PROJET AUTOBLOG


La Quadrature du Net

Site original : La Quadrature du Net

⇐ retour index

Mise à jour

Mise à jour de la base de données, veuillez patienter...

Pistage en ligne : le gouvernement va-t-il autoriser la marchandisation de nos données ?

mercredi 7 mars 2018 à 14:35

Paris, le 7 mars 2018 - Demain, les ministères de l'Économie, de la Culture et de la Justice, ainsi que le secrétariat d'État au numérique, devraient arrêter certaines des positions de la France sur le règlement ePrivacy, notamment en matière de pistage de nos comportements en ligne. Cette décision fera suite à un rapport du Conseil général de l'économie, rendu public le 20 février dernier et plaidant en faveur de la marchandisation de nos données, à contre-courant du règlement européen sur la protection des données (RGPD) et de la protection de nos libertés. La Quadrature publie ci-dessous la lettre ouverte qui leur est destinée.

L'entrée en application du règlement général sur la protection des données (RGPD) le 25 mai prochain affole tout l'écosystème de la publicité en ligne qui, depuis dix ans, s'est développé dans l'illégalité, grâce notamment au laisser-faire de la CNIL. Depuis dix ans, alors que le droit européen leur interdit de nous pister en ligne sans notre consentement préalable, libre et éclairé, ces acteurs ont systématiquement refusé de respecter nos droits.

À la veille de l'entrée en application du RGPD qui, enfin, ne devrait plus leur laisser de marge de manœuvre pour continuer de violer nos droits fondamentaux, l'ensemble de cette industrie (publicitaires, opérateurs télécoms, grands éditeurs de presse) publie une lettre ouverte suppliant le gouvernement de sauver leur activité illicite en la rendant légale au niveau européen dans le règlement ePrivacy (ce règlement est destiné à modifier la protection européenne de nos activités en ligne et présente donc pour cette industrie l'opportunité de réduire celle-ci à néant).

Revoir notre site de campagne exposant les enjeux du règlement ePrivacy
Relire notre article sur l'état des débats législatifs

Cette volonté a trouvé écho dans un rapport commandé en octobre dernier par le gouvernement au Conseil général de l'économie (CGE, service de conseil du ministère de l'économie), qui propose purement et simplement de mettre de côté le RGPD en matière de traçage en ligne, afin que nous puissions être contraints de donner notre consentement pour accéder à un service en ligne - ce qui revient à monnayer nos droits fondamentaux à la vie privée et à la protection de nos données, et ce que le GDPR, le Parlement européen et les CNIL européennes condamnent fermement.

Le gouvernement français doit prendre une position ferme et définitive pour rejeter ces incessantes tentatives de détruire les quelques avancées apportées par le RGPD. Et l'industrie doit comprendre qu'elle a déjà perdu la première bataille, il y a deux ans, lors de l'adoption par l'Union européenne du RGPD : elle doit maintenant amender son comportement. Si elle s'y refuse, qu'elle sache que La Quadrature du Net est maintenant habilitée à conduire des actions de groupe et attend de pied ferme le 25 mai prochain. Débattre aujourd'hui sur le règlement ePrivacy ne l'aidera alors en rien.

Notre lettre ouverte transmise au gouvernement : en PDF (2 pages) ou ci-dessous.

Madame, Monsieur,

Le 23 octobre dernier, les ministères de l'économie et de la culture et le secrétariat d'État au Numérique ont chargé le Conseil général de l'économie (CGE) de produire un rapport sur les articles 8 à 10 du projet de règlement ePrivacy.

Il faut d'abord s’inquiéter du fait que la mission confiée au CGE ne s'intéresse en aucune façon aux nouvelles dérogations au consentement permises par cet article 8 en matière de géolocalisation et de mesure d'audience, alors que ces dérogations restent encore strictement exclues par la directive 2002/58. La mission du CGE aurait pourtant été l'occasion d'évaluer l'impact de telles mesures sur la vie privée.

À la place, et à l’opposé, la mission vise surtout à évaluer les conséquences d'obligations déjà prévues depuis 2009 par la directive ePrivacy (s'agissant de « l'encadrement des cookies ») et depuis 2016 par le RGPD (s'agissant de « la définition du consentement »). Le souhait d'évaluer les conséquences d'obligations actuelles laisse craindre une volonté de remettre celles-ci en cause. Il s'agit malheureusement de la direction adoptée par le CGE dans son rapport publié le 20 février.

Un consentement forcé

L'article 7, §4, du RGPD, accompagné par son considérant 43, prévoit qu'un consentement n'est pas valide s'il est donné sous la menace de ne pas accéder à un service ou de n’accéder qu’à un service dégradé. Dans sa proposition n°5, le CGE invite le gouvernement à prévoir dans le règlement ePrivacy une dérogation au RGPD afin de rendre un tel consentement valide. Ce faisant, le CGE s'oppose :

  • au groupe de l'article 29 qui, dans ses lignes directrices WP259 du 28 novembre 2017, donne une explication détaillée du caractère libre du consentement exigé par le RGPD :
  • à la CNIL, qui a donné une application concrète de ce principe dans sa mise en demeure de Whatsapp le 18 décembre dernier ;
  • au Parlement européen, qui a détaillé l’application sectorielle de ce principe dans le règlement ePrivacy, en interdisant les tracking-wall ;
  • au souhait majoritaire de la population qui, en France, et selon l'Eurobaromètre de 2017, refuserait à 82% de payer afin de ne pas être surveillée en visitant un site Internet (p. 63) et refuserait à 60% de voir ses activités en ligne surveillées en échange d'un accès non restreint à un site Internet (p. 59) ;
  • au principe démocratique élémentaire selon lequel nul ne peut renoncer au bénéfice d'un droit fondamental en contre-partie d'un bien ou d'un service, sans quoi ce droit ne serait plus garanti que par le niveau de fortune de chaque personne.

Des conséquences erronées

Le rapport du CGE se fondant sur l'idée que le consentement doit pouvoir être forcé, il en tire plusieurs conclusions aussi erronées que son postulat de départ.

