« L'UE détourne le regard face à la surveillance de masse d'Israël »

Cette décision ne fait pas que souligner les contradictions dans la politique internationale de l’Union européenne, et son curieux mépris pour le Règlement Général sur la Protection des Données, elle rappelle aussi comment Israël fait usage d’outils de surveillance de masse sur les citoyens palestiniens à des fins répressives. L’interview de Marwa Fatafta s’inscrit dans la continuité de celle d’Antony Loewenstein réalisée il y a quelques mois.

« Ce qu’il se passe en Palestine ne reste pas en Palestine. »

Thomas Le Bonniec (Élucid) : Access Now et plusieurs autres organisations ont publié une lettre ouverte le 22 avril dernier, appelant la Commission européenne à réviser la « décision d’adéquation » pour le transfert de données entre l’UE et Israël, qui date de janvier 2024, c’est bien cela ?

Marwa Fatafta : Cette décision remonte en fait à 2011. C’était la première décision d’adéquation prise par la Commission européenne qui, pour simplifier, signifie qu’Israël est reconnu comme ayant le même degré de protection des données que l’Union européenne. Par conséquent, cette dernière peut autoriser la circulation libre de données, y compris personnelles, entre Israël et l’UE sans protections supplémentaires.

Plus récemment, en janvier, la Commission a confirmé cette décision d’adéquation après une révision au prisme du Règlement Général sur la Protection des Données (RGPD), pas seulement pour Israël, mais aussi pour un certain nombre d’autres pays avec un statut similaire. Et c’est en réponse à cela qu’Access Now, EDRI [European Digital Rights Initative] et plusieurs autres organisations de défense des droits humains, ont écrit à la Commission pour remettre en question la validité de cette décision pour plusieurs raisons. Certaines sont liées à la doctrine de l’UE, et d’autres sont liées aux agissements du gouvernement israélien, que ce soit au sein des frontières d’Israël ou bien dans les territoires occupés.

Élucid : Sur quels fondements vous basez-vous pour remettre en question l’idée qu’Israël dispose d’un système adéquat de protection des données personnelles ?

Marwa Fatafta : Il y en a plusieurs. Nous les détaillons précisément dans la lettre. L’un d’eux concerne la procédure en elle-même : les contributions de la part de la société civile ne sont pas connues. Le deuxième porte sur la manière dont cette décision contredit la doctrine de « différentiation » de l’Union européenne, qui fait une distinction entre l’État d’Israël au sein de ses frontières de 1967 et les territoires qu’il occupe, y compris Jérusalem-Est et les Hauts du Golan, tous deux annexés illégalement. Alors que cette décision concerne seulement Israël, cette distinction n'est pas clairement explicitée.

Et pour cause : Israël considère que Jérusalem-Est et les hauts du Golan font partie de son territoire. Et Tel-Aviv ne reconnaît pas le droit international et ses obligations humanitaires en Cisjordanie et à Gaza. Les garanties relatives à la protection des données ne s’appliquent pas aux Palestiniens sur ces territoires. Donc en somme, Israël ne traite pas les transferts supplémentaires de données (y compris européennes) vers les territoires occupés comme se faisant en direction de pays tiers.

Mais d’après le RGPD, tout transfert de données en dehors des frontières reconnues par l’UE devrait être considéré comme un transfert supplémentaire. Qui nécessiterait des garanties similaires au RGPD. Ce qui veut dire que, pour pouvoir affirmer qu’Israël dispose des garanties attendues par l’UE, son gouvernement doit également fournir des garanties similaires pour des transferts extérieurs. Ce qui inclurait la collecte et le transfert de données pour Jérusalem-Est, les hauts du Golan, la Cisjordanie et Gaza.

Il y a également des inquiétudes autour de l’État de droit en Israël, qui a finalement poussé la Commission à suspendre sa décision temporairement. Car elle ne tient pas compte des pouvoirs excessifs de l’appareil de sécurité nationale israélien ni de leurs opérations de surveillance et de collecte massive de données – qui ne sont pas alignées sur les standards de proportionnalité et de nécessité promues par le RGPD.

Donc il y a une contradiction fondamentale entre la doctrine de l’UE et cette décision ?

Exactement.

Pour la troisième fois, un accord de transfert de données a été signé entre les États-Unis et l’UE en juillet 2023. Les opposants à cet accord, dont Max Schrems et son association, Noyb, affirment que cet accord n’a pas de sens. Peut-être qu’il ne s’agit pas de la seule occasion où la Commission européenne prend une décision défaillante par rapport aux exigences du RGPD ?

