Paris, le 12 mars 2018 - Comme annoncé en novembre 2017 dans les conclusions du bilan de ses dix premières années, La Quadrature du Net a intégré formellement en tant que membres une trentaine de ses proches. La plupart bénévoles de longue date, ces membres ont rejoint l'association début janvier 2018, sur invitation du bureau et de l'équipe salariée.

Cet élargissement amorce une nouvelle dynamique et un renforcement de l'association. Grâce à la multiplication des sensibilités et des expertises, diverses questions au cœur de l'action de la Quadrature bénéficient d'un nouvel éclairage. Plusieurs membres ont déjà pris la parole au nom de l'association dans les médias ou dans le cadre de conférences et d'ateliers.

Il reste encore beaucoup à mettre en place, notamment en termes d'organisation et de processus, mais La Quadrature du Net tient à prendre le temps de cette discussion, loin de l'urgence habituelle que connait l'association. Nous comptons profiter de notre assemblée générale annuelle, qui aura lieu du 31 mars au 2 avril, pour dessiner une feuille de route des prochaines actions militantes et réfléchir aux structures nécessaires pour les mener à bien. Un compte-rendu de ce premier rassemblement sera rendu public, comme le sera régulièrement le résultat des actions des membres.

L'engagement bénévole a toujours été au cœur du fonctionnement de La Quadrature du Net. Ce statut de membre souhaite progressivement reconnaitre celles et ceux qui donnent de leur temps et de leur énergie, pour leur donner du pouvoir sur les orientations de la structure. Cet élargissement n'est donc qu'un début. La construction politique et juridique d'un Internet libre et la défense des droits fondamentaux à l'ère numérique se poursuivent grâce à l'implication de toutes et tous !

Paris, le 7 mars 2018 - Demain, les ministères de l'Économie, de la Culture et de la Justice, ainsi que le secrétariat d'État au numérique, devraient arrêter certaines des positions de la France sur le règlement ePrivacy, notamment en matière de pistage de nos comportements en ligne. Cette décision fera suite à un rapport du Conseil général de l'économie, rendu public le 20 février dernier et plaidant en faveur de la marchandisation de nos données, à contre-courant du règlement européen sur la protection des données (RGPD) et de la protection de nos libertés. La Quadrature publie ci-dessous la lettre ouverte qui leur est destinée.

L'entrée en application du règlement général sur la protection des données (RGPD) le 25 mai prochain affole tout l'écosystème de la publicité en ligne qui, depuis dix ans, s'est développé dans l'illégalité, grâce notamment au laisser-faire de la CNIL. Depuis dix ans, alors que le droit européen leur interdit de nous pister en ligne sans notre consentement préalable, libre et éclairé, ces acteurs ont systématiquement refusé de respecter nos droits.

À la veille de l'entrée en application du RGPD qui, enfin, ne devrait plus leur laisser de marge de manœuvre pour continuer de violer nos droits fondamentaux, l'ensemble de cette industrie (publicitaires, opérateurs télécoms, grands éditeurs de presse) publie une lettre ouverte suppliant le gouvernement de sauver leur activité illicite en la rendant légale au niveau européen dans le règlement ePrivacy (ce règlement est destiné à modifier la protection européenne de nos activités en ligne et présente donc pour cette industrie l'opportunité de réduire celle-ci à néant).

Cette volonté a trouvé écho dans un rapport commandé en octobre dernier par le gouvernement au Conseil général de l'économie (CGE, service de conseil du ministère de l'économie), qui propose purement et simplement de mettre de côté le RGPD en matière de traçage en ligne, afin que nous puissions être contraints de donner notre consentement pour accéder à un service en ligne - ce qui revient à monnayer nos droits fondamentaux à la vie privée et à la protection de nos données, et ce que le GDPR, le Parlement européen et les CNIL européennes condamnent fermement.

Le gouvernement français doit prendre une position ferme et définitive pour rejeter ces incessantes tentatives de détruire les quelques avancées apportées par le RGPD. Et l'industrie doit comprendre qu'elle a déjà perdu la première bataille, il y a deux ans, lors de l'adoption par l'Union européenne du RGPD : elle doit maintenant amender son comportement. Si elle s'y refuse, qu'elle sache que La Quadrature du Net est maintenant habilitée à conduire des actions de groupe et attend de pied ferme le 25 mai prochain. Débattre aujourd'hui sur le règlement ePrivacy ne l'aidera alors en rien.

Madame, Monsieur,

Le 23 octobre dernier, les ministères de l'économie et de la culture et le secrétariat d'État au Numérique ont chargé le Conseil général de l'économie (CGE) de produire un rapport sur les articles 8 à 10 du projet de règlement ePrivacy.

Il faut d'abord s’inquiéter du fait que la mission confiée au CGE ne s'intéresse en aucune façon aux nouvelles dérogations au consentement permises par cet article 8 en matière de géolocalisation et de mesure d'audience, alors que ces dérogations restent encore strictement exclues par la directive 2002/58. La mission du CGE aurait pourtant été l'occasion d'évaluer l'impact de telles mesures sur la vie privée.

À la place, et à l’opposé, la mission vise surtout à évaluer les conséquences d'obligations déjà prévues depuis 2009 par la directive ePrivacy (s'agissant de « l'encadrement des cookies ») et depuis 2016 par le RGPD (s'agissant de « la définition du consentement »). Le souhait d'évaluer les conséquences d'obligations actuelles laisse craindre une volonté de remettre celles-ci en cause. Il s'agit malheureusement de la direction adoptée par le CGE dans son rapport publié le 20 février.

