Dans le cadre de mon travail de députée européenne sur la sécurité et les affaires étrangères, je comprends moi-même toute la nécessité de cet outil. Militants, journalistes, défenseurs des droits de l’homme et citoyens ordinaires comptent tous sur le droit au respect de la vie privée, qu’ils considèrent comme l’une des valeurs européennes fondamentales à l’appui de la liberté d’expression et de la démocratie elle-même.
Le cryptage constitue l’une des technologies les plus importantes pour garantir la confidentialité dans le monde d’aujourd’hui, et c’est la raison pour laquelle la plupart des services essentiels sur Internet – applications de messagerie, appels, e-mails, partage de fichiers, paiements – dépendent de celui-ci. Sa forme la plus efficace, à savoir le cryptage de bout en bout, permet de faire en sorte que seules les parties communicantes puissent décrypter et visualiser le contenu de leurs messages, rendant ainsi impossible tout accès non autorisé (comme avec Signal ou WhatsApp, par exemple).
Or, les États et les autorités judiciaires sont de plus en plus désireux d’accéder aux communications cryptées, même si cela doit signifier mettre à mal la confiance du public dans la protection de la vie privée. Plusieurs gouvernements d’États membres de l’UE entendent en effet fragiliser les technologies de cryptage sous prétexte de lutte contre le terrorisme et autres crimes.
Le message est clair : autorités publiques et gouvernements sont nombreux à considérer le cryptage non pas comme un outil de protection des droits de l’homme, mais comme un obstacle. La Commission européenne a mis en place un groupe de travail de haut niveau autour de « l’accès aux données pour une application efficace de la loi ». Composé de représentants d’autorités judiciaires, ce groupe recommande que soit possible par conception un « accès légal » aux données « en clair », ce qui signifierait que les services de communication seraient tenus d’installer des « portes dérobées » permettant aux enquêteurs judiciaires d’accéder à des données par conséquent non cryptées.
Cette volonté d’affaiblir le cryptage a atteint un sommet en 2022, lorsque la Commission européenne a proposé un règlement pour la prévention des abus sexuels sur mineurs (CSAR), également qualifié de règlement « Chat Control », qui permettrait aux autorités d’inspecter les messages privés en procédant à leur balayage de manière arbitraire, y compris les messages envoyés dans le cadre de services cryptés de bout en bout, pour détecter les contenus pédopornographiques.
Même adoptées avec les meilleures intentions, de telles mesures créeraient inévitablement des vulnérabilités exploitables par des acteurs malveillants. Les professionnels de l’informatique expliquent en effet qu’il est impossible de briser le cryptage de manière sécurisée, dans la mesure où les portes dérobées créent systématiquement des failles de sécurité exploitables. Il y a quelques semaines à peine, on apprenait que d’importants fournisseurs d’accès à Internet américains avaient été piratés par des acteurs chinois via des canaux de données légalement accessibles.
Comme le soulignent à juste titre les agences de renseignement (y compris aux Pays-Bas), la fragilisation du cryptage soulève un risque incontrôlable sur le plan de la cybersécurité. Les discussions en cours au sein du Conseil de l’UE excluent d’ailleurs que puissent être inspectés par balayage les comptes jugés critiques pour la sécurité nationale, ce qui révèle un deux poids, deux mesures flagrant.
Par ailleurs, la cybersécurité ne constitue pas le seul enjeu. Le règlement proposé soulève également un problème juridique. La Charte des droits fondamentaux de l’UE protège explicitement le droit au respect de la vie privée dans les communications des citoyens, de même que la Cour de justice de l’UE indique clairement que le balayage systématique et arbitraire des communications privées constitue une atteinte disproportionnée à ce droit. Plusieurs analyses internes indépendantes menées par le Conseil de l’UE et par le Parlement européen aboutissent à des conclusions similaires. Le Comité européen de la protection des données et le Contrôleur européen de la protection des données expriment également des inquiétudes concernant à la fois le respect de la vie privée et l’efficacité du règlement proposé, les criminels étant en effet aisément susceptibles de contourner la détection.
