En Allemagne, les révélations d’Edward Snowden sur les activités de surveillance de la NSA ont notamment déclenché une enquête du commissaire fédéral pour la protection des données (BfDI). Il a pu se rendre dans l’une des installations conjointes de la NSA et du Service fédéral de renseignement (BND), à Bad Aibling, dans le sud du pays. Il en a tiré une analyse juridique, classifiée, que s’est procurée le site allemand spécialisé Netzpolitik. Le commissaire a dénombré 18 violations sévères de la loi, et a adressé 12 plaintes formelles liées à ces manquements.
Le BND a créé et utilisé au moins sept bases de données sans aucun fondement légal. Ces bases, écrit-il, doivent être détruites immédiatement. Parmi celles-ci figure XKeyscore, l’outil qui permet aux services américains et à leurs plus proches alliés de chercher dans la masse de trafic internet intercepté. Cet outil permet de scanner l’intégralité du trafic internet dans le monde, à la fois les métadonnées [qui communique avec qui, quand et combien de temps] et le contenu. Le BfDI reproche aussi au BND d’avoir procédé à la collecte de données sur des personnes « irréprochables », estimant que pour chaque cible visée par les services, des données sur 15 personnes innocentes étaient collectées. Lorsqu’il a voulu consulter plus en détail les métadonnées interceptées, le commissaire s’est heurté à un problème très matériel : il y en avait trop pour que le système informatique du BND puisse les afficher, même en réduisant aux données interceptées sur une seule journée. Et pour cause : le BND stocke l’intégralité des métadonnées qu’il intercepte.
Le BND a également failli à son obligation de filtrer les données des citoyens allemands avant de les transférer à son partenaire, la NSA, explique le BfDI. En effet, le système de filtre souffre de défaillances importantes et systémiques. Enfin, le commissaire indique dans son rapport que le BND a entravé son inspection, notamment en ne le laissant pas accéder à tous les bâtiments où ce dernier collabore avec la NSA ou encore en supprimant des données en amont de la visite d’inspection. Selon Netzpolitik, le gouvernement allemand s’apprête à faire voter une loi qui rendrait légaux une grande partie des faits reprochés au BND.
Les installations du BND à Bad Aibling