Un consentement forcé

L'article 7, §4, du RGPD, accompagné par son considérant 43, prévoit qu'un consentement n'est pas valide s'il est donné sous la menace de ne pas accéder à un service ou de n’accéder qu’à un service dégradé. Dans sa proposition n°5, le CGE invite le gouvernement à prévoir dans le règlement ePrivacy une dérogation au RGPD afin de rendre un tel consentement valide. Ce faisant, le CGE s'oppose :

• au groupe de l'article 29 qui, dans ses lignes directrices WP259 du 28 novembre 2017, donne une explication détaillée du caractère libre du consentement exigé par le RGPD :
• à la CNIL, qui a donné une application concrète de ce principe dans sa mise en demeure de Whatsapp le 18 décembre dernier ;
• au Parlement européen, qui a détaillé l’application sectorielle de ce principe dans le règlement ePrivacy, en interdisant les tracking-wall ;
• au souhait majoritaire de la population qui, en France, et selon l'Eurobaromètre de 2017, refuserait à 82% de payer afin de ne pas être surveillée en visitant un site Internet (p. 63) et refuserait à 60% de voir ses activités en ligne surveillées en échange d'un accès non restreint à un site Internet (p. 59) ;
• au principe démocratique élémentaire selon lequel nul ne peut renoncer au bénéfice d'un droit fondamental en contre-partie d'un bien ou d'un service, sans quoi ce droit ne serait plus garanti que par le niveau de fortune de chaque personne.

Des conséquences erronées

Le rapport du CGE se fondant sur l'idée que le consentement doit pouvoir être forcé, il en tire plusieurs conclusions aussi erronées que son postulat de départ.

En premier lieu, le CGE prétend que bloquer par défaut les outils de pistage favoriserait les grandes plateformes, car celles-ci pourraient obtenir le consentement de leurs utilisateurs plus facilement que d'autres sites.

Ceci n’aurait un sens que si ces plateformes avaient un moyen de négociation envers leurs utilisateurs plus important que n’en auraient d’autres sites. Or, le principe de la liberté du consentement interdit précisément toute forme de négociation en matière de données personnelles : peu importe la taille ou la structure d’un site, il ne peut pas limiter son accès aux seuls utilisateurs acceptant d'y être surveillés.

En deuxième lieu, le CGE justifie plusieurs de ses positions par l’idée que les internautes accepteraient eux-mêmes de céder leurs données pour avoir du « tout gratuit », or :

• le CGE n’explique pas en quoi, en vérité, cette « acceptation » n’est pas forcée, tel qu’il souhaite lui-même le permettre ;
• la gratuité n’est pas synonyme d’exploitation de données, tel que le démontre l’existence de nombreux sites et logiciels véritablement « gratuits » (Wikipédia, Firefox, VLC, Linux, LibreOffice, etc.) ;
• Internet n’est pas synonyme de gratuit, tel que le démontre le succès de nombreuses offres payantes (Netflix, Spotify, Mediapart, etc.).

En troisième lieu, le CGE insiste sur la nécessité de ne pas rendre la navigation plus difficile du fait de demandes de consentement, mais passe complètement sous silence l’effet de sa propre proposition : les tracking-wall visent précisément à rendre la navigation plus difficile, voire impossible.

Des solutions ignorées

La mission du CGE visait aussi le recueil du consentement « via le paramétrage du navigateur » qui, par défaut, serait configuré pour bloquer les traceurs. Si le CGE rend un avis négatif sur cette nouvelle garantie introduite par le projet de règlement, ce n’est qu’en omettant plusieurs réalités techniques.

En premier lieu, le CGE prétend que bloquer des traceurs au moyen d’une liste noire ne peut reposer techniquement que sur l’établissement par des tiers d’une telle liste, ce qui causerait des problèmes de gouvernance.

Ceci revient à mettre de côté le fait que les listes établies par des tiers le sont en pratique de façon parfaitement transparente et laissées au choix des utilisateurs (tel que sur uBlock Origin, où des dizaines de listes différentes sont proposées).

Ensuite, ceci revient aussi à passer sous silence la méthode développée par l’Electronic Frontier Foundation et déployée sur son extension Privacy Badger, qui ne repose pas sur une liste pré-établie. L'extension au navigateur construit seule et progressivement une liste noire en analysant les requêtes récurrentes rencontrées par l’utilisateur sur la multitude des sites qu’il visite (durant plusieurs semaines, mois, années) afin de détecter celles qui le pistent. Aucune contrainte technique ne s’oppose à intégrer dans chaque navigateur cette méthode aussi efficace que transparente et indépendante d’autorités tiers.

En deuxième lieu, le CGE prétend qu’un blocage par défaut des traceurs par le navigateur empêcherait les sites web de communiquer avec les internautes pour leur demander efficacement leur consentement.

Ceci revient à passer sous silence la pratique déjà déployée par de nombreux sites pour faire face aux bloqueurs de traceurs : l’accès au contenu du site (site de presse, typiquement, tel que celui des Echos) est bloqué (dès la première consultation ou après lecture de quelques articles) et un texte est affiché à l’internaute, l’invitant à désactiver son bloqueur et lui exposant les raisons pour ce faire.

