisons le bilan de l’étape qui vient de prendre fin.
Un départ alarmant
La protection des nos communications électroniques est actuellement assurée par la directive ePrivacy de 2002. Elle exige notre consentement pour l’analyse de nos communications, mais ne s’impose toutefois qu’aux opérateurs de téléphonie et d’Internet.
L’an dernier, la Commission européenne a annoncé souhaiter réformer cette directive. Son idée était notamment d’étendre le champ de la directive ePrivacy à tout type de prestataire de communications électroniques : opérateurs de télécommunications, mais aussi fournisseur de courriels (Gmail par exemple) et de messagerie instantanée (comme Whatsapp). Cette ambition était enthousiasmante et déclenchait naturellement l’opposition des nouvelles entreprises visées (voir les recommandations que nous publions alors).
Toutefois, le projet de règlement ePrivacy finalement proposé par la Commission en janvier dernier prévoyait aussi de supprimer de nombreuses protections que nous offre le droit actuel (voir l’analyse détaillée que nous en faisions) :
- nos téléphones pourraient être tracés par des magasins ou des villes sans notre consentement, pour n’importe quelle finalité ;
- nos activités en ligne pourraient être tracées sans notre consentement pour « mesurer des résultats d’audience sur le Web » ;
- les sites Internet pourrait bloquer leur accès aux internautes refusant d’y être tracés.
Cet alarmant projet de règlement a été remis au Parlement européen, libre de le modifier, pour le meilleur comme pour le pire (lire les recommandations que nous adressions alors aux députés).
Un lobbying féroce
Le règlement ePrivacy affectera de nombreuses acteurs aussi puissants que divers (voir leurs positions recensées sur notre wiki). Chacun y trouve un intérêt à affaiblir nos droits fondamentaux :
- les opérateurs de télécommunications voient dans la réforme d’ePrivacy l’occasion d’autoriser l’analyse de nos communications sans notre consentement, ce qui leur créerait une nouvelle manne économique considérable ;
- les autres fournisseurs de communications (courriel et autres) ne veulent pas être soumis à l’exigence de consentement actuellement imposée aux seuls opérateurs, celle-ci remettant en cause leur modèle économique fondé sur la surveillance de leurs utilisateurs à des fins publicitaires ;
- les entreprises de publicité en ligne voient dans la réforme d’ePrivacy l’occasion d’autoriser le traçage sans consentement de tous les internautes, ce qui ouvrirait en grand les vannes de la surveillance économique généralisée ;
- les grands éditeurs de presse, ayant entièrement renoncé à leur modèle économique traditionnel (le seul capable de produire une information de qualité), sont aujourd’hui pieds et mains liés à leurs clients (les entreprises de publicité) et contraints de défendre les intérêts de ces derniers (contre l’intérêt de la presse, comme nous l’avons déjà expliqué) ;
- les gouvernements européens ont tout intérêt à ce que les entreprises (volontairement ou non) surveillent pour leur compte l’ensemble de la population, afin de mettre en œuvre les mesures de surveillances les plus autoritaires, dont ils ne cachent même plus la violence.
La volonté commune qu’ont ces acteurs de détruire nos droits fondamentaux a été servilement exécutée par de nombreux députés européens (principalement de droite) dans les amendements qu’ils ont déposés (analysés ici, en anglais) et dans les avis qu’ils ont fait adoptés par le Parlement ces derniers mois (dénoncés là).
La situation semblait donc critique (nous adaptions notre position en publiant de nouvelles recommandations).
Le rôle décisif de la commission LIBE
Le règlement a été examiné par différentes commissions d’examen du Parlement, mais c’est la commission LIBE (« liberté civile ») qui devait avoir le dernier mot et arrêter la position du Parlement. La députée Marju Lauristin a été nommée pour conduire les débats au sein de cette commission. Elle appartient au groupe politique S&D, qui regroupe en Europe des partis similaires à feu le Parti Socialiste français.
La vision générale qu’a Mme Lauristin de la vie privée ne semble pas très éloignée de celle de La Quadrature du Net. Mais les visions idéologiques ont la vie dure en politique ! Et pour cause : plutôt que de défendre ses positions de façon intransigeante, l’objectif constant de Mme Lauristin a été de trouver un compromis avec les groupes de droite. La raison de cet objectif désastreux se trouve dans les règles de procédure du Parlement.
La règle perverse du trilogue
En principe, toute nouvelle norme créée par l’UE ne peut être adoptée que si le Parlement européen et les gouvernements de États membres (qui négocient au sein du Conseil de l’UE) se mettent d’accord sur un texte identique — ce qui peut prendre du temps et plusieurs lectures par institution.
Pour gagner du temps, les règles de procédure du Parlement prévoient ce qui suit : une commission d’examen (constituée d’une soixantaines de députées) arrête, seule, la position du Parlement et dispose d’un mandat pour négocier avec le Conseil de l’UE, au nom de l’ensemble du Parlement, afin de trouver un texte commun.
