La vie privée est protégée aux États-Unis par le 4e amendement du Bill of Rights et le cryptage constitue la forme de protection la plus sûre contre l’intrusion des agences gouvernementales. Ce système est mis en place par défaut sur les iPhone, dont un fut utilisé par un terroriste impliqué dans la fusillade de San Bernardino. Or, un magistrat californien requiert Apple de le décrypter afin d’accéder aux données du smartphone. « Impossible » répond la société américaine, une telle décision « menacerait la vie privée de nos clients ».
Le chiffrement par défaut des données de l’utilisateur de l’iPhone
La fusillade avait fait 14 morts en décembre et la juge californienne souhaite accéder aux données cryptées de l’iPhone d’un des tireurs décédé pour alimenter l’enquête du FBI en aidant à l’identification d’autres malfaiteurs. Or, la société Apple fait de la protection de la vie privée de ces clients un atout la différenciant des autres compagnies, elle est la seule notamment à adopter des normes de confidentialité pour les connexions Bluetooth.
Il est intéressant de constater qu’en tenant cette posture commerciale Apple semble adopter une conception personnaliste, et donc européenne, des données personnelles s’affranchissant ainsi de la vision patrimoniale américaine. En réalité, le logiciel installé par Apple permet l’effacement automatique des données après avoir tenté de déverrouiller sans succès le smartphone ce qui est un avantage concurrentiel pour la société suite aux révélations relatives à la surveillance de masse de la NSA par Edward Snowden.
Accès aux données dans le cadre de la lutte contre le terrorisme
Agissant dans le cadre d’un mandat judiciaire, la police fédérale et les agences de sécurité souhaitent obtenir la levée de cette inviolabilité numérique. Apple fait de la résistance et refuse d’accéder à leur demande au motif qu’elle créerait un précédent menaçant potentiellement la vie privée des millions d’autres clients. L’argument est tiré du 4e amendement du Bill of Rights (BoR) des USA selon lequel :
Il ne sera pas porté atteinte au droit des citoyens d’être exempts de toute perquisition ou saisie déraisonnable concernant leur personne, leur domicile, les documents et biens leur appartenant ; aucun mandat de perquisition ne pourra être délivré s’il ne se fonde sur des motifs plausibles, s’il ne s’appuie sur des déclarations ou des affirmations sous serment et s’il ne mentionne de façon détaillée les lieux qui doivent faire l’objet de la perquisition et les personnes ou objets dont il faut s’assurer.
Certes, articuler vie privée et sécurité nationale est un véritable challenge, mais il s’agit ici d’un smartphone dont le propriétaire est décédé et qui a commis un acte de terrorisme : s’il était en contact avec d’autres criminels, la sécurité nationale est toujours en danger, ce qui justifie l’accès à ces données. Le maintien de la paix publique ne passe-t-il pas par l’élargissement des pouvoirs des services de renseignements puisque « Le gouvernement a pour mission de faire que les bons citoyens soient tranquilles, que les mauvais ne le soient pas » ? (Georges Clémenceau).
La vie privée peut-elle être régulée par des acteurs privés ?
Admettre qu’Apple puisse s’opposer au déverrouillage de cet iPhone revient à déléguer à une société commerciale la responsabilité de protéger la vie privée des personnes. Or, le BoR affirme des droits personnels. Que la société américaine offre des paramètres de sécurité et de confidentialité avancés à ses clients est naturellement opportun dans un monde ultra digitalisé où se démarquer dans la jungle des smartphone face aux concurrents Samsung et Huawei est devenu vital. En revanche, la protection de la vie privée, et plus encore celle de la sécurité des citoyens, relève des pouvoirs publics. Seule l’exigence de « motifs plausibles » issue du BoR garantit l’équilibre recherché par le système judiciaire américain, smartphone après smartphone… C’est cette exigence, et non le cryptage, qui garantit la liberté individuelle.
La limite de la co-régulation à l’américaine
Aux US, la protection de la vie privée vis-à-vis du gouvernement repose sur le 9e amendement, la common law de chaque État et des lois sectorielles (six lois au total dont celle pour la santé l’Health Insurance Portability and Accountability Act de 1996, et celle pour les mineurs la Children’s Online Privacy Protection Rule. Le système est permissif concernant le marché, seules les dispositions du Consumer Privacy Bill of Rights s’appliquent aux données personnelles des consommateurs et la Federal and Trade Commission joue un rôle de plus en plus actif dans le contrôle et la sanction des pratiques déloyales développant une véritable Common Law des données personnelles.
Au-delà de ce cadre, c’est l’autorégulation des industriels qui fait loi. Longtemps organisée par les entreprises avec des procédés d’accountability, des codes de conduite, des certifications et des études d’impact, la protection de la vie privée depuis l’adoption du Patriot Act doit s’accommoder des exigences de sécurité publique.
Attentes légitimes des utilisateurs quant à la vie privée et sécurité publique
Les lois de surveillance, l’état d’urgence renouvelé en France ont fait exploser le nombre de perquisitions administratives et de procédures judiciaires. Comment l’absence d’atteinte au droit à la liberté d’expression est-elle garantie ? Ce précaire équilibre est offert par les autorités judiciaires, y compris en Europe où la Cour Européenne des Droits de l’Homme affirme que les États peuvent « légitimement agir pour combattre ces menaces [terroristes], mais qu’ils « ne sauraient prendre, au nom de la lutte contre […] le terrorisme, n’importe quelle mesure jugée par eux appropriée » (CEDH, 6 septembre 1978, Klass et autres c. Allemagne, § 49, A/28 ). Combien des clients d’Apple accepteront une telle appropriation de leur liberté ? Un tel mépris de leur sécurité ? Au final, elle risque en réalité d’être touchée dans ce qu’elle a de plus cher : ses profits.