Bien que cette pratique soit illicite lorsqu’elle conduit à bloquer l’accès (car niant la liberté du consentement), elle démontre combien il est simple pour chaque site d’exposer sa propre demande de consentement.

En troisième lieu, le CGE prétend qu’il serait dangereux de confier le blocage des traceurs à des éditeurs de navigateur et de système d’exploitation qui occupent une place dominante sur le marché du pistage en ligne.

Ceci revient à nier que ces éditeurs bénéficient déjà de cette situation : ils mettent en œuvre des politiques de blocages (détaillées par le CGE) dont le but est de rendre plus attractifs leurs propres outils de pistage (l’identifiant unique attribué sur Android et iOS, typiquement). Seule la loi peut, en imposant des mécanismes de blocage s’appliquant pareillement à leurs propres outils et à ceux de tiers, corriger ce déséquilibre déjà présent et dommageable.

Conclusion

Pour ces raisons, nous vous invitons :

• à ne pas introduire de dérogation au principe de liberté du consentement prévu par le RGPD ;
• à ne pas supprimer l’obligation pour les navigateurs de bloquer les traceurs par défaut ;
• à supprimer les exceptions au consentement en matière de géolocalisation et de mesure d’audience, sans en rajouter aucune autre (telle la pseudonymisation, qui est une mesure de sécurité déjà imposée par le RGPD et qui n’aurait donc aucun sens à devenir ici une condition de licéité).

Si le projet de règlement ePrivacy devait évoluer autrement, nous devrions renoncer aux quelques avancées qu’il apporte pour nous opposer à son adoption, afin de ne pas voir la protection actuellement offerte par la directive ePrivacy être amoindrie à ce point.

Cordialement,

La Quadrature du Net

Paris, le 7 mars 2018 - Demain, les ministères de l'Économie, de la Culture et de la Justice, ainsi que le secrétariat d'État au numérique, devraient arrêter certaines des positions de la France sur le règlement ePrivacy, notamment en matière de pistage de nos comportements en ligne. Cette décision fera suite à un rapport du Conseil général de l'économie, rendu public le 20 février dernier et plaidant en faveur de la marchandisation de nos données, à contre-courant du règlement européen sur la protection des données (RGPD) et de la protection de nos libertés. La Quadrature publie ci-dessous la lettre ouverte qui leur est destinée.

L'entrée en application du règlement général sur la protection des données (RGPD) le 25 mai prochain affole tout l'écosystème de la publicité en ligne qui, depuis dix ans, s'est développé dans l'illégalité, grâce notamment au laisser-faire de la CNIL. Depuis dix ans, alors que le droit européen leur interdit de nous pister en ligne sans notre consentement préalable, libre et éclairé, ces acteurs ont systématiquement refusé de respecter nos droits.

À la veille de l'entrée en application du RGPD qui, enfin, ne devrait plus leur laisser de marge de manœuvre pour continuer de violer nos droits fondamentaux, l'ensemble de cette industrie (publicitaires, opérateurs télécoms, grands éditeurs de presse) publie une lettre ouverte suppliant le gouvernement de sauver leur activité illicite en la rendant légale au niveau européen dans le règlement ePrivacy (ce règlement est destiné à modifier la protection européenne de nos activités en ligne et présente donc pour cette industrie l'opportunité de réduire celle-ci à néant).

Cette volonté a trouvé écho dans un rapport commandé en octobre dernier par le gouvernement au Conseil général de l'économie (CGE, service de conseil du ministère de l'économie), qui propose purement et simplement de mettre de côté le RGPD en matière de traçage en ligne, afin que nous puissions être contraints de donner notre consentement pour accéder à un service en ligne - ce qui revient à monnayer nos droits fondamentaux à la vie privée et à la protection de nos données, et ce que le GDPR, le Parlement européen et les CNIL européennes condamnent fermement.

Le gouvernement français doit prendre une position ferme et définitive pour rejeter ces incessantes tentatives de détruire les quelques avancées apportées par le RGPD. Et l'industrie doit comprendre qu'elle a déjà perdu la première bataille, il y a deux ans, lors de l'adoption par l'Union européenne du RGPD : elle doit maintenant amender son comportement. Si elle s'y refuse, qu'elle sache que La Quadrature du Net est maintenant habilitée à conduire des actions de groupe et attend de pied ferme le 25 mai prochain. Débattre aujourd'hui sur le règlement ePrivacy ne l'aidera alors en rien.

Madame, Monsieur,

Le 23 octobre dernier, les ministères de l'économie et de la culture et le secrétariat d'État au Numérique ont chargé le Conseil général de l'économie (CGE) de produire un rapport sur les articles 8 à 10 du projet de règlement ePrivacy.

Il faut d'abord s’inquiéter du fait que la mission confiée au CGE ne s'intéresse en aucune façon aux nouvelles dérogations au consentement permises par cet article 8 en matière de géolocalisation et de mesure d'audience, alors que ces dérogations restent encore strictement exclues par la directive 2002/58. La mission du CGE aurait pourtant été l'occasion d'évaluer l'impact de telles mesures sur la vie privée.

À la place, et à l’opposé, la mission vise surtout à évaluer les conséquences d'obligations déjà prévues depuis 2009 par la directive ePrivacy (s'agissant de « l'encadrement des cookies ») et depuis 2016 par le RGPD (s'agissant de « la définition du consentement »). Le souhait d'évaluer les conséquences d'obligations actuelles laisse craindre une volonté de remettre celles-ci en cause. Il s'agit malheureusement de la direction adoptée par le CGE dans son rapport publié le 20 février.

