Mon portable, mes données : quelle protection juridique ? La réponse de la Cour suprême américaine

Les données collectées par les opérateurs peuvent être utilisées avec précision comme balises de localisation personnelle. Japanexperterna.se/Flickr, CC BY

Florencio Travieso, EM Lyon

Une décision de juin 2018, rendue par la Cour suprême des États-Unis, a établi un principe intéressant concernant la vie privée numérique. L’arrêt indique que le gouvernement devait obtenir un mandat pour pouvoir collecter les données de localisation d’un site cellulaire (CSLI) de clients, données détenues par les opérateurs téléphoniques. Cette décision implique donc que les forces de l’ordre n’auront pas un « accès illimité aux données de géolocalisation d’un opérateur téléphonique ».
Au départ, l’affaire concerne plusieurs vols à main armée visant des magasins de la région de Detroit en 2010. Timothy Carpenter était accusé d’avoir planifié les cambriolages et de fournir les armes. Les procureurs ont utilisé les registres des CSLI qui montraient son téléphone à proximité des magasins au moment des vols. Les opérateurs téléphoniques avaient communiqué les données de localisation sur une période de 127 jours.
Pour illustrer les enjeux légaux, examinons brièvement certains des principaux éléments juridiques de la décision.

La nature juridique de la collecte de preuves

Le quatrième amendement de la Constitution américaine garantit l’inviolabilité de la vie privée des personnes et de leur propriété contre perquisitions arbitraires par le gouvernement, sauf si une présomption sérieuse (« probable cause ») justifie un mandat autorisant la perquisition ou la saisie. Des saisies sans mandat sont possibles, à titre exceptionnel, mais avec le consentement du sujet, ou en cas de danger imminent ou de destruction de preuves.
D’après le « Stored Communications Act » (loi sur les communications enregistrées), un ordre du tribunal est nécessaire pour recueillir des données auprès de suspects. Mais ce mandat ne constitue pas la norme, il s’agit plutôt une procédure « allégée » : les procureurs doivent démontrer qu’il existe des « faits spécifiques laissant présager un motif raisonnable de croire » que les documents sont « pertinents et substantiels au regard d’une enquête pénale ».
Un mandat (warrant) implique de pénétrer dans la propriété d’un tiers où les preuves sont susceptibles de se trouver. De même, une assignation (subpoena), imposera au détenteur présumé des preuves – sans accès à sa propriété – de les remettre aux autorités chargées de l’enquête. Dans le cas d’un mandat de perquisition (search warrant), le quatrième amendement nécessitera une « probable cause » : des motifs raisonnables de penser que les preuves mèneront à la confirmation de la perpétration du crime.

La Cour suprême américaine a décidé que les forces de l’ordre n’auront plus un « accès illimité aux données de géolocalisation d’un opérateur téléphonique ». J. Main/Shutterstock

Ces points peuvent également être illustrés par deux affaires portées devant la Cour suprême des États-Unis.
Dans l’Affaire Jones (2012), un dispositif GPS avait été fixé à la voiture d’un suspect afin de surveiller ses mouvements. Le dispositif avait été autorisé par un mandat (uniquement pour une durée de 10 jours), mais la surveillance a été considérée comme excessive (plus de 28 jours). La Cour a estimé que le fait de fixer un appareil GPS et d’utiliser les données ainsi collectées constituait une perquisition en vertu du quatrième amendement.
Dans l’Affaire Riley (2014), la police avait procédé à l’arrestation du suspect après avoir trouvé dans sa voiture deux armes à feu impliquées dans une fusillade. Son téléphone a été fouillé (sans mandat) et les informations ainsi obtenues (photos, SMS) ont permis à la police de comprendre que la personne était liée à des activités illégales. La Cour a finalement décidé qu’un mandat était nécessaire pour accéder aux données d’un téléphone portable d’une personne en état d’arrestation.
La doctrine de la tierce partie (third-party doctrine) s’applique aux cas dans lesquels les preuves pertinentes sont en la possession d’un tiers. Il peut s’agir d’une autre personne (une banque), ou bien les preuves peuvent être conservées par un service en ligne (e-mail, service d’hébergement de fichiers). En vertu de cette « doctrine », une fois que les données sont divulguées à une tierce partie – les antennes-relais –, l’utilisateur renonce à toute notion de droit à la vie privée. Et les droits garantis par le quatrième amendement ne pourront pas être invoqués, puisque les données ne lui appartiennent plus.

