PROJET AUTOBLOG


La Quadrature du Net

Site original : La Quadrature du Net

⇐ retour index

Mise à jour

Mise à jour de la base de données, veuillez patienter...

Détection des cyberattaques : une nouvelle loi de surveillance

mercredi 18 avril 2018 à 13:27

Le 18 avril 2018 - Le nouveau projet de loi de programmation militaire (LPM), présenté en Conseil des ministres le 8 février dernier et adopté en première lecture par l'Assemblée nationale le 27 mars, comporte un volet axé sur la cybersécurité. Les enjeux sont importants : lutter contre les attaques informatiques sur les réseaux. Sauf que le dispositif envisagé, reposant sur des boîtes noires – ces sondes dédiées à l'analyse du trafic Internet et placées en différents points du réseau – sous l'égide de l'ANSSI et des grands opérateurs télécoms, ouvre une brèche immense qui, de nouveau, fait planer le spectre d'une surveillance massive de nos communications.

La loi de programmation militaire (LPM) est un exercice législatif qui revient en France tous les 5 ans. La dernière LPM, adoptée en 2013 pour les années 2014-2019, étendait les accès administratifs aux données de connexion. Avec un certain retard, La Quadrature du Net s'était mobilisée contre cette disposition introduite par voie d'amendement lors des débats législatifs puis, avec l'aide des Exégètes amateurs, à travers un recours devant le Conseil d'État.

Cette année, la LPM revient avec une nouvelle mouture pour les années 2019-2025. Dans sa partie « cyber-défense » (chapitre III), ce texte modifie le code de la défense pour donner plus de moyens à l'ANSSI (Agence nationale de sécurité des systèmes d'information) pour veiller à l'intégrité et à la sécurité des réseaux. Et cette année encore, La Quadrature accuse un retard coupable. Alors que certains de ses membres s'étaient rendus le 12 février dernier à une réunion de présentation du projet de loi organisée à l'initiative de l'ANSSI, nous n'avions toujours pas donné notre avis sur le dispositif. Mieux vaut tard que jamais.

Ce texte sécuritaire fourre-tout qui fait l'objet d'un examen express pose problème en tant que tel. Il résulte en effet d'une volonté de faire passer des dispositions portant atteinte aux droits fondamentaux dans le cadre d'une loi de programmation budgétaire, alors qu'elles mériteraient un débat spécifique et approfondi. À cet égard, les dispositions relatives à la cyberdéfense que nous analysons ici doivent se lire dans un contexte plus global : le projet de loi prévoit également l'acquisition de deux drones Reaper militarisés, autorise le recueil de données génétiques par les militaires français à l'étranger, acte la montée en puissance des activités militaires dédiés à la lutte informatique offensive avec la création de 1500 nouveaux postes dédiés, et accorde une immunité pénale à ces « cyber-attaquants », en autres choses.

Ici, nous nous concentrons donc sur la détection des cyberattaques. À ce stade, le Sénat entame donc l'examen du texte en première lecture. S'il est sans doute illusoire d'espérer un rejet en bloc du dispositif, il est encore temps de corriger les sérieux problèmes contenus dans ce texte. Car en l'état, ce dispositif est flou, déséquilibré et attentatoire aux libertés.

Une collaboration entre l'ANSSI et les opérateurs volontaires

En premier lieu, la nouvelle LPM tend à favoriser les mesures de sécurité prises volontairement par les opérateurs de télécommunications1. La réglementation sur la neutralité du Net2 et celle sur la confidentialité des communications3 autorisent déjà les opérateurs de télécommunications à analyser les données de connexion (adresse IP, taille des paquets, port...) afin de « préserver l’intégrité et la sûreté du réseau, des services fournis par l’intermédiaire de ce réseau et des équipements terminaux des utilisateurs finals ».

Cette possibilité, réaffirmée par cette LPM, est complétée par celle de collaborer avec l'ANSSI, en lui transmettant les informations sur les menaces détectées et en utilisant les renseignements transmis par l'ANSSI afin de mieux cibler leurs activités de détection. À cela s'ajoute la possibilité pour l'ANSSI d'obliger les opérateurs à indiquer à leurs abonnés que la sécurité de leurs réseau a été compromise.

Dans la mesure où ces mesures restent volontaires (elles ne sont pas imposées selon les instructions de l'ANSSI), ce dispositif peut paraître légitime. Encore faut-il que l'usage des sondes soit autorisé par les abonnés concernés, qu'il soit transparent et rigoureusement contrôlé. Or, c'est loin d'être le cas.

Les opérateurs doivent être mandatés par leurs abonnés

Il manque un élément clef : le mandat de l'abonné pour la surveillance de son trafic par l'opérateur. Sans cela, ces sondes scrutant l'ensemble du trafic sont une atteinte directe au secret des correspondances, et constituent de ce point de vue un système de surveillance des abonnés. Cette surveillance étant alors opérée par un acteur privé, sans aucun contrôle.

En s'assurant que cette surveillance du trafic résulte d'une demande de l'abonné, le paradigme change. L'opérateur devient agent de l'abonné, agissant à son compte pour les questions de sécurité des systèmes, et l'abonné peut à tout moment décider de retirer sa confiance à cet agent délégataire. On peut supposer que, le secret des communications électroniques étant un principe général du droit des télécoms, la nécessité absolue de cet accord est implicite. Reste que la précision est nécessaire pour éviter tout abus.

