Alerter les lanceurs d'alerte

Médiapart s'est associé avec le site US " The Signals " dont l'implantation en Californie interpelle très sérieusement sur la pertinence d'une telle association en matière de protection des données personnelles, en considération du Cloud Act qui permet de contourner le RGPD, de connaître l'identité des lanceurs d'alerte et les poursuivre.

Médiapart publie un article pour rassurer les lanceurs d'alerte : Mieux défendre les lanceurs d’alerte: le nouveau projet de Mediapart

Cela part d'une bonne intention. A première vue, c'est super.

Mais voilà, juridiquement, cela risque de ne pas l'être du tout et se résumer à exposer un " lanceur d'alerte " à des poursuites US par l'effet de l'adoption du Cloud Act qui contourne le RGPD européen.

Le Cloud Act permet à l'administration et la justice US de réclamer et de se faire transmettre toutes les données dès lors qu'il y a un lien avec les USA :

Surveillance numérique : le Cloud Act américain rend légale la saisie administrative des données à l'étranger

Le Cloud Act porte donc à s'interroger très sérieusement si ce n'est pas une erreur de s'associer avec une fondation dont le siège est en Californie. Cela risque d'exposer inconsidérément la sécurité de ceux qui penseraient - à tort ? - être protégés.

Comme l'explique Médiapart, " The Signals " est une fondation US installée en Californie.

Une fondation américaine relève nécessairement du droit US selon le Cloud Act. Ce lien menace donc tous ceux qui y participent et les informations qu'ils confieront, puisque la confidentialité des données personnelles n'est pas opposable, y compris pour ceux qui sont en Europe.

Le " lanceur d'alerte " n'a donc plus aucune garantie - ni aucun des médias associés - au regard du Cloud Act.

Les participants s'exposent aux poursuites US et la protection du RGPD est battue en brèche dans leur propre pays.

Les Etats échangent entre eux des informations et qu'il sera possible à n'importe lequel d'entre eux de solliciter une entraide judiciaire aux USA pour que ceux-ci - par l'effet du Cloud Act - leur renvoient les informations demandées.

Au delà des données personnelles, des " lanceurs d'alerte ", c'est le travail des journalistes européens et la protection des sources qui risquent aussi d'être menacés.

Les pouvoirs publics ne savent pas y résister :

L'Etat espionne les journalistes

Loi renseignement : le gouvernement verrouille le dispositif de recours

Il est donc assez étonnant que des organes de presse européens soient incapables de faire quelque chose d'efficace entre eux sur le sol européen.

Pourquoi sont-ils allés chercher un cheval de Troyes juridique US pour contourner le droit de l'Union et le RGPD et risquer ainsi de soumettre toutes les informations à la compétence extraterritoriale des institutions répressives US, susceptibles ensuite d'informer leurs homologues européennes ?

Il n'est pas difficile d'imaginer plus efficace en matière de protection des données. Comme s'il n'existait pas un pays européen pour accueillir ce projet hors de tout lien avec les USA et le Cloud Act ? Un résident US suffit à faire le lien.

Les USA ont une législation très moyenne en matière de protection des données, plus faible que celle de l'Argentine, selon la CNIL.

L'incohérence de s'associer avec " The Signals " ne serait pas trop grave si cette association de médias n'appelait pas les " lanceurs d'alerte " à lui faire confiance et donc à se dévoiler, au risque d'être poursuivis.

Julian Assange et d'Edward Snowden donnent une idée de l'âpreté des poursuites et de la capacité de nuisance de l'administration US contre un " lanceur d'alerte ".

Je me trompe peut-être, mais dans l'incertitude je permets d'alerter sur ce risque et d'interpeller sur la nécessité de reconsidérer une telle association.

 

Prolonger :

Règlement général de la protection des données : l’après 25 mai 2018 Par Olivia Tambou le 25 Mai 2018

Aujourd’hui, le Règlement général de la protection des données (RGPD) devient applicable dans les 28 États membres de l’Union européenne.

https://www.avocats-mathias.com/cyberespace/cloud-act-enjeux-juridiques-europ

Le film ANON

CNIL : La protection des données dans le monde

Dans quel pays transférer des données personnelles et à quelles conditions ? Quel pays dispose d’une législation spécifique ou d’une autorité de protection des données personnelles ?

Bure: des voix s’élèvent contre la fabrication d’une «nouvelle affaire Tarnac» Par Jade Lindgaard

 

 

 

Le Club est l'espace de libre expression des abonnés de Mediapart. Ses contenus n'engagent pas la rédaction.