Un consentement forcé

L'article 7, §4, du RGPD, accompagné par son considérant 43, prévoit qu'un consentement n'est pas valide s'il est donné sous la menace de ne pas accéder à un service ou de n’accéder qu’à un service dégradé. Dans sa proposition n°5, le CGE invite le gouvernement à prévoir dans le règlement ePrivacy une dérogation au RGPD afin de rendre un tel consentement valide. Ce faisant, le CGE s'oppose :

• au groupe de l'article 29 qui, dans ses lignes directrices WP259 du 28 novembre 2017, donne une explication détaillée du caractère libre du consentement exigé par le RGPD :
• à la CNIL, qui a donné une application concrète de ce principe dans sa mise en demeure de Whatsapp le 18 décembre dernier ;
• au Parlement européen, qui a détaillé l’application sectorielle de ce principe dans le règlement ePrivacy, en interdisant les tracking-wall ;
• au souhait majoritaire de la population qui, en France, et selon l'Eurobaromètre de 2017, refuserait à 82% de payer afin de ne pas être surveillée en visitant un site Internet (p. 63) et refuserait à 60% de voir ses activités en ligne surveillées en échange d'un accès non restreint à un site Internet (p. 59) ;
• au principe démocratique élémentaire selon lequel nul ne peut renoncer au bénéfice d'un droit fondamental en contre-partie d'un bien ou d'un service, sans quoi ce droit ne serait plus garanti que par le niveau de fortune de chaque personne.

Des conséquences erronées

Le rapport du CGE se fondant sur l'idée que le consentement doit pouvoir être forcé, il en tire plusieurs conclusions aussi erronées que son postulat de départ.

En premier lieu, le CGE prétend que bloquer par défaut les outils de pistage favoriserait les grandes plateformes, car celles-ci pourraient obtenir le consentement de leurs utilisateurs plus facilement que d'autres sites.

Ceci n’aurait un sens que si ces plateformes avaient un moyen de négociation envers leurs utilisateurs plus important que n’en auraient d’autres sites. Or, le principe de la liberté du consentement interdit précisément toute forme de négociation en matière de données personnelles : peu importe la taille ou la structure d’un site, il ne peut pas limiter son accès aux seuls utilisateurs acceptant d'y être surveillés.

En deuxième lieu, le CGE justifie plusieurs de ses positions par l’idée que les internautes accepteraient eux-mêmes de céder leurs données pour avoir du « tout gratuit », or :

• le CGE n’explique pas en quoi, en vérité, cette « acceptation » n’est pas forcée, tel qu’il souhaite lui-même le permettre ;
• la gratuité n’est pas synonyme d’exploitation de données, tel que le démontre l’existence de nombreux sites et logiciels véritablement « gratuits » (Wikipédia, Firefox, VLC, Linux, LibreOffice, etc.) ;
• Internet n’est pas synonyme de gratuit, tel que le démontre le succès de nombreuses offres payantes (Netflix, Spotify, Mediapart, etc.).

En troisième lieu, le CGE insiste sur la nécessité de ne pas rendre la navigation plus difficile du fait de demandes de consentement, mais passe complètement sous silence l’effet de sa propre proposition : les tracking-wall visent précisément à rendre la navigation plus difficile, voire impossible.

Des solutions ignorées

La mission du CGE visait aussi le recueil du consentement « via le paramétrage du navigateur » qui, par défaut, serait configuré pour bloquer les traceurs. Si le CGE rend un avis négatif sur cette nouvelle garantie introduite par le projet de règlement, ce n’est qu’en omettant plusieurs réalités techniques.

En premier lieu, le CGE prétend que bloquer des traceurs au moyen d’une liste noire ne peut reposer techniquement que sur l’établissement par des tiers d’une telle liste, ce qui causerait des problèmes de gouvernance.

Ceci revient à mettre de côté le fait que les listes établies par des tiers le sont en pratique de façon parfaitement transparente et laissées au choix des utilisateurs (tel que sur uBlock Origin, où des dizaines de listes différentes sont proposées).

Ensuite, ceci revient aussi à passer sous silence la méthode développée par l’Electronic Frontier Foundation et déployée sur son extension Privacy Badger, qui ne repose pas sur une liste pré-établie. L'extension au navigateur construit seule et progressivement une liste noire en analysant les requêtes récurrentes rencontrées par l’utilisateur sur la multitude des sites qu’il visite (durant plusieurs semaines, mois, années) afin de détecter celles qui le pistent. Aucune contrainte technique ne s’oppose à intégrer dans chaque navigateur cette méthode aussi efficace que transparente et indépendante d’autorités tiers.

En deuxième lieu, le CGE prétend qu’un blocage par défaut des traceurs par le navigateur empêcherait les sites web de communiquer avec les internautes pour leur demander efficacement leur consentement.

Ceci revient à passer sous silence la pratique déjà déployée par de nombreux sites pour faire face aux bloqueurs de traceurs : l’accès au contenu du site (site de presse, typiquement, tel que celui des Echos) est bloqué (dès la première consultation ou après lecture de quelques articles) et un texte est affiché à l’internaute, l’invitant à désactiver son bloqueur et lui exposant les raisons pour ce faire.

Bien que cette pratique soit illicite lorsqu’elle conduit à bloquer l’accès (car niant la liberté du consentement), elle démontre combien il est simple pour chaque site d’exposer sa propre demande de consentement.