Un nouveau périmètre de la vie privée numérique

Or, un téléphone portable communique avec une station de base indépendamment de la volonté de l’utilisateur. Comme le précise la Cour :

« Toute activité sur le téléphone génère des CSLI, y compris les appels entrants, les textes ou les e-mails, ainsi que d’innombrables autres connexions de données qu’effectue automatiquement un téléphone. »

Dans l’Affaire Timothy Carpenter, la Cour rendra la décision suivante :

« Un mandat est exigé dans les cas où le suspect a des intérêts légitimes en matière de vie privée au regard des documents détenus par un tiers. Ce règlement s’appliquera, que les informations requises soient en la possession des utilisateurs ou qu’elles se trouvent dans le cloud ».

La Cour a affirmé que les données numériques pouvaient fournir un aperçu intrusif de la sphère privée. Par le passé,

« peu de gens auraient pu imaginer une société dans laquelle un téléphone suit son propriétaire où qu’il aille, transmettant à l’opérateur téléphonique non seulement les numéros appelés, mais aussi un registre détaillé et complet des déplacements de la personne » (Carpenter, p.11).

Les registres des stations de base (CSLI) n’étaient pas aussi précis il y a quelques années, ce qui signifie qu’ils peuvent aujourd’hui être utilisés avec précision comme balises de localisation personnelle.

La Cour suprême a souligné qu’un téléphone portable fournissait aux opérateurs un « registre détaillé et complet des déplacements de la personne ». Peshkova/Shutterstock

Nous constatons que la Cour suprême a également trouvé le moyen de refléter l’importance des téléphones portables en matière de vie privée. Le tribunal a précisé que :

« Cartographier la localisation d’un téléphone portable sur une période de 127 jours fournit un aperçu global des déplacements de son propriétaire […]. (C)es informations précisément datées sont une fenêtre intime dans la vie de l’individu, révélant non seulement ses déplacements physiques, mais également à travers eux ses “relations familiales, politiques, professionnelles, religieuses et sexuelles” […]. (L)e traçage d’un téléphone portable est remarquablement simple, économique et efficace […]. En cliquant sur un simple bouton, le gouvernement peut accéder aux archives colossales de données historiques de localisation de chaque opérateur, pratiquement sans frais » (Carpenter, p 12-13).

La Cour déclare qu’un téléphone portable fait presque « partie de l’anatomie humaine » (Riley, 2014), pistant tous les déplacements de ses propriétaires, qui gardent ces objets sur eux de manière « compulsive » (Carpenter, p 13). Les données peuvent être récupérées non seulement sous forme matérielle ou rétrospective ; le gouvernement peut « remonter le temps pour retracer les faits et gestes d’un individu » consignés par les opérateurs téléphoniques (Carpenter, p.14).

Quelle est la prochaine étape ?

Cette décision restera certainement dans les mémoires comme le moment où la collecte de documents numériques se rapportant à des particuliers (selon la doctrine de la tierce partie) sera protégée en vertu de droits constitutionnels.
L’affaire Carpenter a servi à actualiser l’interprétation de la doctrine de la tierce partie, ainsi que la manière dont les comportements numériques sont perçus par un tribunal. Cela a permis d’étendre la protection des utilisateurs grâce à une interprétation plus précise de la vie privée numérique.
À l’heure où le respect de la vie privée n’est pas une tendance populaire, mais une légère inquiétude qui pointe à l’horizon, cette décision contribue à mieux appréhender le côté potentiellement intrusif de l’accès aux données. Cela peut servir à l’élaboration de schémas comportementaux qui, au final, pourraient avoir un impact négatif sur la vie privée des utilisateurs.
La prochaine étape pourrait concerner les métadonnées (cookies, connexions, accès aux réseaux, par exemple). Toutes ces données qui, prises séparément, peuvent être considérées comme anodines et inoffensives, peuvent une fois combinées et agrégées, dévoiler des traits intimes de la vie privée. Le mode d’accès et de traitement de ces données suscitera certainement la controverse, d’un point de vue non seulement juridique, mais aussi éthique.
Mais pour l’instant, laissons nos soucis de côté (du moins pour le moment) et savourons cette décision de justice qui étend et renforce la protection de la vie privée numérique.
Florencio Travieso, Professeur Associé. Droit international des affaires, Business and Compliance, International arbitration, EM Lyon

Cet article est republié à partir de The Conversation sous licence Creative Commons. Lire l’article original.