Il y a deux semaines, nous faisions le point sur le projet de règlement européen de censure antiterroriste. Pour rappel, ce texte imposera à l’ensemble des acteurs de l’Internet des obligations de censure irréalistes : retrait en une heure des contenus signalés par la police, surveillance de tous les contenus conduisant à une censure automatisée…
Aujourd’hui, nous revenons sur un autre danger de ce texte : en visant non seulement les contenus diffusés au public, mais également ceux échangés dans un cadre privé (comme les mails et les messageries instantanées), ce texte risque de mettre fin à la possibilité de protéger nos échanges par le chiffrement de bout en bout.
Une lecture attentive des dispositions du règlement révèle en effet que ce dernier ne se limite pas aux contenus diffusés au public.
L’article 2 précise que les acteurs soumis aux obligations de censure sont les « fournisseur de services de la société de l’information qui consistent à stocker des informations fournies par le fournisseur de contenus à la demande de celui-ci et à mettre ces informations à la disposition de tiers ». Le considérant 10 du même texte donne comme exemple, outre les réseaux sociaux, « les services de partage de fichiers vidéo, audio et images, les services de partage de fichiers et autres services en nuage, dans la mesure où ils mettent ces informations à la disposition de tiers […] ».
Cette notion de « mise à disposition de tiers » est bien différente de la notion plus habituelle de « mise à disposition du public » qui apparait, par exemple, dans la LCEN de 2004 où les hébergeurs sont définis comme ceux « qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature » (article 6, 2). Les contenus hébergés sur les « services en nuage » (qu’on comprend renvoyer à des services comme Nextcloud ou Dropbox) ne sont généralement pas « mis à disposition du public » mais uniquement accessibles par un nombre restreint d’utilisateurs. Le nouveau règlement européen les vise pourtant.
Or, si le texte du règlement ne se limite pas aux contenus diffusés au public, mais englobe ceux qui sont transmis à tout tiers, cela signifie qu’il peut s’appliquer à des services de courriers électroniques, comme les mails et les messageries instantanées (Whatsapp, Signal, Telegram…). Ces derniers, au moins jusqu’à la consultation du message, stockent en effet un contenu fourni par un utilisateur afin de le mettre à disposition d’un ou plusieurs tiers<script type="text/javascript"> jQuery("#footnote_plugin_tooltip_1").tooltip({ tip: "#footnote_plugin_tooltip_text_1", tipClass: "footnote_tooltip", effect: "fade", fadeOutSpeed: 100, predelay: 400, position: "top right", relative: true, offset: [10, 10] });.
Ils seront alors, comme les autres acteurs de l’Internet (forums, réseaux sociaux, blogs…), soumis aux obligations de retrait et de censure automatisée prévues par le règlement.
Des obligations incompatibles avec le chiffrement de bout en bout
Pourtant, certains de ces services protègent nos échanges privés grâce à des technologies de chiffrement de bout en bout, c’est-à-dire des systèmes de communications « où seules les personnes qui communiquent peuvent lire les messages échangés », l’objectif étant de « résister à toute tentative de surveillance ou de falsification ».
Comme nous l’expliquions dans nos positions communes avec l’Observatoire de Libertés et du Numérique (OLN), cette capacité de chiffrement « est une condition indispensable à la préservation des droits et libertés fondamentales, et l’un des derniers remparts, individuels et collectifs, aux intrusions arbitraires et illégales de nombreux acteurs, étatiques, privés, ou criminels ».
Comment alors les services de messageries et de mails qui prévoient ce type de protection (Signal, ProtonMail…) pourront respecter les obligations de surveillance et de censure prévues dans le texte si l’ensemble des messages stockés sont chiffrés et leur sont donc indisponibles ?
Le silence du règlement laisse entrevoir le pire : le chiffrement de bout en bout, c’est-à-dire la protection de nos échanges privés, serait contraire aux obligations prévues par ce texte et ne pourrait donc que disparaitre.
En effet, il est difficile d’imaginer comment ces services, comme tous les autres acteurs de l’Internet, pourront survivre à ces nouvelles obligations : il est peu probable qu’ils acceptent d’abandonner ce chiffrement de bout en bout et de sous-traiter la surveillance de leurs services à un géant du Web – ce qui est la solution que le gouvernement français semble espérer déjà au moins en matière d’hébergement de contenus publics.
Quant à Facebook lui-même, il est étonnant qu’il ait laissé passer ce texte sans voir ni comprendre le danger qu’il pourrait comporter pour son service de messagerie Whatsapp, lui aussi protégé par le chiffrement. La pire des situations serait que Facebook soit en train de renoncer à cette technologie pour s’allier, avec les gouvernements, à la surveillance de l’ensemble de nos échanges, qu’ils soient privés et publics. Il y a quelques semaines, Mark Zuckerberg expliquait d’ailleurs que le chiffrement compliquait l’automatisation de la censure.
Par ce texte, le gouvernement pourrait trouver une manière détournée de gagner un combat qu’il mène depuis longtemps et qui le frustre particulièrement : celui de la lutte contre le chiffrement de nos conversations.
Le règlement, en cours d’examen devant le Parlement européen, remettrait ainsi en cause un droit pourtant essentiel pour garantir nos libertés fondamentales face aux possibilités d’arbitraire de l’État et de la surveillance généralisée d’acteurs privés.
De nouveau, nous en demandons le rejet.
Rappelons que les délais pour agir sont extrêmement brefs : les gouvernements européens (en tête, la France) veulent faire adopter le texte le plus rapidement possible, au détriment de tout débat démocratique. Le Conseil de l’Union européenne se réunit ainsi à Bruxelles dès les 6 et 7 décembre en vue de parvenir à une position commune.
<script type="text/javascript"> function footnote_expand_reference_container() { jQuery("#footnote_references_container").show(); jQuery("#footnote_reference_container_collapse_button").text("-"); } function footnote_collapse_reference_container() { jQuery("#footnote_references_container").hide(); jQuery("#footnote_reference_container_collapse_button").text("+"); } function footnote_expand_collapse_reference_container() { if (jQuery("#footnote_references_container").is(":hidden")) { footnote_expand_reference_container(); } else { footnote_collapse_reference_container(); } } function footnote_moveToAnchor(p_str_TargetID) { footnote_expand_reference_container(); var l_obj_Target = jQuery("#" + p_str_TargetID); if(l_obj_Target.length) { jQuery('html, body').animate({ scrollTop: l_obj_Target.offset().top - window.innerHeight/2 }, 1000); } }
![[RFI] Les GAFAM, géants du Net, sont-ils en règle sur la protection des données ?](./media/2b88ed86.10664.jpg)