Cette négociation est appelé « trilogue » (qui brille d’ailleurs par son absence totale de transparence, privant radicalement la population de toute possibilité de prendre part aux débats). Lorsque le trilogue aboutit à un consensus, il ne reste plus qu’au Parlement et au Conseil qu’à adopter le texte de compromis par un vote formel.
Ceci est le déroulement classique. Le règlement du Parlement prévoit que, en principe, le mandat donné à la commission d’examen pour négocier avec le Conseil en trilogue est automatique. Toutefois, un groupe politique peut s’opposer au trilogue en exigeant que le mandat soit soumis au vote de l’ensemble du Parlement. Si le mandat est rejeté, le texte adopté par la commission d’examen n’est plus considéré comme la position du Parlement. Il est renvoyé devant l’ensemble du Parlement qui, en séance plénière, peut le modifier entièrement (voir l’article 69 quater du règlement intérieur du Parlement).
Un compromis impossible
C’est ce « risque » d’aller en plénière que Mme Lauristin redoutait : si le texte adopté en commission LIBE ne convenait pas aux groupes de droite, ceux-ci s’opposeraient à son mandat. Or, Mme Lauristin pensait que, si le texte était soumis à l’ensemble des députés, nombre d’entre eux n’auraient pas (ou ne prendraient pas) le temps de l’examiner dans le détail et se laisseraient massivement convaincre par le lobbying particulièrement féroce qui était à l’œuvre.
Mme Lauristin était donc prête à faire avec la droite de nombreux compromis, dans la mesure où elle jugeait ces compromis « moins pires » que le texte qui serait adopté en plénière si son mandat lui était refusé.
La Quadrature du Net s’est frontalement opposée à cette logique. D’abord, par principe, on ne défend pas les libertés fondamentales en bridant des débats parlementaires. De plus, dans ce cas précis, les compromis que Mme Lauristin était prête à faire s’attaquaient si frontalement à nos droits que les accepter pour éviter « le pire » ne faisait plus aucun sens (voir notre article d’interpellation, en anglais).
La députée n’essayait plus de corriger toutes les atteintes à nos droits proposées par la Commission européenne en janvier dernier. Plus grave, elle s’apprêtait à autoriser l’exploitation des métadonnées de nos communications sans notre consentement (en contradiction totale du droit actuel, mais en parfaite conformité des souhaits exprimés par les géant de l’Internet et des opérateurs oligopolistiques, repris par la droite).
Un réveil salutaire
C’est à ce moment que l’intervention de la population a été la plus décisive pour défendre nos droits. Portée par les nombreux « coups de pression » individuels qui étaient venus de toute l’Europe (par mails, appels ou interpellations publiques des députés, dans le cadre notamment de notre campagne ePrivacy), La Quadrature du Net, rejointe par les associations Acces Now et EDRi, a entrepris de briser cette absurde tentative de compromis avec la droite.
Ces trois associations ont expliqué aux députés de la commission LIBE que, si leurs compromis autorisaient une surveillance aussi grave que celle alors débattue, elles s’opposeraient tout simplement à l’ensemble du règlement ePrivacy. Elles exigeraient que le texte soit rejeté et que, faute de mieux, le droit reste dans son état actuel.
Ce coup de pied dans la fourmilière a suffit, par effet de domino, à remettre la situation en ordre. Les députés les plus à gauche, Jan Philipp Albrecht (Vert) en tête, ont retrouvé le courage qui leur manquait jusqu’ici. Mme Lauristin a dû retirer des négociations les compromis les plus graves (principalement ceux concernant l’analyse des métadonnées).
Quelques députés de droite se sont révélés prêts à suivre Mme Lauristin, provoquant le réveil de la majorité des autres députés de droite, qui souhaitaient défendre l’intérêt des entreprises sans aucune concession. Le débat s’étant re-polarisé, l’impossibilité d’établir un compromis trans-partisan s’est enfin révélée. Les négociations générales ont pris fin (nous nous en réjouissions ici, en anglais).
Une occasion manquée
Mme Lauristin avait enfin les mains libres pour améliorer le texte, les députés prêts à la suivre étant légèrement majoritaire au sein de la commission LIBE. Mais elle craignait trop de perdre cette majorité. De plus, désormais, les groupes pro-industries remettraient manifestement en cause son mandat devant l’ensemble du Parlement, ce qu’elle voulait toujours éviter. Elle craignait qu’en allant « trop loin » dans la défense de nos droits contres des intérêts économiques dangereux et insensés, l’ensemble du Parlement refuserait de lui donner son mandat et que le texte aille en plénière.