La Commission européenne échoue par ailleurs à songer aux répercussions de cette interception des messages cryptés sous prétexte de lutte contre les abus sexuels sur mineurs. Animées par un insatiable appétit pour les données, les autorités judiciaires pourraient être tentées d’étendre ce système de surveillance à d’autres domaines. C’est d’ores et déjà ce que préconise Europol, l’agence de police de l’UE. Et malgré les tentatives de la Commission visant à rassurer, un certain nombre de doutes importants demeurent quant à la fiabilité, à l’efficacité ainsi qu’à la faisabilité des logiciels de détection des abus sur mineurs.
Pour toutes ces raisons, le Parlement européen adopte une approche plus équilibrée, excluant le balayage sur les services cryptés, et limitant la surveillance à des suspects ou groupe de suspects de manière ciblée.
Dans le même temps, le Conseil de l’UE discute d’une approche appelée « balayage côté client », consistant à intercepter les messages avant leur envoi. Or, bien que cette méthode soit présentée comme un équilibre entre respect de la vie privée, sécurité et protection de l’enfance, elle compromet en réalité l’intégrité du cryptage, soulevant en fin de compte les mêmes inquiétudes concernant la vie privée et la cybersécurité.
L’acceptation d’une telle approche n’augurerait rien de bon pour la protection de la vie privée en Europe. Or, le nouveau commissaire européen aux affaires intérieures et aux migrations, Magnus Brunner, se dit « convaincu de la nécessité et de l’urgence d’adopter le règlement proposé ». Lors de ses auditions devant le Parlement européen, il a refusé de s’engager à protéger le cryptage, et a éludé les questions relatives à l’utilisation de logiciels espions par les gouvernements de l’UE, un autre moyen profondément invasif de contourner le cryptage.
Le cryptage n’est pas une simple protection technique ; il constitue l’un des piliers de nos droits numériques et libertés démocratiques. Tandis que se poursuivent les débats sur le règlement CSAR, nous devons rester vigilants face aux politiques susceptibles de mettre à mal ces valeurs sous prétexte de sécurité. La fragilisation du cryptage met en péril non seulement notre vie privée, mais également l’écosystème numérique dans son ensemble.
Plutôt que d’affaiblir le cryptage, l’UE doit œuvrer pour de solides protections de la vie privée, qui établissent un équilibre entre besoins de sécurité et droits fondamentaux. C’est dans cet esprit que j’ai moi-même signé un engagement pour la préservation du cryptage. Il ne s’agit pas de défendre seulement une technologie, mais également les principes qui nous définissent en tant que société.
Markéta Gregorová est députée au Parlement européen.
© Project Syndicate 1995–2024
Le cryptage constitue l’une des technologies les plus importantes pour garantir la confidentialité dans le monde d’aujourd’hui, et c’est la raison pour laquelle la plupart des services essentiels sur Internet – applications de messagerie, appels, e-mails, partage de fichiers, paiements – dépendent de celui-ci. Sa forme la plus efficace, à savoir le cryptage de bout en bout, permet de faire en sorte que seules les parties communicantes puissent décrypter et visualiser le contenu de leurs messages, rendant ainsi impossible tout accès non autorisé (comme avec Signal ou WhatsApp, par exemple).
Or, les États et les autorités judiciaires sont de plus en plus désireux d’accéder aux communications cryptées, même si cela doit signifier mettre à mal la confiance du public dans la protection de la vie privée. Plusieurs gouvernements d’États membres de l’UE entendent en effet fragiliser les technologies de cryptage sous prétexte de lutte contre le terrorisme et autres crimes.
Le message est clair : autorités publiques et gouvernements sont nombreux à considérer le cryptage non pas comme un outil de protection des droits de l’homme, mais comme un obstacle. La Commission européenne a mis en place un groupe de travail de haut niveau autour de « l’accès aux données pour une application efficace de la loi ». Composé de représentants d’autorités judiciaires, ce groupe recommande que soit possible par conception un « accès légal » aux données « en clair », ce qui signifierait que les services de communication seraient tenus d’installer des « portes dérobées » permettant aux enquêteurs judiciaires d’accéder à des données par conséquent non cryptées.
Cette volonté d’affaiblir le cryptage a atteint un sommet en 2022, lorsque la Commission européenne a proposé un règlement pour la prévention des abus sexuels sur mineurs (CSAR), également qualifié de règlement « Chat Control », qui permettrait aux autorités d’inspecter les messages privés en procédant à leur balayage de manière arbitraire, y compris les messages envoyés dans le cadre de services cryptés de bout en bout, pour détecter les contenus pédopornographiques.
