Quando pensiamo ai cambiamenti epocali che la pandemia del COVID-19 ha apportato alle nostre vite, raramente tendiamo a includere nella lista anche il contact-tracing. Vuoi perché in Italia il dibattito sul tema è stato relativamente ridotto o riservato agli “addetti ai lavori”; vuoi perché meno radicale rispetto a misure senza dubbio più restrittive delle nostre libertà personali...

Source

Le 8 avril 2014, la Cour de justice de l’Union européenne (CJEU) annulait la directive européenne sur la conservation des données, elle qui exigeait la collecte en masse des données d’appel et de localisation de tout citoyen. Huit ans plus tard, la Commission européenne et les gouvernements de l’UE réfléchissent à la manière de maintenir ou de rétablir ces programmes de collecte en masse. Dans un avis juridique publié aujourd’hui, l’ancien juge européen et docteur en droit Prof. Vilenas Vadapalas estime que deux des systèmes de conservation des données les plus couram-ment utilisés ne sont “pas conformes à la jurisprudence de la CJEU et aux droits fondamen-taux”:

L’ancien juge réfute la conformité de la voie tentativement choisie par la France et le Danemark consistant à justifier cette conservation au nom d’une menace permanente planant sur le terri-toire créant un risque de sécurité nationale. De même, les plans de la Commission européenne et de la Belgique, visant à capturer la grande majorité de la population par le biais d’une vaste “ré-tention géographiquement ciblée” se font recaler à l’examen juridique.

“La collecte en masse d’informations sur les communications et les mouvements quotidiens de personnes non suspectes constitue une attaque sans précédent contre notre droit à la vie privée, et représente la méthode la plus invasive de surveillance de masse dirigée par l’État contre ses citoyens”, commente Patrick Breyer, membre du Parti pirate au Parlement européen et celui qui a commissionné l’avis juridique. “De plus, les résultats toujours anecdotiques de cette arme de surveillance sont loin d’être à la hauteur des dommages qu’elle inflige à nos sociétés, selon un sondage recent. La violation persistante des droits fondamentaux, le contournement récurent de la jurisprudence pourtant claire, les coups de pression exercés sur les juges et l’ignorance des faits constituent une attaque contre l’État de droit à laquelle nous devons mettre fin !”

Sécurité nationale : La surveillance de masse n’est pas une sinécure

Sous la pression massive des gouvernements de l’UE, la Cour de justice des Communautés européennes a autorisé les États membres à imposer une conservation générale des données de communication lorsque, exceptionnellement, elle est nécessaire pour contrer une menace actuelle ou prévisible pour la sécurité nationale, telle qu’une attaque terroriste. Le Conseil d’Ètat français a toutefois invoqué cette exception de manière permanente, en se basant sur les attentats passés en France, le risque général d’actions terroristes imprévues, ainsi que sur les risques d’espionnage et d’ingérence étrangère. La France a ainsi continué à imposer de manière permanente la conservation aveugle des données en s’appuyant sur cet arrêt.

Toutefois, selon l’avis juridique publié aujourd’hui, l’arrêt du tribunal français « manque de démontrer l’existence d’une menace spécifique pour la sécurité nationale, car … elle fait référence à un simple risque général de terrorisme et aux attentats passés. » « Je n’ai trouvé [dans cet arrêt du Conseil d’État] aucune preuve fournie quant à la préparation spécifique ou identifiée d’une future attaque en particulier, » déclare l’ancien juge européen, en concluant que « dans cette arrêt, la décision n’est donc pas conforme à la jurisprudence de la CJUE et aux droits fondamentaux.” Breyer commente :

“Ne serait-ce que ce qui concerne l’efficacité d’une telle mesure, aucune preuve n’a été fournie ; il n’est pas démontré que la conservation générale (non-ciblée) des données ait jamais empêché ne serait-ce qu’une seule attaque terroriste. Il est bon de rappeler que plusieurs attaques de ce type ont eu lieu en France alors que des obligations de conservation générale des données étaient en vigueur.”

En début de semaine, la CJUE a (dans son jugement concernant l’Irlande) également rejeté l’approche française consistant à justifier la conservation des données par des besoins de sécurité nationale, mais à accéder aux données à d’autres fins (les poursuites pénales).

“Conservation ciblée des données” : Les plans ignorent les droits des citoyens

Un document officieux secret de la Commission européenne, envoyé aux gouvernements des États membres le 10 juin 2021, mettait en avant diverses options pour rendre à nouveau obligatoire la conservation des données dans toute l’UE. L’ancien juge Vadapalas explique dans son avis juridique que plusieurs de ces propositions sont excessives et non conformes. Les propositions de “ciblage géographique […] peuvent conduire à imposer aux fournisseurs [d’opérateurs de communications électroniques] des obligations juridiques injustifiées de conservation des données relatives au trafic et à la localisation dans des zones géographiques très larges et indéfinies”.