En premier lieu, le CGE prétend que bloquer par défaut les outils de pistage favoriserait les grandes plateformes, car celles-ci pourraient obtenir le consentement de leurs utilisateurs plus facilement que d'autres sites.

Ceci n’aurait un sens que si ces plateformes avaient un moyen de négociation envers leurs utilisateurs plus important que n’en auraient d’autres sites. Or, le principe de la liberté du consentement interdit précisément toute forme de négociation en matière de données personnelles : peu importe la taille ou la structure d’un site, il ne peut pas limiter son accès aux seuls utilisateurs acceptant d'y être surveillés.

En deuxième lieu, le CGE justifie plusieurs de ses positions par l’idée que les internautes accepteraient eux-mêmes de céder leurs données pour avoir du « tout gratuit », or :

  • le CGE n’explique pas en quoi, en vérité, cette « acceptation » n’est pas forcée, tel qu’il souhaite lui-même le permettre ;
  • la gratuité n’est pas synonyme d’exploitation de données, tel que le démontre l’existence de nombreux sites et logiciels véritablement « gratuits » (Wikipédia, Firefox, VLC, Linux, LibreOffice, etc.) ;
  • Internet n’est pas synonyme de gratuit, tel que le démontre le succès de nombreuses offres payantes (Netflix, Spotify, Mediapart, etc.).
  • En troisième lieu, le CGE insiste sur la nécessité de ne pas rendre la navigation plus difficile du fait de demandes de consentement, mais passe complètement sous silence l’effet de sa propre proposition : les tracking-wall visent précisément à rendre la navigation plus difficile, voire impossible.

    Des solutions ignorées

    La mission du CGE visait aussi le recueil du consentement « via le paramétrage du navigateur » qui, par défaut, serait configuré pour bloquer les traceurs. Si le CGE rend un avis négatif sur cette nouvelle garantie introduite par le projet de règlement, ce n’est qu’en omettant plusieurs réalités techniques.

    En premier lieu, le CGE prétend que bloquer des traceurs au moyen d’une liste noire ne peut reposer techniquement que sur l’établissement par des tiers d’une telle liste, ce qui causerait des problèmes de gouvernance.

    Ceci revient à mettre de côté le fait que les listes établies par des tiers le sont en pratique de façon parfaitement transparente et laissées au choix des utilisateurs (tel que sur uBlock Origin, où des dizaines de listes différentes sont proposées).

    Ensuite, ceci revient aussi à passer sous silence la méthode développée par l’Electronic Frontier Foundation et déployée sur son extension Privacy Badger, qui ne repose pas sur une liste pré-établie. L'extension au navigateur construit seule et progressivement une liste noire en analysant les requêtes récurrentes rencontrées par l’utilisateur sur la multitude des sites qu’il visite (durant plusieurs semaines, mois, années) afin de détecter celles qui le pistent. Aucune contrainte technique ne s’oppose à intégrer dans chaque navigateur cette méthode aussi efficace que transparente et indépendante d’autorités tiers.

    En deuxième lieu, le CGE prétend qu’un blocage par défaut des traceurs par le navigateur empêcherait les sites web de communiquer avec les internautes pour leur demander efficacement leur consentement.

    Ceci revient à passer sous silence la pratique déjà déployée par de nombreux sites pour faire face aux bloqueurs de traceurs : l’accès au contenu du site (site de presse, typiquement, tel que celui des Echos) est bloqué (dès la première consultation ou après lecture de quelques articles) et un texte est affiché à l’internaute, l’invitant à désactiver son bloqueur et lui exposant les raisons pour ce faire.

    Bien que cette pratique soit illicite lorsqu’elle conduit à bloquer l’accès (car niant la liberté du consentement), elle démontre combien il est simple pour chaque site d’exposer sa propre demande de consentement.

    En troisième lieu, le CGE prétend qu’il serait dangereux de confier le blocage des traceurs à des éditeurs de navigateur et de système d’exploitation qui occupent une place dominante sur le marché du pistage en ligne.

    Ceci revient à nier que ces éditeurs bénéficient déjà de cette situation : ils mettent en œuvre des politiques de blocages (détaillées par le CGE) dont le but est de rendre plus attractifs leurs propres outils de pistage (l’identifiant unique attribué sur Android et iOS, typiquement). Seule la loi peut, en imposant des mécanismes de blocage s’appliquant pareillement à leurs propres outils et à ceux de tiers, corriger ce déséquilibre déjà présent et dommageable.

    Conclusion

    Pour ces raisons, nous vous invitons :

    • à ne pas introduire de dérogation au principe de liberté du consentement prévu par le RGPD ;
    • à ne pas supprimer l’obligation pour les navigateurs de bloquer les traceurs par défaut ;
    • à supprimer les exceptions au consentement en matière de géolocalisation et de mesure d’audience, sans en rajouter aucune autre (telle la pseudonymisation, qui est une mesure de sécurité déjà imposée par le RGPD et qui n’aurait donc aucun sens à devenir ici une condition de licéité).

    Si le projet de règlement ePrivacy devait évoluer autrement, nous devrions renoncer aux quelques avancées qu’il apporte pour nous opposer à son adoption, afin de ne pas voir la protection actuellement offerte par la directive ePrivacy être amoindrie à ce point.

    Cordialement,

    La Quadrature du Net

<style>li { list-style: initial; }

Pistage en ligne : le gouvernement va-t-il autoriser la marchandisation de nos données ?

mercredi 7 mars 2018 à 14:35

Paris, le 7 mars 2018 - Demain, les ministères de l'Économie, de la Culture et de la Justice, ainsi que le secrétariat d'État au numérique, devraient arrêter certaines des positions de la France sur le règlement ePrivacy, notamment en matière de pistage de nos comportements en ligne. Cette décision fera suite à un rapport du Conseil général de l'économie, rendu public le 20 février dernier et plaidant en faveur de la marchandisation de nos données, à contre-courant du règlement européen sur la protection des données (RGPD) et de la protection de nos libertés. La Quadrature publie ci-dessous la lettre ouverte qui leur est destinée.

