Données personnelles : un bouclier émoussé par Yahoo!
Données personnelles : un bouclier émoussé par Yahoo!
Par Damien Leloup
Le nouveau scandale qui touche le groupe américain montre qu’en matière de surveillance de masse, les Etats-Unis sont loin d’avoir fait amende honorable.
Promis-juré, on ne les y reprendrait plus : après les révélations du lanceur d’alerte Edward Snowden, en 2013, les Etats-Unis avaient assuré que la surveillance de masse d’Internet mise en place par leurs services de renseignement serait rapidement réformée.
En pratique, le cheminement a été plutôt tortueux : en 2015, Barack Obama signait une loi, le « Freedom Act », qui réformait légèrement les pratiques des services de renseignement – mais qui concernait surtout la protection des citoyens américains.
Ces mêmes Américains peuvent juger sur pièce de la portée de cette réforme : l’agence Reuters a révélé, mardi 4 octobre, que Yahoo!, l’un des principaux fournisseurs d’emails aux Etats-Unis, a mis en place, en 2015, un vaste système interne de surveillance de ses utilisateurs.
En pratique, une demande secrète d’un service de renseignement non identifié a contraint Yahoo! à créer un logiciel surveillant automatiquement l’apparition de certains mots-clefs ou identifiants dans les courriels de ses utilisateurs. Une décision prise, toujours selon Reuters, dans le plus grand secret : même le directeur de la sécurité informatique de l’entreprise n’était pas au courant. Il a démissionné lorsqu’il a découvert, fortuitement, que sa propre entreprise avait mis en place cet outil de surveillance de masse.
Aucune garantie concrète
Pourtant, les Etats-Unis ont continué à promettre, de manière toujours plus solennelle, que la surveillance de masse était désormais sous contrôle. Une affirmation réitérée de manière formelle lors des négociations sur l’accord Privacy Shield (« bouclier de la vie privée »), entré en vigueur en juillet 2016.
Ce texte, qui encadre les transferts et le stockage de données de citoyens européens vers les Etats-Unis, est le fruit de discussions menées tambour battant – l’accord précédent ayant été invalidé, à la surprise générale, par la Cour de justice de l’Union européenne (UE).
Les adversaires du Privacy Shield soutenaient notamment que les Etats-Unis n’avaient apporté aucune garantie concrète sur le fait que les citoyens européens seraient à l’abri des grandes oreilles de la National Security Agency (NSA) américaine.
Les régulateurs européens de la vie privée avaient par exemple déploré « que les autorités américaines n’aient pas apporté d’éléments suffisamment précis pour écarter la possibilité d’une surveillance massive et indiscriminée des données des citoyens européens ». Et pour cause.
Dire « non » à la NSA n’est pas simple
Yahoo! est-il un cas isolé ? D’autres géants américains ont-ils reçu l’ordre de placer leurs utilisateurs sous surveillance ? Google, Facebook ou Apple le nient – de manière bien plus forte que Yahoo!, qui a timidement démenti l’enquête de Reuters. Tout comme ces entreprises ont toujours nié avoir collaboré au programme PRISM de la NSA – un système qui donnait à l’agence américaine, selon ses propres documents internes, un « accès direct » aux données des utilisateurs.
L’ensemble des révélations d’Edward Snowden a montré que dire « non » à la NSA n’est pas simple – lorsque l’agence se heurte à un refus, elle utilise les considérables moyens technologiques dont elle dispose pour parvenir à ses fins.
Le scandale Yahoo! donne en tout cas de nouveaux arguments aux adversaires du Privacy Shield pour saisir les tribunaux. Plusieurs associations avaient indiqué vouloir contester, dès son adoption, le « bouclier » devant la Cour de justice de l’UE.