La semaine dernière, le gouvernement britannique a fait une déclaration à la Chambre des Lords reconnaissant(new window) (article en anglais) que certaines parties du controversé projet de loi sur la sécurité en ligne pourraient même ne pas être techniquement applicables sans briser le chiffrement de bout en bout. Cette déclaration a reçu à juste titre beaucoup d’attention, car elle représentait un changement important dans la position du gouvernement britannique.
La loi, telle qu’elle est rédigée, exigerait que les entreprises technologiques scannent d’une manière ou d’une autre les messages pour détecter les contenus abusifs. Cependant, comme Proton et d’autres défenseurs de la vie privée l’ont expliqué à plusieurs reprises(new window), il n’y a aucun moyen de le faire sans détruire le chiffrement de bout en bout pour tout le monde. Bien que la déclaration du gouvernement n’ait pas abouti à des changements légaux du texte (ce que nous croyons toujours être vital), elle a représenté une victoire importante en admettant qu’il n’existe pas de technologie capable de scanner l’activité en ligne de chacun tout en offrant sécurité et respect de vie privée. Elle a donc aligné le Royaume-Uni sur le consensus d’experts de longue date et toute affirmation contraire est une fantaisie.
Malheureusement, la Commission européenne ne l’a pas reconnu publiquement alors qu’elle continue à faire avancer sa proposition, communément appelée « Chat Control » (ou « contrôle du Chat »). Le « Chat Control » est ostensiblement une mesure visant à lutter contre les abus sexuels sur les enfants, dont nous pouvons tous convenir qu’ils sont odieux. Mais au lieu de se concentrer sur les individus soupçonnés de se livrer à ces activités criminelles, le texte suppose que toute personne utilisant un service spécifique est coupable par défaut, non pas parce qu’elle a fait quelque chose de mal, mais parce qu’elle utilise un service particulier.
Lutter contre la criminalité tout en protégeant la vie privée
C’est un écart significatif par rapport aux mesures judiciaires prises dans le monde hors ligne. Il existe de nombreuses façons de combattre la criminalité en ligne sans porter atteinte aux droits de tout un continent. Le projet de la Commission européenne va même plus loin que les plans du Royaume-Uni, incluant des dispositions qui pourraient effectivement interdire le chiffrement de bout en bout pour une sélection encore plus large de services, y compris les messageries, les fournisseurs de messagerie électronique, les services de stockage de fichiers et d’autres plateformes.
Comme le projet de loi sur la sécurité en ligne, le « Chat Control » tente de faire face au grave problème du contenu illégal en créant un autre problème sérieux : supprimer le droit à la vie privée.
Des juristes de différentes institutions européennes ont déjà dit clairement(new window) que le « Chat Control » mènerait de facto à une surveillance permanente de toutes les communications interpersonnelles, ce qui est illégal dans l’Union européenne. Alors que le Conseil et le Parlement envisagent leur position sur la proposition de la Commission européenne dans les semaines à venir, il est vital que les législateurs à Bruxelles et dans les capitales européennes suivent maintenant les recommandations juridiques et modifient le texte en conséquence.
Ce qu’ils entendent par « surveillance permanente »
Depuis des années, les gouvernements du monde entier ciblent les entreprises technologiques au nom de la sécurité nationale, de la lutte contre le terrorisme ou de la protection des enfants. Quelle que soit la raison, leurs solutions proposées reposent trop souvent sur une forme de surveillance de masse ou sur une porte dérobée au chiffrement.
C’est la même histoire avec le projet de loi sur la sécurité en ligne et le « Chat Control ». Chaque proposition autorise les régulateurs à forcer les entreprises à briser leur propre chiffrement par le biais du balayage côté client (une manière de scanner les messages avant qu’ils ne soient envoyés au destinataire) ou une autre technologie hypothétique qui n’existe pas dans la réalité. Le problème, c’est qu’il n’y a aucun moyen de mettre en œuvre ces méthodes tout en préservant la vie privée.
Chaque fois que vous brisez le chiffrement de bout en bout sur votre plateforme pour une personne, cela le brise pour tout le monde. Non seulement cela détruit la confiance des clients dans votre service, mais cela invite également les hackers à trouver des vulnérabilités et à voler autant de données qu’ils le peuvent. Il n’existe pas de porte dérobée qui ne laisse entrer que les bonnes personnes.
L’ironie est que briser le chiffrement sur les plateformes les plus populaires n’empêchera pas les activités illégales de se produire en ligne. Les criminels se tourneront simplement vers d’autres plateformes sécurisées non coopératives ou utiliseront leur propre logiciel de chiffrement (dont une grande partie est open source), pour continuer à mener leurs activités illégales loin des regards.
Vers la sécurité et la confidentialité dans l’Union européenne
Proton a été très clair : nous prendrions des mesures juridiques si nous recevions une demande visant à briser notre chiffrement. Mettant de côté le fait que ces demandes seraient très probablement illégales au regard du droit européen, nous donnant ainsi des motifs pour une action en justice, il serait inacceptable pour nous de compromettre notre chiffrement et la sécurité de tous les utilisateurs, entreprises et organisations qui comptent sur nous, tant dans l’Union européenne qu’à travers le monde.
Mais nous n’abandonnons pas l’idée que le Parlement européen et le Conseil fassent ce qui est juste. Nous savons, après avoir parlé avec des législateurs à Bruxelles, qu’il existe une opposition croissante aux propositions et une compréhension des dangers que le projet de législation représente.
Cependant, « comprendre » ne suffit pas. Le Conseil et le Parlement travaillent actuellement sur leurs positions respectives et devraient les adopter dans les prochaines semaines. Il est vital qu’ils prennent en compte l’état actuel de la science et de la technologie et qu’ils amendent le texte en introduisant de solides garanties pour le chiffrement, le chiffrement de bout en bout et les droits fondamentaux en général.
L’Europe a établi une norme mondiale de confidentialité grâce au RGPD et avec la directive NIS2, elle occupe également une position de leader en matière de cybersécurité et de soutien au chiffrement. L’Union européenne doit s’appuyer sur ce leadership au lieu de l’affaiblir. Il est tout à fait possible de lutter contre la criminalité tout en préservant la vie privée et le chiffrement. Nous devons trouver un équilibre entre la protection de la société et la protection des droits civils.