L'entrée en application du règlement général sur la protection des données (RGPD) le 25 mai prochain affole tout l'écosystème de la publicité en ligne qui, depuis dix ans, s'est développé dans l'illégalité, grâce notamment au laisser-faire de la CNIL. Depuis dix ans, alors que le droit européen leur interdit de nous pister en ligne sans notre consentement préalable, libre et éclairé, ces acteurs ont systématiquement refusé de respecter nos droits.

À la veille de l'entrée en application du RGPD qui, enfin, ne devrait plus leur laisser de marge de manœuvre pour continuer de violer nos droits fondamentaux, l'ensemble de cette industrie (publicitaires, opérateurs télécoms, grands éditeurs de presse) publie une lettre ouverte suppliant le gouvernement de sauver leur activité illicite en la rendant légale au niveau européen dans le règlement ePrivacy (ce règlement est destiné à modifier la protection européenne de nos activités en ligne et présente donc pour cette industrie l'opportunité de réduire celle-ci à néant).

Revoir notre site de campagne exposant les enjeux du règlement ePrivacy
Relire notre article sur l'état des débats législatifs

Cette volonté a trouvé écho dans un rapport commandé en octobre dernier par le gouvernement au Conseil général de l'économie (CGE, service de conseil du ministère de l'économie), qui propose purement et simplement de mettre de côté le RGPD en matière de traçage en ligne, afin que nous puissions être contraints de donner notre consentement pour accéder à un service en ligne - ce qui revient à monnayer nos droits fondamentaux à la vie privée et à la protection de nos données, et ce que le GDPR, le Parlement européen et les CNIL européennes condamnent fermement.

Le gouvernement français doit prendre une position ferme et définitive pour rejeter ces incessantes tentatives de détruire les quelques avancées apportées par le RGPD. Et l'industrie doit comprendre qu'elle a déjà perdu la première bataille, il y a deux ans, lors de l'adoption par l'Union européenne du RGPD : elle doit maintenant amender son comportement. Si elle s'y refuse, qu'elle sache que La Quadrature du Net est maintenant habilitée à conduire des actions de groupe et attend de pied ferme le 25 mai prochain. Débattre aujourd'hui sur le règlement ePrivacy ne l'aidera alors en rien.

Notre lettre ouverte transmise au gouvernement : en PDF (2 pages) ou ci-dessous.

Madame, Monsieur,

Le 23 octobre dernier, les ministères de l'économie et de la culture et le secrétariat d'État au Numérique ont chargé le Conseil général de l'économie (CGE) de produire un rapport sur les articles 8 à 10 du projet de règlement ePrivacy.

Il faut d'abord s’inquiéter du fait que la mission confiée au CGE ne s'intéresse en aucune façon aux nouvelles dérogations au consentement permises par cet article 8 en matière de géolocalisation et de mesure d'audience, alors que ces dérogations restent encore strictement exclues par la directive 2002/58. La mission du CGE aurait pourtant été l'occasion d'évaluer l'impact de telles mesures sur la vie privée.

À la place, et à l’opposé, la mission vise surtout à évaluer les conséquences d'obligations déjà prévues depuis 2009 par la directive ePrivacy (s'agissant de « l'encadrement des cookies ») et depuis 2016 par le RGPD (s'agissant de « la définition du consentement »). Le souhait d'évaluer les conséquences d'obligations actuelles laisse craindre une volonté de remettre celles-ci en cause. Il s'agit malheureusement de la direction adoptée par le CGE dans son rapport publié le 20 février.

Un consentement forcé

L'article 7, §4, du RGPD, accompagné par son considérant 43, prévoit qu'un consentement n'est pas valide s'il est donné sous la menace de ne pas accéder à un service ou de n’accéder qu’à un service dégradé. Dans sa proposition n°5, le CGE invite le gouvernement à prévoir dans le règlement ePrivacy une dérogation au RGPD afin de rendre un tel consentement valide. Ce faisant, le CGE s'oppose :

  • au groupe de l'article 29 qui, dans ses lignes directrices WP259 du 28 novembre 2017, donne une explication détaillée du caractère libre du consentement exigé par le RGPD :
  • à la CNIL, qui a donné une application concrète de ce principe dans sa mise en demeure de Whatsapp le 18 décembre dernier ;
  • au Parlement européen, qui a détaillé l’application sectorielle de ce principe dans le règlement ePrivacy, en interdisant les tracking-wall ;
  • au souhait majoritaire de la population qui, en France, et selon l'Eurobaromètre de 2017, refuserait à 82% de payer afin de ne pas être surveillée en visitant un site Internet (p. 63) et refuserait à 60% de voir ses activités en ligne surveillées en échange d'un accès non restreint à un site Internet (p. 59) ;
  • au principe démocratique élémentaire selon lequel nul ne peut renoncer au bénéfice d'un droit fondamental en contre-partie d'un bien ou d'un service, sans quoi ce droit ne serait plus garanti que par le niveau de fortune de chaque personne.

Des conséquences erronées

Le rapport du CGE se fondant sur l'idée que le consentement doit pouvoir être forcé, il en tire plusieurs conclusions aussi erronées que son postulat de départ.

En premier lieu, le CGE prétend que bloquer par défaut les outils de pistage favoriserait les grandes plateformes, car celles-ci pourraient obtenir le consentement de leurs utilisateurs plus facilement que d'autres sites.

Ceci n’aurait un sens que si ces plateformes avaient un moyen de négociation envers leurs utilisateurs plus important que n’en auraient d’autres sites. Or, le principe de la liberté du consentement interdit précisément toute forme de négociation en matière de données personnelles : peu importe la taille ou la structure d’un site, il ne peut pas limiter son accès aux seuls utilisateurs acceptant d'y être surveillés.