Garantir un usage transparent et contrôlé des sondes

Par ailleurs, il faut qu'une autorité de contrôle puisse s'assurer de la bonne utilisation de ces sondes extrêmement dangereuses sur le plan de la vie privée, et qu'elle puisse faire la transparence sur l'utilisation de ces outils maniés par des acteurs privés. Cette autorité, ce devrait être l'ARCEP, à qui le projet de loi donne quelques compétences s'agissant des pouvoirs nouveaux octroyés par l'ANSSI (compétences utilement précisées et renforcées par l'Assemblée nationale, voir plus bas).

Même si le Code des postes et des communications électroniques prévoit bien que l'ARCEP contrôle le respect par les opérateurs de leurs obligations en matière de confidentialité des communications4 et en matière de neutralité du Net, le projet de loi ne prévoit rien de spécifique s'agissant de ces activités de détection de cyberattaques appelées à monter en puissance. La précision aurait sans doute de l'intérêt pour obliger l'ARCEP à les contrôler régulièrement et de manière inopinée, le cas échéant à sanctionner les abus, et à communiquer publiquement sur la nature et les suites données à ces contrôles.

Les nouvelles boîtes noires imposées par l'ANSSI

La nouvelle LPM entend également permettre à l'ANSSI d'agir directement sur les réseaux, en déployant ses propres « boîtes noires » sur les systèmes des opérateurs et fournisseurs d'accès à Internet, ainsi que ceux des hébergeurs5. Suite à un amendement adopté à l'Assemblée, le non-respect de ces obligations par les opérateurs et hébergeurs est désormais passible de sanctions (un an d’emprisonnement et 75 000 euros d’amende).

Ces boîtes noires sont définies comme « un système de détection recourant à des marqueurs techniques à seules fins de détecter des événements susceptibles d’affecter la sécurité des systèmes d’information » (dans une formulation d'ailleurs très proche de celle donnée en 2015 dans la loi renseignement)6. La LPM limite l'utilisation des ces sondes aux cas où l'ANSSI « a connaissance d’une menace susceptible de porter atteinte à la sécurité des systèmes d’information des autorités publiques ou des opérateurs » d'importance vitale (centrale électrique, aéroport, opérateurs télécoms, industries de défense, etc.). Or, ainsi définies, ces dispositions confèrent à l'ANSSI un pouvoir excessif.

Une atteinte injustifiée à la confidentialité des communications

La notion de « données techniques » ou « marqueurs techniques » utilisée dans le projet de loi n'a aucune définition juridique ou technique. Comme l'a relevé le journaliste Marc Rees, il s'agit bel et bien par ce vocable de contourner la jurisprudence constitutionnelle protégeant la confidentialité des communications, pour surveiller le contenu des communications et non les seules métadonnées. D'ailleurs, Guillaume Poupard, le directeur de l'ANSSI, ne se cache pas de la volonté de regarder dans le détail le contenu des communications. Lors de son audition à l'Assemblée nationale, il expliquait ainsi :

Il va donc de soi que nous traitons des données, y compris des données personnelles. C’est pourquoi le texte ne loi ne saurait comprendre une disposition visant à rassurer qui interdirait de toucher aux données personnelles : nous y touchons de fait. L’essentiel est que la finalité reste la détection et que l’on s’en tienne aux données strictement nécessaires et signifiantes. Prenons un exemple : le travail de détection consiste parfois à chercher au fin fond de pièces jointes, dans des courriers électroniques, pour y détecter un éventuel virus caché.

Entendue ainsi, la notion de « marqueurs techniques » contrevient donc directement au secret des correspondances. Or, Guillaume Poupard reconnaît lui-même que beaucoup peut déjà être fait à partir des seules métadonnées (qui renvoient en droit français aux termes de « données de connexion » ou d'« informations et documents », utilisés par exemple par la loi renseignement)7. Ci ces métadonnées peuvent déjà révéler beaucoup d'informations sur notre vie, limiter le pouvoir de surveillance de l'ANSSI à ces seules métadonnées aurait au moins le mérite de ne pas anéantir l'ensemble de l'édifice juridique qui protège encore un tant soit peu peu la confidentialité de nos communications.

Quel degré de surveillance pour quelles menaces ?

De même, la LPM n'établit aucun lien de causalité entre la menace pour les autorités publiques et les opérateurs d'importance vitale, d'un côté, et, de l'autre, les « événements susceptibles d’affecter la sécurité des systèmes » que les boîtes noires doivent détecter. Un tel lien doit être établi afin que l'ANSSI ne puisse analyser le trafic qu'aux seuls points du réseau où elle pourra détecter les menaces affectant les seules autorités et opérateurs qu'elle est censée protéger. Une précision par ailleurs indispensable pour permettre aux opérateurs concernés et à l'ARCEP, qui contrôlera l'action de l'ANSSI dans ce domaine, de s'assurer de la proportionnalité de la mesure de surveillance engagée.