En tant qu’organisation, nous avons travaillé sur Schrems I et Schrems II [décisions de la Cour de justice de l’UE qui ont annulé le premier et second accord de transfert de données]. Pour ce que j’en comprends, ces accords sont tombés précisément parce que les États-Unis n’offraient pas de garanties suffisantes quant à la protection des données.

« La décision de la Commission ignore complètement les opérations invasives et massives de surveillance menées par Israël à l'encontre des Palestiniens. »

Edward Snowden disait, en 2014, que les États-Unis transféraient les données issues des communications entre Palestiniens-Américains et leurs proches dans les territoires occupés à des agences de renseignement. Est-il possible que cette décision d’adéquation de la Commission européenne affaiblisse la sécurité des communications entre les résidents de l’UE et ceux qui se trouvent dans les territoires occupés et la Palestine ?

Il n’y a pas (encore) de rapports confirmant qu’Israël espionne des citoyens ou des résidents d’origine palestinienne en Union européenne. Mais cela n’est pas impossible au vu de ses pratiques intrusives et généralisées de surveillance. Le sujet de la surveillance normalisée et illégale des Palestiniens est bien documenté, et nous posons la question dans la lettre à la Commission européenne. Cette décision ignore complètement les opérations invasives et massives de surveillance menées par Israël, comme la collecte systématique et abusive de données sensibles (y compris biométriques) des Palestiniens. Sans même parler des logiciels espions, de la surveillance ciblée, de la reconnaissance faciale, etc.

Mais l’un des principaux secteurs économiques d’Israël, qui représente une part significative de ses exportations, c’est son industrie militaire de surveillance, et plus largement le secteur du numérique. L’agrément de transfert de données pourrait-il permettre à des entreprises israéliennes d’acheter ou d’accéder aux données de citoyens européens ? Et si oui, quelles entreprises, quels secteurs pourraient bénéficier de cet agrément ?

C’est une excellente question. Comme vous l’avez dit, Israël est fier d’être une nation « digitale », une « start-up nation ». Leur secteur numérique est florissant et en pleine croissance, y compris les industries militaires et de surveillance, qui constituent la pierre angulaire de l’occupation militaire israélienne, et qui prospèrent en surveillant et en tuant des Palestiniens.

La décision d’adéquation est avantageuse économiquement pour Israël et son secteur privé. Ce qui inclut toute une série d’activités ; en résumé, toute entreprise faisant du traitement de données personnelles bénéficie grandement de cette décision.

Il est également important de se souvenir que l’Union européenne est le principal partenaire commercial d’Israël. Israël se présente comme le premier exportateur mondial pour ce qui concerne la sécurité du territoire ; il y a donc énormément de technologies israéliennes déployées en Union européenne, que ce soient des logiciels d’espionnage – par exemple Pegasus, produit par le groupe NSO, utilisé en Pologne, Grèce, Espagne, France, et nombre d’autres pays membres de l’UE – ou des outils employés pour surveiller les migrants et les réfugiés en Méditerranée. Nous savons par exemple que Frontex utilise des drones produits par des entreprises israéliennes à des fins de surveillance.

Il y a aussi des entreprises développant des logiciels espions avec des filiales en Grèce et à Chypre. Les activités de ces entreprises doivent être contrôlées. La décision d’adéquation pourrait leur ouvrir la porte en termes de transfert d’informations personnelles, à des fins légales ou illégales.

Il y a une forme d’ironie à constater que cette décision d’adéquation offre à Israël des bénéfices économiques, alors que le pays tire de grands profits de la surveillance de masse exercée à l’encontre des Palestiniens pour ensuite vendre des technologies de surveillance au reste du monde.

Les territoires palestiniens occupés servent depuis longtemps de laboratoires de surveillance, où de nombreuses entreprises des nouvelles technologies et militaires testent et déploient leurs prototypes sans aucune limite. Il n’y a pas de barrière juridique ou éthique à la manière dont Israël extrait, exploite et abuse des données personnelles dans les territoires occupés. Les soldats israéliens, par exemple, collectent les données biométriques des Palestiniens sur les points de contrôle ou après avoir effectué des descentes dans leurs foyers – sans qu’ils soient au courant, et donc sans consentement.

