Dans une étude commandée par le Parlement européen sur les programmes de surveillance conduits par les Etats-Unis, en particulier Prism, la CNIL française est pointée du doigt au détour d'un chapitre. L'auteur du document, Caspar Bowden, chercheur indépendant, ancien conseiller de Microsoft sur les questions de protection de la vie privée, lui reproche d'avoir apporté son soutien à la mise en place de mécanismes de protection des données qui pouvaient en fait être contournés.

L'expert établit d'abord dans son étude un historique des programmes de surveillance américains (Echelon et Prism). Il revient sur la législation nationale des Etats-Unis (FISA -Foreign Intelligence Surveillance Act, Patriot act et FAA qui a amendé la FISA en 2008) et souligne les implications importantes de ces activités sur la souveraineté de l'Union européenne. « Par sa portée pratiquement sans limites, la FAA crée un pouvoir de surveillance des masses qui vise de manière sélective les données des citoyens des pays tiers vivant en dehors du territoire américain », peut-on lire dans le document en français.

Le cloud fragilise la protection des données

Caspar Bowden critique ensuite les mécanismes qui ont été mis en place par l'UE pour protéger les droits de ses citoyens après l'exportation de leurs données. Ceux-ci sont, selon lui, utilisés comme « autant d'échappatoires » et permettent ainsi la surveillance illégale, assène-t-il dans ses conclusions. Le chercheur missionné par la Commission LIBE (Libertés civiles, de la justice et des affaires intérieures) du Parlement européen trouve donc « plutôt surprenant » que ces mécanismes aient bénéficié du soutien du groupe de travail européen « article 29 » sur la protection des données (G29), du contrôleur européen de la protection des données (CEPD) et de la CNIL qui, rappelle-t-il, « a dirigé le travail d'élaboration de ces règles ».

Caspar Bowden met aussi en avant que le recours au cloud, en pleine croissance, « fragilise la protection des données » en échappant à la réglementation de l'UE sur la protection des données. L'expert formule plusieurs recommandations, dont la mise en place d'un secteur européen pour le cloud afin de réduire l'exposition des données des citoyens européens.

En octobre, la CNIL avait rappelé ses actions

Un mois avant la publication de cette étude, la CNIL avait pris les devants pour exposer ses actions et ses propositions. Elle rappelait en particulier qu'elle avait, dès le premier semestre 2013 (soit avant la révélation du scandale Prism), demandé un cadre réglementaire européen prévoyant que tout transfert de données de citoyens européens demandé par des Etats tiers soit subordonné à l'autorisation des pays d'appartenance de ces personnes. Elle souligne par ailleurs la nécessité d'un accord intergouvernemental.

La CNIL rappelait aussi que le G29 auquel elle participe avait saisi la Commission européenne au mois d'août et commencé une évaluation indépendante du programme Prism.