Enfin, la notion de « menace » pour les autorités et opérateurs dont l'ANSSI est chargée d'assurer la protection est également très floue. L'étude d'impact de la loi parle d'une vingtaine de menaces par an seulement qui seraient suffisamment graves pour justifier de telles pratiques. Or, la loi n'offre aucun critère pour les limiter de la sorte et empêcher que des boîtes noires ne soient déployées constamment et en tout point pour prévenir n'importe quel type de menace plus ou moins abstraite – ce qui serait parfaitement injustifiable. Là encore, ces éléments de doctrine doivent figurer dans la loi, et faire l'objet d'une information régulière et transparente afin de permettre aux citoyens et à l'ensemble des acteurs concernés par ces mesures de pouvoir juger de leur proportionnalité.

Une durée de conservation doublée, sans raison valable

Alors que le projet de loi du gouvernement prévoyait que l'ANSSI puisse conserver pendant une durée maximale de 5 ans les « données techniques » collectées, la commission de la Défense nationale de l'Assemblée nationale a doublé cette durée à l'initiative du rapporteur, Jean-Jacques Bridey (député LREM), en la portant à 10 ans. Cette durée semble excessive puisque, comme on l'a vu, les données techniques recueillies sont très souvent des données à caractère personnel. 5 ans paraissent déjà très longs quand on sait que la loi renseignement limite à un mois après leur collecte la durée de conservation du contenu des correspondances.

Les responsables de l'ANSSI irresponsables ?

Quand bien même les nouveaux pouvoirs donnés à l'ANSSI seraient mieux limités, une autorité indépendante doit pouvoir s'assurer que ces pouvoirs ne sont dévoyés à des fins politiques ou de contrôle de la population. Or, le contrôle des activités de l'ANSSI par l'ARCEP, prévu dans le projet de loi, manque singulièrement de mordant.

D'abord, comme l'a souligné l'ARCEP dans son avis rendu sur le projet de loi, se pose d'abord la question du renforcement de ses moyens pour garantir sa capacité à contrôler l'ANSSI. Ensuite, en dépit des précisions apportées par l'Assemblée s'agissant des modalités de ce contrôle8, le texte ne prévoit qu'un contrôle distant, sur la foi de rapports et de documents, mais loin du terrain. Aucune possibilité de contrôler le fonctionnement des sondes installées sur les infrastructures des opérateurs télécoms ou des hébergeurs n'est prévue. Le projet de loi ne prévoit pas non plus que ces derniers puissent saisir l'ARCEP pour faire obstacle aux demandes de l'ANSSI.

Enfin, si elle constate des abus, l'ARCEP ne pourra qu'adopter des recommandations à l'adresse de l'ANSSI. Le texte ne prévoit aucune sanction. Pour faire en sorte que les nouveaux pouvoirs de l'ANSSI soient dûment encadrés, il faudrait aussi poser explicitement dans la loi le fait que le non-respect des dispositions contenues dans ce chapitre « cyberdéfense » sont constitutives des délits prévus en matière de traitements illégaux de données. Ces derniers font l'objet de sanctions pénales, et par ce truchement, toute constatation par l'ARCEP de non-respect des dispositions devra être signalée au Ministère public, lequel pourra ensuite engager une action pénale (voir l'article 40 du code de procédure pénale). En cas d'abus, les responsables de l'ANSSI seront ainsi mis devant leurs responsabilités.

Le droit européen de nouveau bafoué

On sait tout l'irrespect dont font preuve nombre de responsables publics français vis-à-vis des règles européennes encadrant les mesures de surveillance. Ce projet de loi en fournit une nouvelle illustration.

D'abord, parce qu'il ne prévoit aucune information des personnes qui verraient leur trafic Internet scruté par l'ANSSI. Lors de son audition, Guillaume Poupard expliquait ainsi sa volonté d'en passer directement par l'installation de sondes chez les hébergeurs plutôt qu'auprès des personnes ayant loué ses machines :

Bien entendu, nous pourrions demander la permission au détenteur de la machine, à celui qui l’a louée de manière légitime, mais nous ne voulons pas le faire. En effet, dans le meilleur des cas nous tomberons sur une victime que tout cela dépasse complètement : la plupart du temps, ces serveurs sont loués par des particuliers, par des gens que l’on n’a pas envie de mêler à des affaires aussi compliquées. Surtout, le plus souvent, celui qui loue la machine est l’agresseur lui-même.

Or, quelque soit le statut de ces personnes dont le trafic aura été surveillé – victimes innocentes et ignorantes ou cyber-attaquant malveillant –, à aucun moment le projet de loi ne prévoit qu'elles en soient informées (soit pendant la mesure de surveillance, soit après). C'est pourtant là une obligation, qui ressort notamment de la jurisprudence de la Cour européenne des droits de l'Homme (CEDH) et permet l'exercice d'un droit de recours effectif contre ces mesures de surveillance9.

Pour respecter le droit européen, d'autres dispositifs pourraient d'ailleurs être envisagés pour permettre l'exercice d'un droit de recours effectif, comme la possibilité de saisir l'ARCEP pour savoir si nos communications ont été, pour une raison ou une autre, aspirées par l'ANSSI. Le cas échéant, cela permettrait à l'ARCEP de s'assurer ensuite du caractère proportionné de cette surveillance. Si elle constatait une irrégularité, elle pourrait ordonner la destruction des données et saisir d'elle-même le ministère public. Dans le même temps, l'ARCEP devrait s'assurer de la bonne information de la personne surveillée et de la possibilité pour elle de se constituer partie civile.