En troisième lieu, le CGE prétend qu’il serait dangereux de confier le blocage des traceurs à des éditeurs de navigateur et de système d’exploitation qui occupent une place dominante sur le marché du pistage en ligne.

Ceci revient à nier que ces éditeurs bénéficient déjà de cette situation : ils mettent en œuvre des politiques de blocages (détaillées par le CGE) dont le but est de rendre plus attractifs leurs propres outils de pistage (l’identifiant unique attribué sur Android et iOS, typiquement). Seule la loi peut, en imposant des mécanismes de blocage s’appliquant pareillement à leurs propres outils et à ceux de tiers, corriger ce déséquilibre déjà présent et dommageable.

Conclusion

Pour ces raisons, nous vous invitons :

• à ne pas introduire de dérogation au principe de liberté du consentement prévu par le RGPD ;
• à ne pas supprimer l’obligation pour les navigateurs de bloquer les traceurs par défaut ;
• à supprimer les exceptions au consentement en matière de géolocalisation et de mesure d’audience, sans en rajouter aucune autre (telle la pseudonymisation, qui est une mesure de sécurité déjà imposée par le RGPD et qui n’aurait donc aucun sens à devenir ici une condition de licéité).

Si le projet de règlement ePrivacy devait évoluer autrement, nous devrions renoncer aux quelques avancées qu’il apporte pour nous opposer à son adoption, afin de ne pas voir la protection actuellement offerte par la directive ePrivacy être amoindrie à ce point.

Cordialement,

La Quadrature du Net

Paris, le 7 mars 2018 - La Quadrature du Net est intervenue avec Les Exégètes amateurs dans une affaire devant le Conseil constitutionnel mettant en cause une disposition du code pénal obligeant la remise de la convention secrète de déchiffrement d'un moyen de cryptologie.

Le 10 janvier dernier, la chambre criminelle de la Cour de cassation a renvoyé une question prioritaire de constitutionnalité (QPC) devant le Conseil constitutionnel, qui concerne la conformité aux droits et libertés que la Constitution garantit de l'article 434-15-2 du code pénal.

Cet article prévoit que :

« Est puni de trois ans d'emprisonnement et de 270 000 € d'amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.
Si le refus est opposé alors que la remise ou la mise en œuvre de la convention aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets, la peine est portée à cinq ans d'emprisonnement et à 450 000 € d'amende. »

Cette affaire met en cause des procédés intrusifs et attentatoires aux libertés mis en œuvre par les forces de police dans le cadre de leurs enquêtes. Ces procédés, permis par la loi renforçant la lutte contre le terrorisme et le crime organisé, sont très inquiétants notamment parce qu'ils s'appliquent indifféremment à tout type de crimes et délits.
C'est également l'occasion de rouvrir les multiples débats autour du chiffrement.

Il y a tout juste un an, l'Observatoire des Libertés du Numérique (OLN) dont La Quadrature fait partie, publiait son positionnement sur les questions liées au chiffrement et rappelait notamment son rôle dans la préservation des droits et libertés fondamentales notamment en réponse aux moyens croissants de la surveillance d'État.

L'argumentation principale repose sur le droit reconnu à chacun de ne pas s'auto-incriminer, et de garder le silence dans le cadre d'une enquête. Car révéler la clé de déchiffrement d'une communication qui constituerait une preuve de culpabilité revient directement à cela.

De plus, ce droit au silence doit être absolu - sans condition procédurale : il doit à la fois être garanti pour une personne visée par une enquête, mais aussi pour tous les tiers avec qui cette personne serait entrée en communication. En effet, ces tiers ne doivent pas pouvoir être « contraints » à s'auto-incriminer eux-aussi en déchiffrant les échanges tenus avec la personne poursuivie.

Le Conseil constitutionnel rendra sa décision le 21 mars 2018.

La vidéo de l'audience est disponible sur le site du Conseil constitutionnel.

Retrouvez ici la requête en intervention de La Quadrature du Net.

Nous publions aussi le texte de la plaidoirie de Maître Alexis Fitzjean O Cobhthaigh :

Merci, Monsieur le Président,

Mesdames et Messieurs les membres du Conseil constitutionnel,

1. Les « pères fondateurs » des États-Unis tels Benjamin Franklin, James Madison ou encore Thomas Jefferson, chiffraient leurs correspondances. C’est d’ailleurs dans un courrier partiellement codé que, le 27 mai 1789, Madison exposera à Jefferson son idée d’ajouter une Déclaration des droits à la Constitution américaine.

Le chiffrement prend racine dans les fondements de notre civilisation. Homère mentionne déjà plusieurs exemples mythiques dans l’Illiade.

Les techniques de chiffrement constellent notre histoire : carré de Polybe, palindrome de Sator, les sémagrammes grecs, les marquages de lettres, la scytale spartiate, le chiffre de César, le carré de Vigenère, le cadran d’Alberti, le télégraphe de Chappe, ou encore la réglette de Saint-Cyr.

Par le passé, les moyens de cryptologies ont été largement mobilisés.

Aujourd’hui, ils le sont tout autant pour sécuriser des échanges indispensables dans le fonctionnement actuel de la société.