En deuxième lieu, le CGE justifie plusieurs de ses positions par l’idée que les internautes accepteraient eux-mêmes de céder leurs données pour avoir du « tout gratuit », or :

  • le CGE n’explique pas en quoi, en vérité, cette « acceptation » n’est pas forcée, tel qu’il souhaite lui-même le permettre ;
  • la gratuité n’est pas synonyme d’exploitation de données, tel que le démontre l’existence de nombreux sites et logiciels véritablement « gratuits » (Wikipédia, Firefox, VLC, Linux, LibreOffice, etc.) ;
  • Internet n’est pas synonyme de gratuit, tel que le démontre le succès de nombreuses offres payantes (Netflix, Spotify, Mediapart, etc.).
  • En troisième lieu, le CGE insiste sur la nécessité de ne pas rendre la navigation plus difficile du fait de demandes de consentement, mais passe complètement sous silence l’effet de sa propre proposition : les tracking-wall visent précisément à rendre la navigation plus difficile, voire impossible.

    Des solutions ignorées

    La mission du CGE visait aussi le recueil du consentement « via le paramétrage du navigateur » qui, par défaut, serait configuré pour bloquer les traceurs. Si le CGE rend un avis négatif sur cette nouvelle garantie introduite par le projet de règlement, ce n’est qu’en omettant plusieurs réalités techniques.

    En premier lieu, le CGE prétend que bloquer des traceurs au moyen d’une liste noire ne peut reposer techniquement que sur l’établissement par des tiers d’une telle liste, ce qui causerait des problèmes de gouvernance.

    Ceci revient à mettre de côté le fait que les listes établies par des tiers le sont en pratique de façon parfaitement transparente et laissées au choix des utilisateurs (tel que sur uBlock Origin, où des dizaines de listes différentes sont proposées).

    Ensuite, ceci revient aussi à passer sous silence la méthode développée par l’Electronic Frontier Foundation et déployée sur son extension Privacy Badger, qui ne repose pas sur une liste pré-établie. L'extension au navigateur construit seule et progressivement une liste noire en analysant les requêtes récurrentes rencontrées par l’utilisateur sur la multitude des sites qu’il visite (durant plusieurs semaines, mois, années) afin de détecter celles qui le pistent. Aucune contrainte technique ne s’oppose à intégrer dans chaque navigateur cette méthode aussi efficace que transparente et indépendante d’autorités tiers.

    En deuxième lieu, le CGE prétend qu’un blocage par défaut des traceurs par le navigateur empêcherait les sites web de communiquer avec les internautes pour leur demander efficacement leur consentement.

    Ceci revient à passer sous silence la pratique déjà déployée par de nombreux sites pour faire face aux bloqueurs de traceurs : l’accès au contenu du site (site de presse, typiquement, tel que celui des Echos) est bloqué (dès la première consultation ou après lecture de quelques articles) et un texte est affiché à l’internaute, l’invitant à désactiver son bloqueur et lui exposant les raisons pour ce faire.

    Bien que cette pratique soit illicite lorsqu’elle conduit à bloquer l’accès (car niant la liberté du consentement), elle démontre combien il est simple pour chaque site d’exposer sa propre demande de consentement.

    En troisième lieu, le CGE prétend qu’il serait dangereux de confier le blocage des traceurs à des éditeurs de navigateur et de système d’exploitation qui occupent une place dominante sur le marché du pistage en ligne.

    Ceci revient à nier que ces éditeurs bénéficient déjà de cette situation : ils mettent en œuvre des politiques de blocages (détaillées par le CGE) dont le but est de rendre plus attractifs leurs propres outils de pistage (l’identifiant unique attribué sur Android et iOS, typiquement). Seule la loi peut, en imposant des mécanismes de blocage s’appliquant pareillement à leurs propres outils et à ceux de tiers, corriger ce déséquilibre déjà présent et dommageable.

    Conclusion

    Pour ces raisons, nous vous invitons :

    • à ne pas introduire de dérogation au principe de liberté du consentement prévu par le RGPD ;
    • à ne pas supprimer l’obligation pour les navigateurs de bloquer les traceurs par défaut ;
    • à supprimer les exceptions au consentement en matière de géolocalisation et de mesure d’audience, sans en rajouter aucune autre (telle la pseudonymisation, qui est une mesure de sécurité déjà imposée par le RGPD et qui n’aurait donc aucun sens à devenir ici une condition de licéité).

    Si le projet de règlement ePrivacy devait évoluer autrement, nous devrions renoncer aux quelques avancées qu’il apporte pour nous opposer à son adoption, afin de ne pas voir la protection actuellement offerte par la directive ePrivacy être amoindrie à ce point.

    Cordialement,

    La Quadrature du Net

<style>li { list-style: initial; }

Conseil constitutionnel : La Quadrature plaide contre l'obligation de livrer ses clefs de chiffrement

mardi 6 mars 2018 à 18:21

Paris, le 7 mars 2018 - La Quadrature du Net est intervenue avec Les Exégètes amateurs dans une affaire devant le Conseil constitutionnel mettant en cause une disposition du code pénal obligeant la remise de la convention secrète de déchiffrement d'un moyen de cryptologie.

Le 10 janvier dernier, la chambre criminelle de la Cour de cassation a renvoyé une question prioritaire de constitutionnalité (QPC) devant le Conseil constitutionnel, qui concerne la conformité aux droits et libertés que la Constitution garantit de l'article 434-15-2 du code pénal.

Cet article prévoit que :

« Est puni de trois ans d'emprisonnement et de 270 000 € d'amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.
Si le refus est opposé alors que la remise ou la mise en œuvre de la convention aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets, la peine est portée à cinq ans d'emprisonnement et à 450 000 € d'amende.
 »

Cette affaire met en cause des procédés intrusifs et attentatoires aux libertés mis en œuvre par les forces de police dans le cadre de leurs enquêtes. Ces procédés, permis par la loi renforçant la lutte contre le terrorisme et le crime organisé, sont très inquiétants notamment parce qu'ils s'appliquent indifféremment à tout type de crimes et délits.
C'est également l'occasion de rouvrir les multiples débats autour du chiffrement.

Clef

Il y a tout juste un an, l'Observatoire des Libertés du Numérique (OLN) dont La Quadrature fait partie, publiait son positionnement sur les questions liées au chiffrement et rappelait notamment son rôle dans la préservation des droits et libertés fondamentales notamment en réponse aux moyens croissants de la surveillance d'État.