Il y a deuxième point sur lequel le texte est en contrariété flagrante avec le droit de l'Union européenne, et en particulier la directive européenne de 2000 sur la société de l'information dont l'article 15 interdit aux États d'imposer aux opérateurs ou aux hébergeurs des mesures générales de surveillance. En l'état, l'article 2321-2-1 va bien à l'encontre de ce principe, en prévoyant que l'ANSSI puisse exiger l'utilisation de boîtes noires dans le but de scanner l'ensemble du trafic pour repérer des « cyber-menaces » chez les opérateurs et les hébergeurs.10 Notons que ce sont là les mêmes arguments que nous soulevons contre les boîtes noires de la Direction générale de la Sécurité intérieure (DGSI) dans le cadre de nos recours contre la loi renseignement.

L'ANSSI, ce faux-ami

Pour finir, il faut évoquer une inquiétude de fond s'agissant de l'ANSSI. Car même si les grands pontes de la cybersécurité aiment rappeler l'originalité du modèle français en la matière – avec une agence cybersécurité civile rattachée directement au Premier ministre et ne s'occupant pas de lutte informatique offensive –, force est de reconnaître la porosité croissante entre l'ANSSI et le monde du renseignement pour tout un tas de missions (les intrusions étrangères dans les systèmes d'information de l'État, la gestion des logiciels « chevaux de Troie » utilisés par les services pour réaliser des intrusions informatiques, l'échange de renseignement s'agissant de failles informatiques, etc.).

Cela a pu par le passé conduire à des prises de position pour le moins surprenantes, et en rupture avec l'image bienveillante et soucieuse des libertés que les dirigeants de l'ANSSI prennent soin de cultiver. Ainsi, Next INpact rappelait fin 2015 que, pour le projet du gouvernement de généraliser le chiffrement des mails, l'ANSSI avait tenu à distance des solutions de chiffrement robustes et décentralisées, dites de « bout-en-bout ». Guillaume Poupard disait alors vouloir ménager la possibilité que le trafic email soit accessible en clair en certains points du réseau. Plutôt que de promouvoir un chiffrement fort sans lequel il ne peut y avoir de véritable sécurité informatique, l'ANSSI entendait alors ménager les capacités de surveillance des services de renseignement et de police. On sait aussi que les services de renseignement ont joué un rôle de premier plan dans la rédaction de ce projet de loi.

Aujourd'hui, les dirigeants de l'ANSSI sont peut être sincères lorsqu'ils évoquent leur volonté de minimiser l'impact sur les libertés, la neutralité du Net et le droit au chiffrement de ces mesures de détections des attaques. Mais qu'en sera-t-il demain ? L'ANSSI – et les pouvoirs nouveaux dont la dote cette nouvelle LPM –, évolue dans une réalité institutionnelle qui la rend très perméable aux dérives sécuritaires. Raison pour laquelle un modèle de cybersécurité plus décentralisé, extirpé au maximum du secret d'État et misant sur la capacitation de l'ensemble des acteurs et utilisateurs d'Internet, aurait mérité d'être sérieusement envisagé et débattu publiquement. Au lieu de ça, le choix a été fait de présenter une nouvelle loi de surveillance, en procédure accélérée.

Attaquons les GAFAM et leur monde

mardi 17 avril 2018 à 14:15

17 avril 2018 - Nous avons lancé hier notre campagne d'actions de groupe contre les GAFAM. Jusqu'au 25 mai (jour du dépôt des plaintes devant la CNIL) toute personne vivant en France peut nous rejoindre sur gafam.laquadrature.net. C'est sur la base de ces premières actions que nous pourrons, sur le temps long, déconstruire méthodiquement le monde qu'ils tentent de nous imposer.

imagecontregafam

Nous n'attendrons pas le 25 mai, jour d'entrée en application du règlement général sur la protection des données (RGPD), pour agir. Nous n'avons plus à attendre.

Ce règlement européen (que nous avions ardemment défendu il y a 3 ans) nous donne enfin l'opportunité de renverser la grande farce sur laquelle les GAFAM ont construit leur monde : le « consentement » que nous leur donnerions, pour qu'ils sondent notre esprit et influent nos volontés, ne vaut rien. Il est vulgairement monnayé contre l'utilisation de leurs sites et applications.

Or, le droit européen est maintenant clair : un consentement monnayé, bradé, ne vaut rien et ne suffit plus à rendre légale leur surveillance de masse1. Ce « consentement » de paille ne saurait donc plus longtemps servir d'alibi à Zuckerberg et aux autres pour nous rendre responsables de la perte de notre vie privée et de la destruction de nos liens collectifs.

Nos actions de groupe se baseront sur ce seul argument juridique, la fausseté du consentement, car il attaque à sa racine le monde ultra-centralisé (pour eux) et individualiste (pour nous) qu'ils espèrent pouvoir imposer.

Notre campagne de 40 jours consacrera chaque semaine à chacun des GAFAM, pour comprendre la spécifité de l'emprise de chacun d'eux. Mais ce n'est qu'une première étape : les GAFAM ne sont que le symbôle d'un monde qu'il faudra, une fois cette étape passée, déconstruire méthodiquement : contre leurs alliés (sites de presse ou du gouvernement), qui diffusent leurs mouchards partout sur Internet, contre les administrations avec lesquelles ils vivent le grand amour et contre toutes les entreprises ‑ notamment françaises - qui ont embrassé leurs ambitions de manipulation de masse, Criteo en tête.