Elle s’est donc contentée de retirer du texte les derniers compromis proposés à la droite, sans rien changer de plus. Notamment, les deux dispositions les plus graves proposées par la Commission européenne en janvier (traçage des téléphones et traçage sur Internet pour mesurer l’audience) n’ont été qu’à peine encadrées alors qu’elles auraient du être simplement suppriméesL’article 8, paragraphe 1, point d, et paragraphe 2a du rapport LIBE limitent le pistage de nos téléphones et de nos activités en ligne à la seule réalisation de statistiques supposées n’agréger que des informations anonymes. Cette nouvelle limitation n’est en rien satisfaisante : il est particulièrement risqué d’autoriser la constructions de bases de données anonymes dès lors que, techniquement, personne ne peut prédire si une donnée aujourd’hui anonyme ne pourra être réutilisée demain de sorte à être désanonymisée ou pour réaliser de la surveillance de masse. En effet, à ce dernier égard, dans la mesure où les statistiques pourraient couvrir l’ensemble de la population et de ses activités sans être toutefois rendues publiques, elles offriraient à ceux qui y ont accès des informations particulièrement détaillées sur la population que celle-ci ignore elle-même, créant un déséquilibre du savoir considérable, propice à des politiques de régulation de masse parfaitement contraires à tout idéal démocratique. La publication des ces statistiques n’empêcherait d’ailleurs pas à elle seule des pratiques de surveillance (et donc de régulation) des individus à grande échelle, pour des finalités opposées à l’intérêt collectif. Enfin, si toutes les statistiques produites étaient légitimes, il n’y aurait aucune raison de craindre que la population refuse d’y consentir : contourner le consentement des personnes n’est utile que pour poursuivre des finalités illégitimes — finalités que la population refuserait si elle était consultée..
C’est cette version du texte qui a été adoptée par la commission LIBE le 19 octobre (à 31 voix contre 25). Nous dénoncions alors amèrement que les députés disant lutter pour notre vie privée aient échoué à le faire entièrement.
Des avancées importantes
Toutefois, heureusement et en dépit de cette occasion manquée, le texte avait intégré au cours des mois précédents de nombreuses avancées proposées par des associations de défense des libertés, certaines institutions ou les députés européens les plus attentifs à nos droits. Le texte adopté par la commission LIBE prévoit six mesures déterminantes :
- aucun internaute ne pourra se voir refuser l’accès à un site au seul motif qu’il a refusé d’y être tracéVoir l’article 8, paragraphe 1a du rapport LIBE. (contrairement à ce que la proposition initiale de la Commission européenne pouvait laisser entendre) ;
- les fournisseurs de communications (téléphone, FAI, email, discussions instantanées) devront garantir la confidentialité des communications par les méthodes techniques adéquates du niveau de l’état de l’art, étant explicitement visé le chiffrement de bout en bout, et aucune loi nationale ne pourra les contraindre à utiliser une méthode plus faible (tel le chiffrement de point à point) ou d’introduire des backdoorsVoir l’article 17 du rapport LIBE. ;
- les fournisseurs de communications ne pourront être contraints de collaborer avec les États que pour lutter contre les crimes graves et les atteintes à la sécurité publique (ces finalités sont toujours beaucoup trop larges mais, au moins, écartent d’autres finalités inadmissibles qui autorisent aujourd’hui la surveillance étatique, telles que la défense des intérêts économiques d’un État ou la défense des droits de particuliers, tel que le droit d’auteur)Voir les articles 11a et 11b du rapport LIBE. ;
- les entreprises partageant des informations avec des autorités publiques devront le documenter dans des rapports publics (indiquant le nombre, les finalités et les auteurs des demandes d’information, les types de données transmises et le nombre de personnes affectées)Voir l’article 11c du rapport LIBE. ;
- par défaut, les navigateurs Web devront être configurés pour fonctionner comme certains bloqueurs de publicité (empêcher l’affichage de contenus et les tentatives de traçage provenant d’entités tierces au site consulté par l’utilisateur)Voir l’article 10, paragraphe 1, point a du rapport LIBE. ;
- nos communications seront toutes protégées de la même façon, quel que soit le lieu d’où elles sont envoyées (le droit actuel protège peu les communications envoyées depuis un réseau qui n’est pas « accessible au public », tel qu’un réseau d’entreprise ou universitaire)Voir l’article 4, paragraphe 3, point -aa du rapport LIBE, à opposer au champ de l’article 5 de l’actuelle directive ePrivacy..
La lutte à venir
L’ensemble du Parlement a été saisi par les groupes de droite pour décider de donner ou non à Mme Lauristin son mandat pour débattre de ce texte en trilogue. Le 26 octobre, le Parlement l’a accepté, à 318 voix contre 280, faisant ainsi sien le texte adopté en LIBE et marquant la fin des débats parlementaires.
Ce sont désormais aux gouvernements d’arrêter entre eux une position commune au cours des mois à venir. Ce n’est qu’ensuite que les négociations en trilogue pourront commencer (Mme Lauristin sera alors remplacée par une autre députée de son même groupe politique, Birgit Sippel).
Le rôle de la France sera ici déterminant : nous reviendrons bientôt en détail sur ses positions actuelles et sur l’action que nous devrons collectivement exercer pour défendre nos droits fondamentaux.