Donc bien évidemment, les entreprises israéliennes des nouvelles technologies profitent de cette décision. Mais si on regarde la chaîne logistique, depuis la production jusqu’à son exportation, elle est entachée de violations des droits humains et d’usages abusifs des données personnelles.

Et si je vous pose la même question, mais à l’envers ? Est-il possible que le secteur numérique de l’UE tire un quelconque bénéfice de cet agrément ? Est-il concevable que ces bases de données de citoyens palestiniens soient employées par des entreprises européennes ?

Possiblement. Je ne peux pas donner d’exemples concrets, parce que ce n’est pas ce sur quoi nous nous sommes penchés. Mais vous savez, il faudrait souligner que les entreprises basées en Union européenne ne sont pas très respectueuses du RGPD dans les pays hors UE, en particulier dans le Sud global.

« La décision d'adéquation de la Commission européenne renforce le système israélien d'apartheid. »

L’argument de Schrems, s’agissant des transferts États-Unis-Union européenne, était qu’il n’y avait aucune protection face aux pratiques de surveillance de masse des agences de renseignement américaines. Si les transferts États-Unis-UE sont disqualifiés sur cette base, comment se fait-il que la Commission européenne renouvelle cet agrément avec Israël ? Comment l’interpréter ?

Cela n’a aucun sens. Encore une fois, l’Union européenne est en train de se contredire et de détourner le regard face au fait qu’Israël est un État de surveillance par définition. Elle affirme que la loi sur la protection des données est adéquate et qu’elle fournit des garanties sérieuses sur la protection de la vie privée, et que donc tout va bien. Mais elle écarte complètement la question des Palestiniens des territoires occupés qui sont sous étroite surveillance, y compris ceux de Jérusalem-Est qui se trouvent théoriquement protégés par la loi israélienne sur la protection des données. Israël se sert de ces informations à des fins militaires et de renseignement, et le secteur privé s’en sert également pour tester ses prototypes.

Cette décision d’adéquation renforce réellement le système israélien d’apartheid, ce qui veut dire que, lorsqu’on parle de protection des données personnelles, vous avez des droits seulement si vous êtes citoyen israélien. Si vous êtes Palestinien, bonne chance. Il n’y a aucun respect pour vos droits ou votre vie privée. Donc cela renforce les disparités entre ceux qui ont des droits et ceux qui n’en ont pas.

Mais la législation israélienne sur la protection des données n’inclut-elle pas des exceptions pour les citoyens israéliens qui contacteraient des Palestiniens ? L’administration et les agences de renseignement israéliennes ne peuvent-elles pas, au nom de la sécurité nationale, décider d’ignorer ce cadre juridique ?

L’appareil de sécurité intérieure israélien collecte bien des données sur les citoyens israéliens. Pendant la pandémie de Covid par exemple, nous avons appris qu’Israël conservait des bases de métadonnées portant sur toutes les télécommunications sur son territoire depuis deux décennies.

Le gouvernement veut étendre les pouvoirs de ses agences de sécurité. Il a proposé par exemple des amendements qui permettraient au Shin Bet, le service de sécurité intérieure, de pirater des appareils électroniques sans supervision judiciaire. Il lui suffirait d’obtenir le feu vert du cabinet du Premier ministre. Nous remettons donc en question la solidité du cadre de protection des données israélien, et l’État de droit plus généralement, étant donnée la manière dont le gouvernement de Netanyahou empiète sur le pouvoir judiciaire.

Nous savons désormais que des systèmes d’IA (« Lavender » et « The Gospel » en particulier) ont été alimentés avec les données des Palestiniens à Gaza afin d’automatiser leur ciblage et les bombardements. Le renouvellement de cet accord d’agrément n’est-il pas dans les faits une manière pour l’Union européenne d’approuver, ou à tout le moins de ne pas désapprouver, cette manière de collecter et de faire usage des données personnelles à des fins militaires et de surveillance ? N’est-ce pas là une manière pour la Commission européenne de considérer que ce sont des moyens et des fins justifiant la collecte de données personnelles ?

La décision d’adéquation de 2011 a été prise « nonobstant les territoires occupés ». Mais encore une fois, Israël procède à une collecte d’informations des Palestiniens à une très grande échelle et en dépit de tous les standards relatifs à la vie privée et à la protection des données. Et pendant la guerre à Gaza, nous avons vu l’une des façons les plus affreuses d’exploiter les données issues de cette surveillance de masse, afin d’automatiser les tueries de masse de civils et la destruction de leurs foyers. Donc d’une certaine manière, la décision d’adéquation normalise ces pratiques dystopiques de surveillance, voire les récompense.