M. Guillaume Poupard, le directeur de l’Agence nationale de la sécurité des systèmes d’information, l’ANSSI, l’a fermement réaffirmé dans une note en date du 24 mars 2016 à travers laquelle il explique que :

« Parmi les outils de protection indispensables, figurent au premier rang les moyens de cryptographie, et notamment les technologies de chiffrement de l’information. Eux seuls permettent d’assurer une sécurité au juste niveau lors de la transmission, du stockage et de l’accès aux données numériques sensibles. Les applications sont très nombreuses : échanges couverts par le secret de la défense nationale, données de santé ou de profession réglementée, données techniques, commerciales et stratégiques des entreprises, données personnelles des citoyens. Le développement et l’usage généralisé de ces moyens défensifs doivent par conséquent être systématiquement encouragés, voire réglementairement imposés dans les situations les plus critiques. »

Cette extension caractérisée du champ d’application du chiffrement à des domaines nouveaux implique, symétriquement, une protection juridique renforcée.

2. J’en viens donc à présent au droit.

L’article 434-15-2 du code pénal méconnaît le droit de se taire et le droit de ne pas s’auto-incriminer, notamment en ce que la convention secrète de déchiffrement relève du for interne de la personne poursuivie.

En outre, ces dispositions sont de nature à vicier le consentement libre de la communication d’éléments susceptibles de faire reconnaître la culpabilité d’une personne.

Dans ces conditions, la reconnaissance par une personne de sa propre culpabilité ne saurait être exprimée « volontairement, consciemment et librement » (cf. « commentaire autorisé » de la décision n° 2004-492 DC du 2 mars 2004, Loi portant adaptation de la justice aux évolutions de la criminalité, présent sur le site du Conseil constitutionnel), dès lors que les dispositions querellées viennent exercer une contrainte forte sur la liberté du consentement de la personne en cause.

Du reste, les dispositions contestées portent également atteinte, en toute hypothèse, au droit au respect à la vie privée, au droit au secret des correspondances, à la liberté d’expression, aux droits de la défense et au droit à un procès équitable.

De toute évidence, non seulement l’ensemble de ces atteintes à des droits et libertés constitutionnellement protégés ne sont en rien justifiées par un intérêt général suffisant, mais surtout, ce délit n’est nullement nécessaire, radicalement inadapté et manifestement disproportionné.

Sur l’absence de nécessité, d’abord.

Force est de constater qu’à aucun moment il n’est montré, ni même allégué, qu’un délit ou un crime aurait pu être empêché si un contenu avait été décrypté. Dans ces conditions, où se trouve la nécessité ?

En outre, le chiffrement n’empêche nullement les services de disposer de quantité croissante de données.

C’est ce que souligne très justement le Conseil national du numérique, dans un avis intitulé « prédictions, chiffrement et libertés » publié en septembre dernier :

« Le chiffrement des données n’est pas un obstacle insurmontable pour accéder aux informations nécessaires aux enquêtes. Il existe de nombreux moyens de le contourner, même s’il est très robuste, en exploitant des failles techniques ou en s’introduisant directement dans l’équipement de la personne ciblée. En outre, si les contenus sont chiffrés, les métadonnées y afférant restent généralement en clair, dans la mesure où elles sont indispensables au fonctionnement du système.
Et ces métadonnées sont bien souvent suffisantes pour cartographier un réseau ou localiser des individus, sans qu’il y ait besoin pour cela d’entrer dans le contenu des communications. »

Une telle analyse suffit à démontrer l’inutilité de ce procédé.

Mais ces dispositions sont encore radicalement inadaptées.

C’est d’autant plus manifeste concernant le champ personnel de la disposition attaquée.

Dans ses écritures le gouvernement fait valoir que celui-ci ne saurait concerner la personne soupçonnée.

Pourtant, le cas d’espèce démontre qu’elle peut bel et bien être appliquée en ce sens.

Or, en ce cas, le droit de ne pas s’incriminer ne saurait être plus ouvertement bafoué.

Pour ce qui est des tiers, deux hypothèses retiennent notre attention.

Les tiers ordinaires tout d’abord.

Face à un cas de complicité insoupçonnée, il n’est pas exclu que cette disposition aboutisse in fine à contraindre une personne à s’auto-incriminer, sans lui laisser l’occasion de garder le silence.

Concernant les professions protégées, la disposition attaquée pourrait, de façon indiscriminée, porter atteinte aux secrets de correspondances qui nécessitent un degré de protection particulièrement élevé. C’est le cas des sources journalistiques, du secret professionnel des avocats, ou encore, du secret médical.

Imagine-t-on, un journaliste, un avocat, un médecin contraint de révéler des secrets sur ses sources, ses clients, ses patients ?

A ce titre, les garanties apportées par la loi sont manifestement insuffisantes.

Du reste, on demeure quelque peu perplexe quant à la possibilité de prouver, de manière suffisamment certaine, la connaissance d’une telle convention de déchiffrement.

Les tiers intermédiaires ensuite.

Le standard de chiffrement actuel dit, asymétrique de bout en bout, implique que seul le destinataire d’une communication détienne la clé permettant de la déchiffrer. Il s’agit du protocole recommandé par l’ensemble des experts du secteur, au premier rang desquels se trouve, tel qu’il a été dit, l’ANSSI.

Cette information est donc, en principe, indéchiffrable par des tiers, et notamment par les intermédiaires. Ne détenant pas lui-même la clé de déchiffrement, le tiers est donc dans l’incapacité de répondre aux réquisitions dont il est l’objet.

Dans ces conditions, on peine encore à déceler l’intérêt d’une telle disposition.

Enfin, et surtout, ces dispositions sont manifestement disproportionnées.