Cette première étape doit donc être la plus puissante possible, car c'est d'elle que partira le reste.

Puissante comment ? En mettant la CNIL au pied du mur. En déposant sur son bureau une plainte réunissant tant de personnes qu'elle ne pourra pas refuser de la traiter avec la fermeté requise sans perdre toute légitimité. Et le nouveau règlement lui donne enfin les moyens de cette fermeté : des amendes de 4 % du chiffre d'affaire mondial.

Que ce soit clair : cette première étape est si décisive que nous ne pouvons entièrement la laisser dans les mains de la CNIL. Si, au 3 septembre, elle n'a encore entamé aucune démarche, nous porterons nos actions devant l'autorité judiciaire, civile ou pénale, qui a elle aussi le pouvoir de nous défendre.

Enfin, comprenons bien que ces actions auront nécessairement une répercution européenne, si ce n'est mondiale. Le processus de coopération entre les différents États membres de l'Union européenne prévu par le nouveau règlement impliquera manifestement que nos actions soient, en fin de course, tranchées au niveau européen. Nous invitons donc les populations de chaque État membre à reprendre l'initiative entamée en France dans leur pays : nos actions se retrouveront au sommet !

Fichier attachéTaille
contrelesgafam.png12.43 Ko

Loi données personnelles, dernière étape ? Le Parlement doit défendre ses avancées

jeudi 5 avril 2018 à 14:44

5 avril 2018 - Demain se tiendra la commission mixte paritaire (réunissant une poignée de députés et de sénateurs) destinée à trancher les différentes version de la loi « données personnelles » adoptée par chacune des deux chambres ces deux derniers mois. Bien qu'échouant chacune à encadrer les services de renseignement, l'Assemblée nationale et le Sénat ont, chacun de leur côté, prévu certaines avancées pour nos libertés.

Le rôle de la commission sera de trancher point par point laquelle des versions des deux chambres doit être définitivement adoptée. L'Observatoire des Libertés et du Numérique (OLN) leur écrit pour leur indiquer les choix exigés par la défense de nos libertés.

Lettre ouverte aux membres de la commission mixte paritaire

Madame, Monsieur,

Vous débattrez demain du projet de loi relatif à la protection des données personnelles. L’Assemblée nationale et le Sénat que vous représentez ont arrêté certaines positions en faveur de la protection des libertés. Il s'agit à présent de concilier ces avancées afin de répondre aux enjeux posés par cette évolution législative historique.

Décision individuelle automatisée - article 14

L'Assemblée nationale et le Sénat ont fermement réitéré l'interdiction historique d'une automatisation de la Justice, mais l'Assemblée nationale a néanmoins admis cette automatisation dans le cadre des décisions administratives individuelles.

Ce revirement total par rapport à ce que la loi informatique et liberté a interdit dès 1978 a été de la volonté du secrétariat d’État au numérique, le ministère de la Justice ne semblant manifestement pas le soutenir activement. Il faut regretter que l'Assemblée n'ait pas pris le temps d'en discuter lors de l'examen du texte en séance publique, acceptant sans vrai débat ce changement de paradigme. Voir en ce sens l'avis de la CNIL sur le projet de loi (pp.27 – 28).

Heureusement, la rapporteure du texte au Sénat a fait poser certaines limites à cette automatisation des décisions administratives. À cet égard, toute limitation de la sorte devra être défendue et retenue par votre commission.

Sanction des collectivités - article 6

Le Sénat a indiqué souhaiter exempter les collectivités territoriales de toute sanction de la CNIL. À défaut d'être associé à la moindre sanction, le contrôle de la CNIL sur ces collectivités deviendrait parfaitement vain et, en pratique, prendrait vraisemblablement rapidement fin.

Ce contrôle apparaît toutefois indispensable au regard des mutations rapides et drastiques déjà entamées en matière de « justice prédictive » ou de « ville intelligente ». 

Ainsi l'application « Reporty » qui, testée par la ville de Nice, devait recueillir et centraliser les signalements vidéos d'incivilités et d'infractions transmis par ordiphone a été dénoncée par la CNIL qui a jugé les traitements envisagés disproportionnés et n'ayant pas de base légale. Voir en ce sens la récente décision de la CNIL.

Un deuxième cas récent qui justifie également de conserver le pouvoir de sanction de la CNIL à l’égard des collectivités est celui de « l'observatoire Big Data de la tranquillité publique » que la ville de Marseille est en train de mettre sur pied. Pour s’en convaincre lire l'article détaillé de La Quadrature du Net.

Face à des mutations aussi vertigineuses, vous devrez expliquer aux citoyens pourquoi vous leur avez retiré la protection que leur offrait encore la CNIL.

Votre commission doit donc retenir la position de l'Assemblée nationale, qui conserve à la CNIL son entier pouvoir de sanction.

Chiffrement par défaut - après l'article 10

Reprenant un amendement proposé par La Quadrature du Net, le Sénat a précisé l'obligation de sécurité imposée par le RGPD, indiquant que celle-ci implique de chiffrer les données chaque fois que cela est possible (et donc notamment de chiffrer les communications de bout en bout).