« Le fait que l’Union européenne publie cette décision en plein génocide ébranle toutes les proclamations relatives aux valeurs qu’elle dit défendre. »

D’un autre côté, on a vu des demandes provenant de la société civile, des manifestations d’étudiants appelant à boycotter les échanges commerciaux et les accords de coopération avec les institutions israéliennes. Faudrait-il envisager quelque chose de similaire concernant cette décision d’adéquation ?

Ces huit derniers mois, le monde entier a été témoin des violations du droit international parmi les plus flagrantes. Le fait que l’Union européenne publie cette décision en plein génocide ébranle toutes les proclamations relatives aux valeurs qu’elle dit défendre.

En effet, il y a des appels de plus en plus pressants à sanctionner et boycotter les institutions et entreprises qui tirent profit de l’occupation et de l’apartheid israélien. Les citoyens de l’UE ont tout à fait le droit de s’opposer au transfert de leurs données personnelles vers un État qui a montré un tel mépris pour la vie et la dignité humaines. Le consentement reste un pilier fondamental de la protection des données.

Une autre question me vient à l’esprit : comment l’Union européenne perçoit-elle les transferts de données vers des entreprises israéliennes qui ont des échanges avec des colonies israéliennes, qu’elle considère illégales ? La décision de la Commission n’aborde pas ce point.

Marwa Fatafta - @Elucid

Et donc quelle est votre position ? Quelle serait la meilleure politique quant à la protection des données pour les résidents de l’Union européenne, mais aussi pour ceux des territoires occupés et d’Israël ?

Il faut revoir et annuler cette décision d’adéquation. C’est aussi simple que cela. Et nous avons posé des questions très spécifiques à la Commission européenne à propos de tous ces sujets qui remettent en question la validité de cet agrément, mais nous n’avons pour l’heure obtenu aucune réponse.

« Lorsqu’Israël teste ces technologies de surveillance sur les Palestiniens, cela affaiblit les droits humains partout dans le monde, et facilite les violations des droits humains au-delà de la Palestine. »

Pensez-vous que cet accord de transfert fait du tort aux droits fondamentaux des citoyens de l’Union européenne ?

Potentiellement, oui. La Commission est volontairement en train de partager les données personnelles des citoyens européens à un État qui pratique la surveillance de masse. Depuis la perspective des droits humains, cette décision légitime et normalise les pratiques de surveillance d’Israël et son industrie des technologies de surveillance.

L’UE veut, à raison, s’attaquer à la prolifération des logiciels d’espionnage visant journalistes, activistes et politiciens. Mais tous ces efforts seront insuffisants s’ils ne tiennent pas compte des origines de l’industrie israélienne de surveillance. Ce n’est pas une coïncidence si Israël est l’un des plus grands exportateurs mondiaux de logiciels d’espionnage, ainsi que d’autres technologies de surveillance à de nombreux pays dans le monde entier. L’origine et la prospérité de cette industrie sont l’exploitation des données personnelles des Palestiniens et la violation de leurs droits fondamentaux.

Le Parlement européen a lancé une enquête sur la commercialisation des logiciels d’espionnage après le scandale Pegasus, et a même organisé une visite en Israël. Mais elle ignore le vrai problème. Ce n’est pas juste une entreprise. Si le groupe NSO était démantelé demain, il y aurait d’autres entreprises israéliennes très contentes de reprendre le flambeau. Je pense que si on prend un peu de recul, alors cette décision d’adéquation fait non seulement du tort aux Palestiniens, mais aussi aux citoyens et résidents de l’Union européenne.

Pour être plus concise : ce qu’il se passe en Palestine ne reste pas en Palestine. C’est ce qu’a révélé encore et encore le scandale Pegasus : lorsqu’Israël teste ces technologies de surveillance sur les Palestiniens, cela affaiblit les droits humains partout dans le monde, et facilite les violations des droits humains au-delà de la Palestine.

Propos recueillis par Thomas Le Bonniec.

Image d'ouverture : max.ku - @Shutterstock

Signaler une erreur

Union Européenne Commission Européenne Démocratie Dérives autoritaires Surveillance de la population Opinion Europe Moyen-Orient