Même adoptées avec les meilleures intentions, de telles mesures créeraient inévitablement des vulnérabilités exploitables par des acteurs malveillants. Les professionnels de l’informatique expliquent en effet qu’il est impossible de briser le cryptage de manière sécurisée, dans la mesure où les portes dérobées créent systématiquement des failles de sécurité exploitables. Il y a quelques semaines à peine, on apprenait que d’importants fournisseurs d’accès à Internet américains avaient été piratés par des acteurs chinois via des canaux de données légalement accessibles.
Comme le soulignent à juste titre les agences de renseignement (y compris aux Pays-Bas), la fragilisation du cryptage soulève un risque incontrôlable sur le plan de la cybersécurité. Les discussions en cours au sein du Conseil de l’UE excluent d’ailleurs que puissent être inspectés par balayage les comptes jugés critiques pour la sécurité nationale, ce qui révèle un deux poids, deux mesures flagrant.
Par ailleurs, la cybersécurité ne constitue pas le seul enjeu. Le règlement proposé soulève également un problème juridique. La Charte des droits fondamentaux de l’UE protège explicitement le droit au respect de la vie privée dans les communications des citoyens, de même que la Cour de justice de l’UE indique clairement que le balayage systématique et arbitraire des communications privées constitue une atteinte disproportionnée à ce droit. Plusieurs analyses internes indépendantes menées par le Conseil de l’UE et par le Parlement européen aboutissent à des conclusions similaires. Le Comité européen de la protection des données et le Contrôleur européen de la protection des données expriment également des inquiétudes concernant à la fois le respect de la vie privée et l’efficacité du règlement proposé, les criminels étant en effet aisément susceptibles de contourner la détection.
La Commission européenne échoue par ailleurs à songer aux répercussions de cette interception des messages cryptés sous prétexte de lutte contre les abus sexuels sur mineurs. Animées par un insatiable appétit pour les données, les autorités judiciaires pourraient être tentées d’étendre ce système de surveillance à d’autres domaines. C’est d’ores et déjà ce que préconise Europol, l’agence de police de l’UE. Et malgré les tentatives de la Commission visant à rassurer, un certain nombre de doutes importants demeurent quant à la fiabilité, à l’efficacité ainsi qu’à la faisabilité des logiciels de détection des abus sur mineurs.
Pour toutes ces raisons, le Parlement européen adopte une approche plus équilibrée, excluant le balayage sur les services cryptés, et limitant la surveillance à des suspects ou groupe de suspects de manière ciblée.
Dans le même temps, le Conseil de l’UE discute d’une approche appelée « balayage côté client », consistant à intercepter les messages avant leur envoi. Or, bien que cette méthode soit présentée comme un équilibre entre respect de la vie privée, sécurité et protection de l’enfance, elle compromet en réalité l’intégrité du cryptage, soulevant en fin de compte les mêmes inquiétudes concernant la vie privée et la cybersécurité.
L’acceptation d’une telle approche n’augurerait rien de bon pour la protection de la vie privée en Europe. Or, le nouveau commissaire européen aux affaires intérieures et aux migrations, Magnus Brunner, se dit « convaincu de la nécessité et de l’urgence d’adopter le règlement proposé ». Lors de ses auditions devant le Parlement européen, il a refusé de s’engager à protéger le cryptage, et a éludé les questions relatives à l’utilisation de logiciels espions par les gouvernements de l’UE, un autre moyen profondément invasif de contourner le cryptage.
Le cryptage n’est pas une simple protection technique ; il constitue l’un des piliers de nos droits numériques et libertés démocratiques. Tandis que se poursuivent les débats sur le règlement CSAR, nous devons rester vigilants face aux politiques susceptibles de mettre à mal ces valeurs sous prétexte de sécurité. La fragilisation du cryptage met en péril non seulement notre vie privée, mais également l’écosystème numérique dans son ensemble.
Plutôt que d’affaiblir le cryptage, l’UE doit œuvrer pour de solides protections de la vie privée, qui établissent un équilibre entre besoins de sécurité et droits fondamentaux. C’est dans cet esprit que j’ai moi-même signé un engagement pour la préservation du cryptage. Il ne s’agit pas de défendre seulement une technologie, mais également les principes qui nous définissent en tant que société.
Markéta Gregorová est députée au Parlement européen.
© Project Syndicate 1995–2024