Cette précision fondamentale clarifie l’obligation de sécurité et évitera tout faux débat quant à son interprétation.
La CNIL considère en effet depuis longtemps que, « dans un contexte de numérisation croissante de nos sociétés et d’accroissement exponentiel des cybermenaces, le chiffrement est un élément vital de notre sécurité », exigeant ainsi des « solutions de chiffrement robustes, sous la maitrise complète de l’utilisateur » - telles que celles votées par le Sénat et qui doivent être maintenues dans la loi.

Rappelons que la position de la CNIL n'est en rien limitée à des considérations propres aux libertés, l'Agence nationale de sécurité des systèmes d'information (ANSSI) établissant ainsi nettement que « parmi les outils de protection indispensables figurent au premier rang les moyens de cryptographie et notamment les technologies de chiffrement de l'information. Eux seuls permettent d'assurer une sécurité au juste niveau lors de la transmission, du stockage et de l'accès aux données numériques sensibles ».

Droit à la portabilité - article 20 bis

La loi pour une république numérique de 2016 a inscrit dans la loi une obligation étendue à la portabilité des données. Cette portabilité dépasse celle restreinte aux seules données personnelles prévues par le règlement. La portabilité générale inscrite en droit français permet une mise en application véritable de ce dispositif pour permettre aux internautes consommateurs de faire véritablement jouer la concurrence entre services en ligne et éviter de devoir demeurer sur un service qui ne leur conviendrait plus en raison du « coût de sortie » d'une perte d'une grande quantité de données non personnelles, notamment celles apportées au service. 

Le Sénat l'a bien compris : le texte, dans la version qu'il a retenue, est plus protecteur des internautes, il facilitera une concurrence saine entre services en ligne et doit donc être conservé.

L’Observatoire des Libertés et du Numérique vous demande instamment à l’occasion de ce vote important pour les libertés numériques des résidents européens, de faire les choix des dispositions les plus protectrices des libertés.

Organisations signataires de l’OLN : Le CECIL, Creis-Terminal, La Ligue des Droits de l'Homme (LDH), La Quadrature du Net (LQDN)

Loi données personnelles, dernière étape ? Le Parlement doit défendre ses avancées

jeudi 5 avril 2018 à 14:44

5 avril 2018 - Demain se tiendra la commission mixte paritaire (réunissant une poignée de députés et de sénateurs) destinée à trancher les différentes version de la loi « données personnelles » adoptée par chacune des deux chambres ces deux derniers mois. Bien qu'échouant chacune à encadrer les services de renseignement, l'Assemblée nationale et le Sénat ont, chacun de leur côté, prévu certaines avancées pour nos libertés.

Le rôle de la commission sera de trancher point par point laquelle des versions des deux chambres doit être définitivement adoptée. L'Observatoire des Libertés et du Numérique (OLN) leur écrit pour leur indiquer les choix exigés par la défense de nos libertés.

Lettre ouverte aux membres de la commission mixte paritaire

Madame, Monsieur,

Vous débattrez demain du projet de loi relatif à la protection des données personnelles. L’Assemblée nationale et le Sénat que vous représentez ont arrêté certaines positions en faveur de la protection des libertés. Il s'agit à présent de concilier ces avancées afin de répondre aux enjeux posés par cette évolution législative historique.

Décision individuelle automatisée - article 14

L'Assemblée nationale et le Sénat ont fermement réitéré l'interdiction historique d'une automatisation de la Justice, mais l'Assemblée nationale a néanmoins admis cette automatisation dans le cadre des décisions administratives individuelles.

Ce revirement total par rapport à ce que la loi informatique et liberté a interdit dès 1978 a été de la volonté du secrétariat d’État au numérique, le ministère de la Justice ne semblant manifestement pas le soutenir activement. Il faut regretter que l'Assemblée n'ait pas pris le temps d'en discuter lors de l'examen du texte en séance publique, acceptant sans vrai débat ce changement de paradigme. Voir en ce sens l'avis de la CNIL sur le projet de loi (pp.27 – 28).

Heureusement, la rapporteure du texte au Sénat a fait poser certaines limites à cette automatisation des décisions administratives. À cet égard, toute limitation de la sorte devra être défendue et retenue par votre commission.

Sanction des collectivités - article 6

Le Sénat a indiqué souhaiter exempter les collectivités territoriales de toute sanction de la CNIL. À défaut d'être associé à la moindre sanction, le contrôle de la CNIL sur ces collectivités deviendrait parfaitement vain et, en pratique, prendrait vraisemblablement rapidement fin.

Ce contrôle apparaît toutefois indispensable au regard des mutations rapides et drastiques déjà entamées en matière de « justice prédictive » ou de « ville intelligente ». 

Ainsi l'application « Reporty » qui, testée par la ville de Nice, devait recueillir et centraliser les signalements vidéos d'incivilités et d'infractions transmis par ordiphone a été dénoncée par la CNIL qui a jugé les traitements envisagés disproportionnés et n'ayant pas de base légale. Voir en ce sens la récente décision de la CNIL.

Un deuxième cas récent qui justifie également de conserver le pouvoir de sanction de la CNIL à l’égard des collectivités est celui de « l'observatoire Big Data de la tranquillité publique » que la ville de Marseille est en train de mettre sur pied. Pour s’en convaincre lire l'article détaillé de La Quadrature du Net.