L'argumentation principale repose sur le droit reconnu à chacun de ne pas s'auto-incriminer, et de garder le silence dans le cadre d'une enquête. Car révéler la clé de déchiffrement d'une communication qui constituerait une preuve de culpabilité revient directement à cela.

De plus, ce droit au silence doit être absolu - sans condition procédurale : il doit à la fois être garanti pour une personne visée par une enquête, mais aussi pour tous les tiers avec qui cette personne serait entrée en communication. En effet, ces tiers ne doivent pas pouvoir être « contraints » à s'auto-incriminer eux-aussi en déchiffrant les échanges tenus avec la personne poursuivie.

Le Conseil constitutionnel rendra sa décision le 21 mars 2018.

La vidéo de l'audience est disponible sur le site du Conseil constitutionnel.

Retrouvez ici la requête en intervention de La Quadrature du Net.

Nous publions aussi le texte de la plaidoirie de Maître Alexis Fitzjean O Cobhthaigh :

Merci, Monsieur le Président,

Mesdames et Messieurs les membres du Conseil constitutionnel,

1. Les « pères fondateurs » des États-Unis tels Benjamin Franklin, James Madison ou encore Thomas Jefferson, chiffraient leurs correspondances. C’est d’ailleurs dans un courrier partiellement codé que, le 27 mai 1789, Madison exposera à Jefferson son idée d’ajouter une Déclaration des droits à la Constitution américaine.

Le chiffrement prend racine dans les fondements de notre civilisation. Homère mentionne déjà plusieurs exemples mythiques dans l’Illiade.

Les techniques de chiffrement constellent notre histoire : carré de Polybe, palindrome de Sator, les sémagrammes grecs, les marquages de lettres, la scytale spartiate, le chiffre de César, le carré de Vigenère, le cadran d’Alberti, le télégraphe de Chappe, ou encore la réglette de Saint-Cyr.

Par le passé, les moyens de cryptologies ont été largement mobilisés.

Aujourd’hui, ils le sont tout autant pour sécuriser des échanges indispensables dans le fonctionnement actuel de la société.

M. Guillaume Poupard, le directeur de l’Agence nationale de la sécurité des systèmes d’information, l’ANSSI, l’a fermement réaffirmé dans une note en date du 24 mars 2016 à travers laquelle il explique que :

« Parmi les outils de protection indispensables, figurent au premier rang les moyens de cryptographie, et notamment les technologies de chiffrement de l’information. Eux seuls permettent d’assurer une sécurité au juste niveau lors de la transmission, du stockage et de l’accès aux données numériques sensibles. Les applications sont très nombreuses : échanges couverts par le secret de la défense nationale, données de santé ou de profession réglementée, données techniques, commerciales et stratégiques des entreprises, données personnelles des citoyens. Le développement et l’usage généralisé de ces moyens défensifs doivent par conséquent être systématiquement encouragés, voire réglementairement imposés dans les situations les plus critiques. »

Cette extension caractérisée du champ d’application du chiffrement à des domaines nouveaux implique, symétriquement, une protection juridique renforcée.

2. J’en viens donc à présent au droit.

L’article 434-15-2 du code pénal méconnaît le droit de se taire et le droit de ne pas s’auto-incriminer, notamment en ce que la convention secrète de déchiffrement relève du for interne de la personne poursuivie.

En outre, ces dispositions sont de nature à vicier le consentement libre de la communication d’éléments susceptibles de faire reconnaître la culpabilité d’une personne.

Dans ces conditions, la reconnaissance par une personne de sa propre culpabilité ne saurait être exprimée « volontairement, consciemment et librement » (cf. « commentaire autorisé » de la décision n° 2004-492 DC du 2 mars 2004, Loi portant adaptation de la justice aux évolutions de la criminalité, présent sur le site du Conseil constitutionnel), dès lors que les dispositions querellées viennent exercer une contrainte forte sur la liberté du consentement de la personne en cause.

Du reste, les dispositions contestées portent également atteinte, en toute hypothèse, au droit au respect à la vie privée, au droit au secret des correspondances, à la liberté d’expression, aux droits de la défense et au droit à un procès équitable.

De toute évidence, non seulement l’ensemble de ces atteintes à des droits et libertés constitutionnellement protégés ne sont en rien justifiées par un intérêt général suffisant, mais surtout, ce délit n’est nullement nécessaire, radicalement inadapté et manifestement disproportionné.

Sur l’absence de nécessité, d’abord.

Force est de constater qu’à aucun moment il n’est montré, ni même allégué, qu’un délit ou un crime aurait pu être empêché si un contenu avait été décrypté. Dans ces conditions, où se trouve la nécessité ?

En outre, le chiffrement n’empêche nullement les services de disposer de quantité croissante de données.

C’est ce que souligne très justement le Conseil national du numérique, dans un avis intitulé « prédictions, chiffrement et libertés » publié en septembre dernier :

« Le chiffrement des données n’est pas un obstacle insurmontable pour accéder aux informations nécessaires aux enquêtes. Il existe de nombreux moyens de le contourner, même s’il est très robuste, en exploitant des failles techniques ou en s’introduisant directement dans l’équipement de la personne ciblée. En outre, si les contenus sont chiffrés, les métadonnées y afférant restent généralement en clair, dans la mesure où elles sont indispensables au fonctionnement du système.
Et ces métadonnées sont bien souvent suffisantes pour cartographier un réseau ou localiser des individus, sans qu’il y ait besoin pour cela d’entrer dans le contenu des communications. »

Une telle analyse suffit à démontrer l’inutilité de ce procédé.

Mais ces dispositions sont encore radicalement inadaptées.

C’est d’autant plus manifeste concernant le champ personnel de la disposition attaquée.

Dans ses écritures le gouvernement fait valoir que celui-ci ne saurait concerner la personne soupçonnée.

Pourtant, le cas d’espèce démontre qu’elle peut bel et bien être appliquée en ce sens.

Or, en ce cas, le droit de ne pas s’incriminer ne saurait être plus ouvertement bafoué.