A peine est-il besoin de relever, que ces dispositions ont un champ d’application qui s’étend sur l’ensemble des délits et des crimes. Même les délits les plus mineurs. Sans chercher à se limiter à ceux d’une particulière gravité.

En outre, on ne peut qu’être effrayé qu’une telle ingérence, dans des droits et libertés aussi fondamentaux que le droit au silence, le droit de ne pas s’auto-incriminer, mais aussi, la liberté d’expression, le droit à la vie privée, le droit au secret des correspondances et le droit à un procès équitable, puissent être tolérée pour de simples éventualités.

Et c’est pourquoi, j’ai l’honneur de vous demander, au nom de La Quadrature du Net, de censurer les dispositions attaquées, et ce sans effet différé.

Paris, le 7 mars 2018 - La Quadrature du Net est intervenue avec Les Exégètes amateurs dans une affaire devant le Conseil constitutionnel mettant en cause une disposition du code pénal obligeant la remise de la convention secrète de déchiffrement d'un moyen de cryptologie.

Le 10 janvier dernier, la chambre criminelle de la Cour de cassation a renvoyé une question prioritaire de constitutionnalité (QPC) devant le Conseil constitutionnel, qui concerne la conformité aux droits et libertés que la Constitution garantit de l'article 434-15-2 du code pénal.

Cet article prévoit que :

« Est puni de trois ans d'emprisonnement et de 270 000 € d'amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.
Si le refus est opposé alors que la remise ou la mise en œuvre de la convention aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets, la peine est portée à cinq ans d'emprisonnement et à 450 000 € d'amende. »

Cette affaire met en cause des procédés intrusifs et attentatoires aux libertés mis en œuvre par les forces de police dans le cadre de leurs enquêtes. Ces procédés, permis par la loi renforçant la lutte contre le terrorisme et le crime organisé, sont très inquiétants notamment parce qu'ils s'appliquent indifféremment à tout type de crimes et délits.
C'est également l'occasion de rouvrir les multiples débats autour du chiffrement.

Il y a tout juste un an, l'Observatoire des Libertés du Numérique (OLN) dont La Quadrature fait partie, publiait son positionnement sur les questions liées au chiffrement et rappelait notamment son rôle dans la préservation des droits et libertés fondamentales notamment en réponse aux moyens croissants de la surveillance d'État.

L'argumentation principale repose sur le droit reconnu à chacun de ne pas s'auto-incriminer, et de garder le silence dans le cadre d'une enquête. Car révéler la clé de déchiffrement d'une communication qui constituerait une preuve de culpabilité revient directement à cela.

De plus, ce droit au silence doit être absolu - sans condition procédurale : il doit à la fois être garanti pour une personne visée par une enquête, mais aussi pour tous les tiers avec qui cette personne serait entrée en communication. En effet, ces tiers ne doivent pas pouvoir être « contraints » à s'auto-incriminer eux-aussi en déchiffrant les échanges tenus avec la personne poursuivie.

Le Conseil constitutionnel rendra sa décision le 21 mars 2018.

La vidéo de l'audience est disponible sur le site du Conseil constitutionnel.

Retrouvez ici la requête en intervention de La Quadrature du Net.

Nous publions aussi le texte de la plaidoirie de Maître Alexis Fitzjean O Cobhthaigh :

Merci, Monsieur le Président,

Mesdames et Messieurs les membres du Conseil constitutionnel,

1. Les « pères fondateurs » des États-Unis tels Benjamin Franklin, James Madison ou encore Thomas Jefferson, chiffraient leurs correspondances. C’est d’ailleurs dans un courrier partiellement codé que, le 27 mai 1789, Madison exposera à Jefferson son idée d’ajouter une Déclaration des droits à la Constitution américaine.

Le chiffrement prend racine dans les fondements de notre civilisation. Homère mentionne déjà plusieurs exemples mythiques dans l’Illiade.

Les techniques de chiffrement constellent notre histoire : carré de Polybe, palindrome de Sator, les sémagrammes grecs, les marquages de lettres, la scytale spartiate, le chiffre de César, le carré de Vigenère, le cadran d’Alberti, le télégraphe de Chappe, ou encore la réglette de Saint-Cyr.

Par le passé, les moyens de cryptologies ont été largement mobilisés.

Aujourd’hui, ils le sont tout autant pour sécuriser des échanges indispensables dans le fonctionnement actuel de la société.

M. Guillaume Poupard, le directeur de l’Agence nationale de la sécurité des systèmes d’information, l’ANSSI, l’a fermement réaffirmé dans une note en date du 24 mars 2016 à travers laquelle il explique que :

« Parmi les outils de protection indispensables, figurent au premier rang les moyens de cryptographie, et notamment les technologies de chiffrement de l’information. Eux seuls permettent d’assurer une sécurité au juste niveau lors de la transmission, du stockage et de l’accès aux données numériques sensibles. Les applications sont très nombreuses : échanges couverts par le secret de la défense nationale, données de santé ou de profession réglementée, données techniques, commerciales et stratégiques des entreprises, données personnelles des citoyens. Le développement et l’usage généralisé de ces moyens défensifs doivent par conséquent être systématiquement encouragés, voire réglementairement imposés dans les situations les plus critiques. »

Cette extension caractérisée du champ d’application du chiffrement à des domaines nouveaux implique, symétriquement, une protection juridique renforcée.