Face à des mutations aussi vertigineuses, vous devrez expliquer aux citoyens pourquoi vous leur avez retiré la protection que leur offrait encore la CNIL.

Votre commission doit donc retenir la position de l'Assemblée nationale, qui conserve à la CNIL son entier pouvoir de sanction.

Chiffrement par défaut - après l'article 10

Reprenant un amendement proposé par La Quadrature du Net, le Sénat a précisé l'obligation de sécurité imposée par le RGPD, indiquant que celle-ci implique de chiffrer les données chaque fois que cela est possible (et donc notamment de chiffrer les communications de bout en bout).

Cette précision fondamentale clarifie l’obligation de sécurité et évitera tout faux débat quant à son interprétation.
La CNIL considère en effet depuis longtemps que, « dans un contexte de numérisation croissante de nos sociétés et d’accroissement exponentiel des cybermenaces, le chiffrement est un élément vital de notre sécurité », exigeant ainsi des « solutions de chiffrement robustes, sous la maitrise complète de l’utilisateur » - telles que celles votées par le Sénat et qui doivent être maintenues dans la loi.

Rappelons que la position de la CNIL n'est en rien limitée à des considérations propres aux libertés, l'Agence nationale de sécurité des systèmes d'information (ANSSI) établissant ainsi nettement que « parmi les outils de protection indispensables figurent au premier rang les moyens de cryptographie et notamment les technologies de chiffrement de l'information. Eux seuls permettent d'assurer une sécurité au juste niveau lors de la transmission, du stockage et de l'accès aux données numériques sensibles ».

Droit à la portabilité - article 20 bis

La loi pour une république numérique de 2016 a inscrit dans la loi une obligation étendue à la portabilité des données. Cette portabilité dépasse celle restreinte aux seules données personnelles prévues par le règlement. La portabilité générale inscrite en droit français permet une mise en application véritable de ce dispositif pour permettre aux internautes consommateurs de faire véritablement jouer la concurrence entre services en ligne et éviter de devoir demeurer sur un service qui ne leur conviendrait plus en raison du « coût de sortie » d'une perte d'une grande quantité de données non personnelles, notamment celles apportées au service. 

Le Sénat l'a bien compris : le texte, dans la version qu'il a retenue, est plus protecteur des internautes, il facilitera une concurrence saine entre services en ligne et doit donc être conservé.

L’Observatoire des Libertés et du Numérique vous demande instamment à l’occasion de ce vote important pour les libertés numériques des résidents européens, de faire les choix des dispositions les plus protectrices des libertés.

Organisations signataires de l’OLN : Le CECIL, Creis-Terminal, La Ligue des Droits de l'Homme (LDH), La Quadrature du Net (LQDN)

Le Conseil constitutionnel restreint le droit au chiffrement

mercredi 4 avril 2018 à 15:11

4 avril 2018 - Dans sa décision du 30 mars 2018 relative à l'article 434-15-2 du code pénal, le Conseil constitutionnel a refusé de protéger le droit pour une personne suspectée (en l'espèce un soupçonné revendeur de drogues) de ne pas révéler ses clefs de déchiffrement. Alors que de nombreux acteurs du droit et le gouvernement lui-même s'attendaient à une décision ménageant le droit à ne pas s'auto-incriminer – c'est-à-dire le fait de ne pas être contraint de s'accuser soi-même en livrant son mot de passe –, le Conseil rend une décision très décevante. La Quadrature du Net, qui est intervenue dans cette affaire, s'inquiète de cette décision qui risque d'affaiblir durablement le droit au chiffrement.

La disposition attaquée, l'article 434-15-2 du code pénal, punit d'importantes peines d'amendes et de prison le refus de livrer aux autorités judiciaires une convention de déchiffrement (par exemple, le mot de passe permettant de déchiffrer le contenu d'un disque dur).

Des réserves a minima

Les seules réserves apportées par le Conseil consistent à confirmer qu'il est nécessaire pour l'autorité judiciaire « d'établir » que la personne concernée a effectivement connaissance de la clef de déchiffrement. Cette précision confirme que l'incrimination pénale ne peut être retenue contre des prestataires de solution de chiffrement « bout-en-bout » des communications qui, par définition, n'ont pas connaissance de la clef.

Le Conseil impose également que « l'enquête ou l'instruction doivent avoir permis d'identifier l'existence des données traitées par le moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit ». Une précision qui invite à penser qu'il sera donc nécessaire pour les autorités de prouver que des données spécifiques intéressant l'enquête existent bien sur le périphérique concerné.

Malheureusement, le Conseil constitutionnel a refusé de reconnaître les atteintes de ce texte au droit de ne pas s'accuser, au droit au respect de la vie privée, au secret des correspondances, ou encore à la liberté d'expression et de communication.

Le droit de ne pas s'auto-incriminer bafoué

Cette décision constitue d'abord une véritable remise en cause du droit de ne pas s'auto-incriminer – un principe fondamental du droit pénal – qui déséquilibre fortement l'équilibre précaire entre l'instruction et la poursuite légitime des infractions d'un côté, les droits de la défense et le respect de la présomption d'innocence de l'autre. Elle est d'autant plus choquante que la limitation de l'application de ce texte aux seules personnes tierces à l'infraction (n'étant donc pas menacées par l'enquête) était déjà acceptée par une large majorité des acteurs du droit qui doivent faire application de cette incrimination (juridictions, forces de l'ordre, avocats…).