Pour ce qui est des tiers, deux hypothèses retiennent notre attention.

Les tiers ordinaires tout d’abord.

Face à un cas de complicité insoupçonnée, il n’est pas exclu que cette disposition aboutisse in fine à contraindre une personne à s’auto-incriminer, sans lui laisser l’occasion de garder le silence.

Concernant les professions protégées, la disposition attaquée pourrait, de façon indiscriminée, porter atteinte aux secrets de correspondances qui nécessitent un degré de protection particulièrement élevé. C’est le cas des sources journalistiques, du secret professionnel des avocats, ou encore, du secret médical.

Imagine-t-on, un journaliste, un avocat, un médecin contraint de révéler des secrets sur ses sources, ses clients, ses patients ?

A ce titre, les garanties apportées par la loi sont manifestement insuffisantes.

Du reste, on demeure quelque peu perplexe quant à la possibilité de prouver, de manière suffisamment certaine, la connaissance d’une telle convention de déchiffrement.

Les tiers intermédiaires ensuite.

Le standard de chiffrement actuel dit, asymétrique de bout en bout, implique que seul le destinataire d’une communication détienne la clé permettant de la déchiffrer. Il s’agit du protocole recommandé par l’ensemble des experts du secteur, au premier rang desquels se trouve, tel qu’il a été dit, l’ANSSI.

Cette information est donc, en principe, indéchiffrable par des tiers, et notamment par les intermédiaires. Ne détenant pas lui-même la clé de déchiffrement, le tiers est donc dans l’incapacité de répondre aux réquisitions dont il est l’objet.

Dans ces conditions, on peine encore à déceler l’intérêt d’une telle disposition.

Enfin, et surtout, ces dispositions sont manifestement disproportionnées.

A peine est-il besoin de relever, que ces dispositions ont un champ d’application qui s’étend sur l’ensemble des délits et des crimes. Même les délits les plus mineurs. Sans chercher à se limiter à ceux d’une particulière gravité.

En outre, on ne peut qu’être effrayé qu’une telle ingérence, dans des droits et libertés aussi fondamentaux que le droit au silence, le droit de ne pas s’auto-incriminer, mais aussi, la liberté d’expression, le droit à la vie privée, le droit au secret des correspondances et le droit à un procès équitable, puissent être tolérée pour de simples éventualités.

Et c’est pourquoi, j’ai l’honneur de vous demander, au nom de La Quadrature du Net, de censurer les dispositions attaquées, et ce sans effet différé.

Conseil constitutionnel : La Quadrature plaide contre l'obligation de livrer ses clefs de chiffrement

mardi 6 mars 2018 à 18:21

Paris, le 7 mars 2018 - La Quadrature du Net est intervenue avec Les Exégètes amateurs dans une affaire devant le Conseil constitutionnel mettant en cause une disposition du code pénal obligeant la remise de la convention secrète de déchiffrement d'un moyen de cryptologie.

Le 10 janvier dernier, la chambre criminelle de la Cour de cassation a renvoyé une question prioritaire de constitutionnalité (QPC) devant le Conseil constitutionnel, qui concerne la conformité aux droits et libertés que la Constitution garantit de l'article 434-15-2 du code pénal.

Cet article prévoit que :

« Est puni de trois ans d'emprisonnement et de 270 000 € d'amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.
Si le refus est opposé alors que la remise ou la mise en œuvre de la convention aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets, la peine est portée à cinq ans d'emprisonnement et à 450 000 € d'amende.
 »

Cette affaire met en cause des procédés intrusifs et attentatoires aux libertés mis en œuvre par les forces de police dans le cadre de leurs enquêtes. Ces procédés, permis par la loi renforçant la lutte contre le terrorisme et le crime organisé, sont très inquiétants notamment parce qu'ils s'appliquent indifféremment à tout type de crimes et délits.
C'est également l'occasion de rouvrir les multiples débats autour du chiffrement.

Clef

Il y a tout juste un an, l'Observatoire des Libertés du Numérique (OLN) dont La Quadrature fait partie, publiait son positionnement sur les questions liées au chiffrement et rappelait notamment son rôle dans la préservation des droits et libertés fondamentales notamment en réponse aux moyens croissants de la surveillance d'État.

L'argumentation principale repose sur le droit reconnu à chacun de ne pas s'auto-incriminer, et de garder le silence dans le cadre d'une enquête. Car révéler la clé de déchiffrement d'une communication qui constituerait une preuve de culpabilité revient directement à cela.

De plus, ce droit au silence doit être absolu - sans condition procédurale : il doit à la fois être garanti pour une personne visée par une enquête, mais aussi pour tous les tiers avec qui cette personne serait entrée en communication. En effet, ces tiers ne doivent pas pouvoir être « contraints » à s'auto-incriminer eux-aussi en déchiffrant les échanges tenus avec la personne poursuivie.

Le Conseil constitutionnel rendra sa décision le 21 mars 2018.

La vidéo de l'audience est disponible sur le site du Conseil constitutionnel.

Retrouvez ici la requête en intervention de La Quadrature du Net.

Nous publions aussi le texte de la plaidoirie de Maître Alexis Fitzjean O Cobhthaigh :

Merci, Monsieur le Président,

Mesdames et Messieurs les membres du Conseil constitutionnel,

1. Les « pères fondateurs » des États-Unis tels Benjamin Franklin, James Madison ou encore Thomas Jefferson, chiffraient leurs correspondances. C’est d’ailleurs dans un courrier partiellement codé que, le 27 mai 1789, Madison exposera à Jefferson son idée d’ajouter une Déclaration des droits à la Constitution américaine.

Le chiffrement prend racine dans les fondements de notre civilisation. Homère mentionne déjà plusieurs exemples mythiques dans l’Illiade.

Les techniques de chiffrement constellent notre histoire : carré de Polybe, palindrome de Sator, les sémagrammes grecs, les marquages de lettres, la scytale spartiate, le chiffre de César, le carré de Vigenère, le cadran d’Alberti, le télégraphe de Chappe, ou encore la réglette de Saint-Cyr.

Par le passé, les moyens de cryptologies ont été largement mobilisés.

