10 ans après Snowden, qu'en est-il de la protection de données ?

Les révélations d’Edward Snowden concernant la surveillance massive et indiscriminée ont 10 ans. Quel impact sur des lois de protection de données ?

Edward Snowden a été un agent de la CIA (Central Inteliigence Agency) et un consultant de la NSA (National Security Agency). Ses révélations initiales concernant la surveillance qualifiée de « massive, automatique et indiscrimée » ont été rendues publiques par le Guardian.

Elles ont 10 ans en ce mois de juin 2023. Qu’en est-il de législations sur la surveillance et la protection de données à caractère personnel entrées en vigueur depuis ?

En 2015, les Etats-Unis adoptent le USA Freedom Act qui limite certains « pouvoirs de surveillance » d’agences fédérales de renseignement, dont la NSA incriminée en 2013 par Edward Snowden. Cependant, des dispositions du Patriot Act, dont l’obtention de l’intégralité de métadonnées téléphoniques de clients à des fins de lutte contre le terrorisme, sont maintenues. Le CCPA (California Consumer Privacy Act), lui, est entré en vigueur en 2020.

RGPD et (dés)accords transatlantiques

En 2016, le Royaume-Uni adopte la loi sur les pouvoirs d’investigation de la police et des services de renseignement (Investigatory Powers Act), également connue sous le nom de loi sur la surveillance de masse. Aussi, s’annonce la législation UE de protection de données.

Mais c’est en 2018 que le Règlement général sur la protection des données (RGPD) entre en vigeur dans l’Union européenne. Celui-ci vise « à mieux encadrer le traitement des données et s’impose à « toute structure privée ou publique effectuant de la collecte et/ou du traitement de données sur le territoire de l’Union européenne ou à l’attention de ses résidents. »

(E. Snowden en image © EQRoy | Shutterstock)

On pense aussi à l’invalidation du Safe Harbor, puis du Privacy Shield. Ici, l’activiste autrichien Max Schrems et ses soutiens se sont opposés au transfert de données de citoyens européens vers la maison mère de grands groupes, dans la mesure où les États-Unis n’en assureraient pas une protection adéquate face à l’espionnage de masse tel que révélé par Snowden.

Aujourd’hui, Meta et d’autres groupes technologiques veulent croire que le successeur du Privacy Shield, soit le nouveau cadre légal du transfert de données à caratère personnel de l’UE vers les États-Unis, améliore les relations commerciales. L’accord de principe que Bruxelles et Washington ont conclu en mars 2022, pourrait entrer en vigueur d’ici juillet 2023.

Pas de quoi rassurer l’ancien agent du renseignement américain.

Intelligence artificielle, reconnaissance faciale, vidéosurveillance… Aujourd’hui, Edward Snowden se dit inquiet des moyens toujours plus sophistiqués dont disposent les États et les acteurs privés de la Big Tech. « La technologie est devenue extrêmement influente », a-t-il déclaré dans les colonnes du Guardian. « Si nous réfléchissons à ce que nous avons vu en 2013 et aux capacités des gouvernements aujourd’hui, 2013 n’a été qu’un jeu d’enfant. »

Lire aussi : RGPD : la CNIL face aux spécificités des IA