Plus précisément :

1) La Commission et la Belgique proposent d’appliquer la conservation des données à toutes les personnes dans les zones où le taux de criminalité est supérieur à la moyenne. Étant donné que les villes ont tendance à avoir un taux de criminalité supérieur à la moyenne, cette approche pourrait exposer plus de 80 % de la population à la conservation des données. L’avis juridique estime que cette approche n’est pas autorisée et qu’il faut une “incidence élevée” de criminalité grave dans une zone pour justifier l’application de la conservation des données (et pas seulement un taux supérieur à la moyenne).

2) La Commission et la Belgique proposent d’appliquer la conservation des données à toutes les personnes se trouvant dans « un certain rayon autour des sites d’infrastructures critiques sensibles, des nœuds de transport, (…) des quartiers aisés, des lieux de culte, des écoles, des lieux culturels et sportifs, des rassemblements politiques et des sommets internationaux, des parlements, des tribunaux, des centres commerciaux, etc. » L’avis juridique estime que cette liste n’est pas conforme aux exigences légales et avertit qu’en appliquant ces critères, la conservation des données « peut même devenir générale et indiscriminée dans de vastes zones couvrant une grande partie du territoire et de l’infrastructure d’un État membre ». Parmi les sites énumérés par la Commission, seuls ceux qui « reçoivent régulièrement un très grand nombre de visiteurs » et sont « particulièrement vulnérables à la commission d’infractions pénales graves » peuvent être couverts. Il n’y a pas non plus de base légale pour couvrir un rayon autour de ces sites. Vadapalas alerte aussi que « les sites de culte et les rassemblements politiques accueillent notamment des activités particulièrement sensibles révélant la religion et l’opinion politique ».

3) La Commission propose aussi d’appliquer la conservation des données à tous les « associés » de suspects potentiels, sans avoir à vérifier que ces personnes représentent une menace spécifique de commettre des actes criminels graves. Cette proposition n’est simplement pas conforme à la jurisprudence de la CJUE et aux droits fondamentaux.

“La collecte générale et indiscriminée de données représente une attaque sans précédent contre notre droit à la vie privée et constitue la méthode la plus invasive de surveillance de masse”, répète Breyer. “La Commission européenne doit maintenant faire son travail et enfin commencer à faire respecter les décisions-clés de la CJUE, au lieu de comploter pour ramener la rétention des données.”

patrick-breyer.de/en/conservat…

EDPB accoglie con favore l’accordo di principio tra UE e USA

L’ European Data Protection Board ha adottato una dichiarazione con la quale accoglie con favore l’accordo di principio sul quadro transatlantico tra l’UE e USA. Andrea Jelinek ha affermato che il quadro proposto per i flussi di dati e “l’impegno delle massime autorità statunitensi a stabilire” ‘misure” è “un primo passo positivo”.

The EDPB welcomes the announcement of a political agreement in principle between the European Commission and the United States on 25 March on a new Trans-Atlantic Data Privacy Framework. This announcement is made at a time where transfers from the European Economic Area to the U.S. face
significant challenges.

edpb.europa.eu/our-work-tools/…

Il Parlamento Europeo approva la legge sulla governance dei dati

Il Parlamento europeo ha votato per l’approvazione della proposta di legge sulla governance dei dati. La normativa mira a fornire alle aziende e alle startup un migliore accesso a più dati allo scopo di sviluppare nuovi prodotti e servizi. “I dati hanno valore solo se sono aggregati, perfezionati e utilizzati nel modo giusto”, ha affermato il membro del Parlamento europeo tedesco Angelika Niebler. La proposta necessita dell’approvazione finale del Consiglio dell’Unione Europea prima di diventare legge.

New EU data sharing legislation will stimulate innovation and help start-ups and businesses use big data. With immense possibilities in areas from farming to health, big data can play a key role in the EU’s digital transformation. The Data Governance Act, adopted by Parliament on 6 April 2022, aims to boost data sharing in the EU, so that companies and start-ups will have access to more data that they can use to develop new products and services. Access to big data is crucial to exploiting the potential of artificial intelligence.

europarl.europa.eu/news/en/hea…

Lettonia DSI pubblica una guida sui cookie

L’ispettorato statale dei dati della Lettonia ha pubblicato una guida sull’uso dei cookie. La guida descrive i tipi di cookie, i dati personali trattati. Il DSI ha affermato che la guida è rilevante per i cittadini e i responsabili del trattamento che trattano quotidianamente i dati personali sui loro siti Web. Il DSI ha esortato gli utenti a leggere le politiche sui cookie e sulla privacy, affermando che l’assenza di una politica sui cookie o dove trovarla “è già essere la prima indicazione di un trattamento inappropriato dei dati”.