Aujourd’hui, ils le sont tout autant pour sécuriser des échanges indispensables dans le fonctionnement actuel de la société.

M. Guillaume Poupard, le directeur de l’Agence nationale de la sécurité des systèmes d’information, l’ANSSI, l’a fermement réaffirmé dans une note en date du 24 mars 2016 à travers laquelle il explique que :

« Parmi les outils de protection indispensables, figurent au premier rang les moyens de cryptographie, et notamment les technologies de chiffrement de l’information. Eux seuls permettent d’assurer une sécurité au juste niveau lors de la transmission, du stockage et de l’accès aux données numériques sensibles. Les applications sont très nombreuses : échanges couverts par le secret de la défense nationale, données de santé ou de profession réglementée, données techniques, commerciales et stratégiques des entreprises, données personnelles des citoyens. Le développement et l’usage généralisé de ces moyens défensifs doivent par conséquent être systématiquement encouragés, voire réglementairement imposés dans les situations les plus critiques. »

Cette extension caractérisée du champ d’application du chiffrement à des domaines nouveaux implique, symétriquement, une protection juridique renforcée.

2. J’en viens donc à présent au droit.

L’article 434-15-2 du code pénal méconnaît le droit de se taire et le droit de ne pas s’auto-incriminer, notamment en ce que la convention secrète de déchiffrement relève du for interne de la personne poursuivie.

En outre, ces dispositions sont de nature à vicier le consentement libre de la communication d’éléments susceptibles de faire reconnaître la culpabilité d’une personne.

Dans ces conditions, la reconnaissance par une personne de sa propre culpabilité ne saurait être exprimée « volontairement, consciemment et librement » (cf. « commentaire autorisé » de la décision n° 2004-492 DC du 2 mars 2004, Loi portant adaptation de la justice aux évolutions de la criminalité, présent sur le site du Conseil constitutionnel), dès lors que les dispositions querellées viennent exercer une contrainte forte sur la liberté du consentement de la personne en cause.

Du reste, les dispositions contestées portent également atteinte, en toute hypothèse, au droit au respect à la vie privée, au droit au secret des correspondances, à la liberté d’expression, aux droits de la défense et au droit à un procès équitable.

De toute évidence, non seulement l’ensemble de ces atteintes à des droits et libertés constitutionnellement protégés ne sont en rien justifiées par un intérêt général suffisant, mais surtout, ce délit n’est nullement nécessaire, radicalement inadapté et manifestement disproportionné.

Sur l’absence de nécessité, d’abord.

Force est de constater qu’à aucun moment il n’est montré, ni même allégué, qu’un délit ou un crime aurait pu être empêché si un contenu avait été décrypté. Dans ces conditions, où se trouve la nécessité ?

En outre, le chiffrement n’empêche nullement les services de disposer de quantité croissante de données.

C’est ce que souligne très justement le Conseil national du numérique, dans un avis intitulé « prédictions, chiffrement et libertés » publié en septembre dernier :

« Le chiffrement des données n’est pas un obstacle insurmontable pour accéder aux informations nécessaires aux enquêtes. Il existe de nombreux moyens de le contourner, même s’il est très robuste, en exploitant des failles techniques ou en s’introduisant directement dans l’équipement de la personne ciblée. En outre, si les contenus sont chiffrés, les métadonnées y afférant restent généralement en clair, dans la mesure où elles sont indispensables au fonctionnement du système.
Et ces métadonnées sont bien souvent suffisantes pour cartographier un réseau ou localiser des individus, sans qu’il y ait besoin pour cela d’entrer dans le contenu des communications. »

Une telle analyse suffit à démontrer l’inutilité de ce procédé.

Mais ces dispositions sont encore radicalement inadaptées.

C’est d’autant plus manifeste concernant le champ personnel de la disposition attaquée.

Dans ses écritures le gouvernement fait valoir que celui-ci ne saurait concerner la personne soupçonnée.

Pourtant, le cas d’espèce démontre qu’elle peut bel et bien être appliquée en ce sens.

Or, en ce cas, le droit de ne pas s’incriminer ne saurait être plus ouvertement bafoué.

Pour ce qui est des tiers, deux hypothèses retiennent notre attention.

Les tiers ordinaires tout d’abord.

Face à un cas de complicité insoupçonnée, il n’est pas exclu que cette disposition aboutisse in fine à contraindre une personne à s’auto-incriminer, sans lui laisser l’occasion de garder le silence.

Concernant les professions protégées, la disposition attaquée pourrait, de façon indiscriminée, porter atteinte aux secrets de correspondances qui nécessitent un degré de protection particulièrement élevé. C’est le cas des sources journalistiques, du secret professionnel des avocats, ou encore, du secret médical.

Imagine-t-on, un journaliste, un avocat, un médecin contraint de révéler des secrets sur ses sources, ses clients, ses patients ?

A ce titre, les garanties apportées par la loi sont manifestement insuffisantes.

Du reste, on demeure quelque peu perplexe quant à la possibilité de prouver, de manière suffisamment certaine, la connaissance d’une telle convention de déchiffrement.

Les tiers intermédiaires ensuite.

Le standard de chiffrement actuel dit, asymétrique de bout en bout, implique que seul le destinataire d’une communication détienne la clé permettant de la déchiffrer. Il s’agit du protocole recommandé par l’ensemble des experts du secteur, au premier rang desquels se trouve, tel qu’il a été dit, l’ANSSI.

Cette information est donc, en principe, indéchiffrable par des tiers, et notamment par les intermédiaires. Ne détenant pas lui-même la clé de déchiffrement, le tiers est donc dans l’incapacité de répondre aux réquisitions dont il est l’objet.

Dans ces conditions, on peine encore à déceler l’intérêt d’une telle disposition.

Enfin, et surtout, ces dispositions sont manifestement disproportionnées.

A peine est-il besoin de relever, que ces dispositions ont un champ d’application qui s’étend sur l’ensemble des délits et des crimes. Même les délits les plus mineurs. Sans chercher à se limiter à ceux d’une particulière gravité.