C'est ce qu'illustre par exemple un rapport de la CNIL de 2016, qui affirmait que les obligations de révéler des clefs de déchiffrement « ne peuvent pas conduire à obliger les personnes mises en cause à fournir les informations utiles à l’enquête ». La CNIL poursuivait en rappelant que « le droit de ne pas s’auto-incriminer est un droit fondamental qui trouve son origine dans la Convention européenne des droits de l'Homme et dans la jurisprudence de la Cour européenne ».

Même Philippe Blanc, représentant le Premier ministre dans cette affaire, le reconnaissait plusieurs fois lors de à l'audience du 6 mars 2018 :

La seule interprétation qui soit de nature à rendre l'article 434-15-2 du Code pénal conforme à la Constitution est, en effet, celle qui exclue l'application de cette loi aux personnes suspectées d'avoir commis elles-mêmes une infraction. Cette interprétation est nécessaire […] pour préserver le droit de la personne suspectée à ne pas s'auto-incriminer.

En ce même sens, dès février, le Centre de recherche de l'école des officiers de la gendarmerie nationale (CREOGN) anticipait la décision en ces termes : « Cette décision va sans doute consister en une déclaration de constitutionnalité sous réserve : le texte ne s'appliquerait pas aux auteurs, co-auteurs ou complices en vertu du droit de se taire et de ne pas s'auto-incriminer ».

Et pourtant, le Conseil constitutionnel en a décidé autrement.

Le droit à la vie privée et la liberté de communication menacées

Le CREOGN rappelait par ailleurs le contexte de la création de cette infraction : un simple amendement non véritablement débattu dans la loi relative à la sécurité quotidienne du 15 novembre 2001, adoptée dans le contexte et l'émotion des attaques du 11 septembre. Passible d'une sanction particulièrement importante (3 ans de prison et 270 000 € d'amende), cette disposition risque d'être désormais utilisée aussi bien par les juges d'instruction que par les procureurs pour contraindre des suspects de leur donner accès à tout périphérique chiffré (smartphone, ordinateur, périphériques de mémoire…).

Cette décision remet en cause le droit au chiffrement et l'intérêt de son usage, mais aussi, incidemment, la vie privée, la confidentialité des communications, le secret des sources journalistiques et la liberté de communication. Alors que l'ère numérique banalise la société de surveillance, ce droit est pourtant devenu une nécessité pour garantir les libertés fondamentales face aux possibilités d'arbitraire de l'État. En 2015, l'Assemblée parlementaire du Conseil de l'Europe rappelait ainsi que, « jusqu’à ce que les États acceptent de fixer des limites aux programmes de surveillance massive menés par leurs agences de renseignement, le chiffrement généralisé visant à renforcer la vie privée constitue la solution de repli la plus efficace pour permettre aux gens de protéger leurs données »1.

La décision du Conseil fait d'ailleurs fi des recommandations formulées en 2015 par David Kaye, rapporteur spécial du Conseil des droits de l'Homme de l'ONU pour la liberté d'expression, dans son rapport sur le droit au chiffrement, où il abordait la question des obligations de livrer les clefs de déchiffrement2. Plus largement, elle s'inscrit dans une tradition juridique française particulièrement hostile au chiffrement, qu'illustre par exemple l'article 132-79 du code pénal, qui fait de l'usage du chiffrement une circonstance aggravante lorsqu'il est utilisé pour préparer ou commettre un délit.

L'accès aux données stockées sur nos ordinateurs, nos téléphones ou, sur nos serveurs s'avère formidablement intrusif, révélant des pans entiers de notre intimité, de notre histoire personnelle, de notre mémoire. Dans ce contexte, le chiffrement des données permet de rétablir un peu de l'équilibre perdu entre les capacités de surveillance des États et le droit à la vie privée. Or, par cette décision, le Conseil constitutionnel admet que le simple fait d'être suspect justifie que l'État puisse nous forcer à révéler cette intimité, à nous faire transparents à ses yeux, alors même que les services enquêteurs peuvent disposer d'autres moyens pour élucider une affaire. C'est une erreur historique qui, dans son principe, pourrait s'avérer lourde de conséquences.

Si cette jurisprudence est décevante, elle marque toutefois l'émergence d'un véritable débat sur le droit au chiffrement au niveau des cours constitutionnelles européennes. Elle rappelle aussi, en creux, la nécessité de se mobiliser au niveau européen, par exemple autour de la directive sur l'accès transfrontière aux données qui sera présenté le 17 avril prochain, afin de garantir la protection d'un droit au chiffrement désormais consubstantiel de la protection de la vie privée et de la liberté de communication.

Error happened! 0 - Call to undefined function simplexml_load_string() In: /var/www/Projet-Autoblog/autoblogs/autoblog.php:364 http://www.couturat.fr/Projet-Autoblog/autoblogs/wwwlaquadraturenet_44e8acc42497346e638a15ab33c4994359e275c3/?27 #0 /var/www/Projet-Autoblog/autoblogs/autoblog.php(932): VroumVroum_Blog->update() #1 /var/www/Projet-Autoblog/autoblogs/wwwlaquadraturenet_44e8acc42497346e638a15ab33c4994359e275c3/index.php(1): require_once('/var/www/Projet...') #2 {main}