Latvia’s Data State Inspectorate published guidance on the use of cookies by merchants providing goods or services. The guidance describes types of cookies, personal data processed. The DSI said the guidance is relevant for citizens and controllers processing personal data on their websites daily. .

dvi.gov.lv/lv/jaunums/dviskaid…

guidoscorza.it/privacy-daily-8…

On 8 April 2014 the European Court of Justice annulled the EU Data Retention Directive which required the bulk collection of any citizens call detail records and location. 8 years later EU Commission and EU governments are scheming how to maintain or restore bulk collection programmes. In a legal opinion published today former EU Judge Prof. Dr. iur. Vilenas Vadapalas finds that two of the most commonly used data retention schemes are “not in line with the ECJ case-law and fundamental rights”:

The French and Danish attempt to justify indiscriminate retention of telephone calling records and location data by claiming a permanent threat to national security is dismissed. Likewise plans of the EU Commission and Belgium to capture the vast majority of the population by way of extensive “geographically targeted retention” fails legal scrutiny.

“The bulk collection of information on non-suspects everyday communications and movements constitutes an unprecedented attack on our right to privacy and is the most invasive method of mass surveillance directed against the state’s own citizens”, comments Patrick Breyer, Pirate Party Member of the European Parliament who commissioned the legal opinion. “The anecdotal results are nowhere close to the damage this surveillance weapon inflicts on our societies, as a recent survey found. The persistent violation of fundamental rights, circumvention of case-law, pressuring of judges and ignorance of facts is an attack on the rule of law we need to stop!”

National Security: No Free Ride for Mass Surveillance

Under massive pressure by EU governments, the European Court of Justice allowed Member States to impose general and indiscriminate retention of all call detail records and location data only where exceptionally needed to counter a present of foreseeable threat to national security, such as a terrorist attack. A French administrative court (Conseil d’Etat) however invoked this exception permanently, pointing to the general risk of terrorism and past attacks in France as well as espionage and foreign interference. France has continued permanently imposing indiscriminate data retention by relying on this ruling.

According to the legal opinion however, the French court’s decision “fails to demonstrate a specific threat to national security because … it refers to a mere general risk of terrorism and past attacks in France. I did not find any evidence given for the specific or identified preparation of a specific future attack. Insofar, the Decision is not in line with the ECJ case-law and fundamental rights.” Breyer comments:

“We are yet to see evidence that untargeted data retention ever prevented even a single terrorist attack. The fact that several such attacks have taken place in France with blanket retention requirements in place does not support this assumption. Setting this issue aside, it is difficult to imagine that a specific terrorist threat could not be countered by means of targeted retention.”

Earlier this week the Court of Justice already dismissed the French approach to justify data retention with national security needs but access the data for other purposes (prosecution of crime).

“Targeted” data retention: Plans violate citizen’s fundamental rights

A secret EU Commission non-paper dated 10 June 2021 suggests to Member State governments a variety of options to making data retention mandatory throughout the EU once again. Several of these proposals are excessive and non-compliant, the legal opinion explains. The proposals for “geographical targeting … may lead to imposing unjustified legal obligations on providers to retain traffic and location data in very broad and indefinite geographic areas”.

More specifically:

1) The Commission proposes to apply data retention to all persons in areas with (even slightly) above average crime rates. Since cities tend to have an above-average crime rate, this approach could expose more than 80% of the population to data retention. The legal opinion finds that this approach is not permitted and a “high” (not just above average) incidence of serious crime in an area is required to justify applying data retention.

2) The Commission proposes to apply data retention to all persons within “a certain radius around sensitive critical infrastructure sites, transport hubs, (…) affluent neighbourhoods, places of worship, schools, cultural and sports venues, political gatherings and international summits, houses of parliament, law courts, shopping malls etc.” The legal opinion finds that this list does not comply to legal requirements and warns that by applying these criteria data retention “may even become general and indiscriminate in broad areas covering a big part of the territory and the infrastructure of a Member State”. Among the sites listed by the Comission only those which “regularly receive a very high volume of visitors” and are “particularly vulnerable to the commission of serious criminal offences” may be covered. There is also no legal basis for covering a radius around those sites. And Prof. Dr. iur. Vilenas Vadapalas warns that “especially the sites of worship and political gatherings host particularly sensitive activities revealing religion and political opinion”.

3) The Commission proposes to apply data retention to all “associates” of potential suspects, without requiring to verify that such persons represent a specific threat of committing serious criminal acts. This is not in line with the ECJ case-law and fundamental rights.

Breyer concludes:

“The EU Commission now finally needs to do its job and start enforcing the landmark rulings, instead of plotting to bring back data retention.”

patrick-breyer.de/en/comeback-…

🕵️‍♂️ You heard of illegal data processing and want to share your knowledge?

👥 Stay anonymous, and drop documents with noyb via SecureDrop! 🔐💧

Find out more on noyb.eu/@noybeu.rss!
▶ noyb.eu/en/securedrop

mastodon.social/@noybeu/108090…