En outre, on ne peut qu’être effrayé qu’une telle ingérence, dans des droits et libertés aussi fondamentaux que le droit au silence, le droit de ne pas s’auto-incriminer, mais aussi, la liberté d’expression, le droit à la vie privée, le droit au secret des correspondances et le droit à un procès équitable, puissent être tolérée pour de simples éventualités.

Et c’est pourquoi, j’ai l’honneur de vous demander, au nom de La Quadrature du Net, de censurer les dispositions attaquées, et ce sans effet différé.

« Fake news » : ramenons le débat européen à la source du problème

vendredi 2 mars 2018 à 12:34

Paris, le 2 mars 2018 - La Commission européenne a récemment lancé une consultation sur les « fausses nouvelles et la désinformation en ligne », à laquelle La Quadrature vient de répondre. Le débat actuel autour de ces phénomènes se distingue par la confusion qui y règne et le risque qu'il pose de conduire à des mesures portant atteinte à la liberté d'expression et au droit d'accès à l'information. Pourtant, le système de surveillance publicitaire des grandes plateformes basées sur l'économie de l'attention, ayant un effet destructeur sur le débat public, mérite un traitement sérieux.

Comme aux États-Unis, les leaders politiques en Europe sont hantés par le spectre des « fake news ». Début janvier, Emmanuel Macron a annoncé une future loi contre la propagation des « fausses informations », notamment en période électorale, qui est supposée arriver à l'Assemblée nationale fin mars.

La Commission européenne a ouvert une consultation, qui a pris fin le 23 février, afin de décider avant l'été s'il est nécessaire de légiférer à ce sujet. La Commission a également mis sur pied un groupe d'experts [EN], tenu de soumettre un rapport en mars. Ces deux actions de la Commission européenne visent uniquement la propagation des contenus en ligne qui sont « licites mais faux », sans donner de définition de « faux ».

Pour un débat constructif autour des « fausses nouvelles et la désinformation en ligne », nous voudrions rappeler cinq constats fondamentaux :

  1. Le problème de la désinformation existe [EN] depuis que le pouvoir existe : l'influence des grands médias historiques sur le pouvoir politique, ainsi que leur tendance au sensationnalisme ne sont pas des phénomènes récents ;
  2. aucun critère ne peut définir de façon satisfaisante et générale ce qu'est une information « fausse », la véracité d'une information ne pouvant être raisonnablement interrogée que dans le cadre factuel où elle cause un tort précis et concret à un individu ou à la société ;
  3. Internet, dans sa conception même, a été pensé comme un réseau neutre [EN], se distinguant des autres médias par le fait qu'il offre à tous la possibilité de s'exprimer et laisse aux usagers du réseau le soin de contrôler les informations qu'ils reçoivent ;
  4. Internet pourrait être un outil d'élargissement considérable du débat public, mais la régulation automatisée de ce débat, guidée par des critères purement marchands, lui nuit aujourd'hui grandement : pour vendre plus cher leurs espaces publicitaires, les plateformes dominantes favorisent la diffusion des informations les plus utiles au ciblage de leurs utilisateurs ;
  5. Le système de surveillance publicitaire des grandes plateformes, basé sur « le temps de cerveau disponible »1, a ainsi transformé les utilisateurs d'Internet, ainsi que les lecteurs des médias historiques, en des produits marchands. En ce sens, ce ne sont pas les utilisateurs mais les services qui sont responsables de la sur-diffusion de certaines informations pouvant nuire à l'équilibre du débat public.

Pour approcher le problème de la désinformation face à la régulation automatisée du débat public, il convient de prendre en compte les éléments suivants :

  1. Dans une démocratie, seule la société elle-même peut construire ses propres vérités2 (peu importe d'ailleurs que celles-ci forment un ensemble cohérent) ;
  2. La régulation automatisée du débat public par les plateformes dominantes nuit profondément à ce mécanisme de construction démocratique, la valeur d'une information n'y étant plus fixée qu'à partir du nombre de clics qu'elle peut générer ;
  3. Le fait que la société ne puisse plus efficacement construire ses propres vérités, à cause de cette régulation automatisée, ne doit pas être une excuse pour lui enlever ce rôle et confier celui-ci, grâce à la censure, à un gouvernement en perte de légitimité ou à des plateformes prédatrices.

Au lieu de combattre le mal par le mal (en incitant les plateformes à la censure sans même prendre en compte leur fonctionnement économique), il faut contraindre celles-ci à permettre leur interopérabilité avec d'autres plateformes alternatives et à respecter la réglementation sur les données personnelles (qui freinerait leur influence néfaste sur les débats).

En effet, la sur-diffusion d'un certain type d'informations, selon des critères opaques, purement économiques et ne prenant donc aucunement en compte l'intérêt public, est la conséquence inévitable de la surveillance imposée par les plateformes centralisées à leurs utilisateurs. Or, le règlement général sur la protection des données (RGPD) prévoit qu'aucun service ne peut être refusé à une personne du seul fait que celle-ci refuse que son comportement y soit analysé (voir la définition du caractère libre du consentement en droit européen).

L'entrée en application du RGPD le 25 mai prochain est en cela une très bonne nouvelle, qui laisse espérer pouvoir limiter drastiquement la toute puissance du monde publicitaire en matière de surveillance des utilisateurs et rendrait beaucoup moins intéressante la mise en avant de contenus « à clics », dont les « fake news » font partie.

La Quadrature du Net publie ici sa réponse à la consultation.

Error happened! 0 - Call to undefined function simplexml_load_string() In: /var/www/Projet-Autoblog/autoblogs/autoblog.php:364 http://www.couturat.fr/Projet-Autoblog/autoblogs/wwwlaquadraturenet_44e8acc42497346e638a15ab33c4994359e275c3/?30 #0 /var/www/Projet-Autoblog/autoblogs/autoblog.php(932): VroumVroum_Blog->update() #1 /var/www/Projet-Autoblog/autoblogs/wwwlaquadraturenet_44e8acc42497346e638a15ab33c4994359e275c3/index.php(1): require_once('/var/www/Projet...') #2 {main}