2. J’en viens donc à présent au droit.

L’article 434-15-2 du code pénal méconnaît le droit de se taire et le droit de ne pas s’auto-incriminer, notamment en ce que la convention secrète de déchiffrement relève du for interne de la personne poursuivie.

En outre, ces dispositions sont de nature à vicier le consentement libre de la communication d’éléments susceptibles de faire reconnaître la culpabilité d’une personne.

Dans ces conditions, la reconnaissance par une personne de sa propre culpabilité ne saurait être exprimée « volontairement, consciemment et librement » (cf. « commentaire autorisé » de la décision n° 2004-492 DC du 2 mars 2004, Loi portant adaptation de la justice aux évolutions de la criminalité, présent sur le site du Conseil constitutionnel), dès lors que les dispositions querellées viennent exercer une contrainte forte sur la liberté du consentement de la personne en cause.

Du reste, les dispositions contestées portent également atteinte, en toute hypothèse, au droit au respect à la vie privée, au droit au secret des correspondances, à la liberté d’expression, aux droits de la défense et au droit à un procès équitable.

De toute évidence, non seulement l’ensemble de ces atteintes à des droits et libertés constitutionnellement protégés ne sont en rien justifiées par un intérêt général suffisant, mais surtout, ce délit n’est nullement nécessaire, radicalement inadapté et manifestement disproportionné.

Sur l’absence de nécessité, d’abord.

Force est de constater qu’à aucun moment il n’est montré, ni même allégué, qu’un délit ou un crime aurait pu être empêché si un contenu avait été décrypté. Dans ces conditions, où se trouve la nécessité ?

En outre, le chiffrement n’empêche nullement les services de disposer de quantité croissante de données.

C’est ce que souligne très justement le Conseil national du numérique, dans un avis intitulé « prédictions, chiffrement et libertés » publié en septembre dernier :

« Le chiffrement des données n’est pas un obstacle insurmontable pour accéder aux informations nécessaires aux enquêtes. Il existe de nombreux moyens de le contourner, même s’il est très robuste, en exploitant des failles techniques ou en s’introduisant directement dans l’équipement de la personne ciblée. En outre, si les contenus sont chiffrés, les métadonnées y afférant restent généralement en clair, dans la mesure où elles sont indispensables au fonctionnement du système.
Et ces métadonnées sont bien souvent suffisantes pour cartographier un réseau ou localiser des individus, sans qu’il y ait besoin pour cela d’entrer dans le contenu des communications. »

Une telle analyse suffit à démontrer l’inutilité de ce procédé.

Mais ces dispositions sont encore radicalement inadaptées.

C’est d’autant plus manifeste concernant le champ personnel de la disposition attaquée.

Dans ses écritures le gouvernement fait valoir que celui-ci ne saurait concerner la personne soupçonnée.

Pourtant, le cas d’espèce démontre qu’elle peut bel et bien être appliquée en ce sens.

Or, en ce cas, le droit de ne pas s’incriminer ne saurait être plus ouvertement bafoué.

Pour ce qui est des tiers, deux hypothèses retiennent notre attention.

Les tiers ordinaires tout d’abord.

Face à un cas de complicité insoupçonnée, il n’est pas exclu que cette disposition aboutisse in fine à contraindre une personne à s’auto-incriminer, sans lui laisser l’occasion de garder le silence.

Concernant les professions protégées, la disposition attaquée pourrait, de façon indiscriminée, porter atteinte aux secrets de correspondances qui nécessitent un degré de protection particulièrement élevé. C’est le cas des sources journalistiques, du secret professionnel des avocats, ou encore, du secret médical.

Imagine-t-on, un journaliste, un avocat, un médecin contraint de révéler des secrets sur ses sources, ses clients, ses patients ?

A ce titre, les garanties apportées par la loi sont manifestement insuffisantes.

Du reste, on demeure quelque peu perplexe quant à la possibilité de prouver, de manière suffisamment certaine, la connaissance d’une telle convention de déchiffrement.

Les tiers intermédiaires ensuite.

Le standard de chiffrement actuel dit, asymétrique de bout en bout, implique que seul le destinataire d’une communication détienne la clé permettant de la déchiffrer. Il s’agit du protocole recommandé par l’ensemble des experts du secteur, au premier rang desquels se trouve, tel qu’il a été dit, l’ANSSI.

Cette information est donc, en principe, indéchiffrable par des tiers, et notamment par les intermédiaires. Ne détenant pas lui-même la clé de déchiffrement, le tiers est donc dans l’incapacité de répondre aux réquisitions dont il est l’objet.

Dans ces conditions, on peine encore à déceler l’intérêt d’une telle disposition.

Enfin, et surtout, ces dispositions sont manifestement disproportionnées.

A peine est-il besoin de relever, que ces dispositions ont un champ d’application qui s’étend sur l’ensemble des délits et des crimes. Même les délits les plus mineurs. Sans chercher à se limiter à ceux d’une particulière gravité.

En outre, on ne peut qu’être effrayé qu’une telle ingérence, dans des droits et libertés aussi fondamentaux que le droit au silence, le droit de ne pas s’auto-incriminer, mais aussi, la liberté d’expression, le droit à la vie privée, le droit au secret des correspondances et le droit à un procès équitable, puissent être tolérée pour de simples éventualités.

Et c’est pourquoi, j’ai l’honneur de vous demander, au nom de La Quadrature du Net, de censurer les dispositions attaquées, et ce sans effet différé.