Le gouvernement ne veut pas imposer de chiffrement de bout en bout dans la loi Lemaire

Le gouvernement ne veut pas imposer de chiffrement de bout en bout dans la loi Lemaire

Et pas de droit similaire dans la charte

Avatar de l'auteur
Marc Rees

Publié dans

Droit

04/12/2015 5 minutes
7

Le gouvernement ne veut pas imposer de chiffrement de bout en bout dans la loi Lemaire

Des milliers de contributions avaient nourri la consultation publique organisée en préparation du projet de loi pour une République Numérique. Le gouvernement a répondu à certaines d’entre elles. À cette occasion, il s’est opposé au chiffrement intégral comme au renforcement du secret des correspondances privées.

Six semaines après la clôture de cette consultation, Bercy a donc isolé 170 modifications législatives et 85 nouveaux articles parmi les contributions ayant fait l’objet de plus grand nombre de votes.

L’une d'elles avait ainsi proposé que la loi sur la confiance dans l’économie numérique soit modifiée afin d’imposer « le chiffrement par défaut des courriers électroniques » par les FAI et autres intermédiaires techniques. Ils seraient spécialement « tenus d'assurer la confidentialité des échanges en mettant en œuvre un chiffrement de bout en bout », sous peine d’une amende de 300 000 euros.

Dans sa réponse, le gouvernement partage « l’objectif de développement de l’usage des techniques du chiffrement », cependant de son chapeau, il préfère amplement sortir la charte signée en octobre sous l’égide de l’ANSSI, avec cinq FAI (Bouygues Telecom, Free, La Poste, Numericable-SFR et Orange). Elle vise en effet à « activer les fonctions de chiffrement sur leurs serveurs de messagerie de manière à protéger les courriels véhiculés entre ces serveurs ». Elle n’intéresse donc que le seul chiffrement des flux, assurant toutefois des passages en clair chez ces intermédiaires afin de faciliter les interceptions de sécurité. Bref, nul besoin d'aller plus loin car « il convient d’attendre les premiers retours d’expérience sur cette initiative avant d’envisager un renforcement de ces mesures par voie législative, qui apparait prématuré. »

Dans cette autre réponse à une contribution qui voudrait créer un droit absolu de refuser la transmission de ses clefs de chiffrement aux autorités en cas de réquisition, le gouvernement craint un dispositif disproportionné « car il permettrait notamment d’entraver les enquêtes judiciaires.  L’accès aux clés de chiffrement par les autorités est néanmoins légalement encadré. » 

Les données de connexion exclues du secret des correspondances

Sur la question du secret des correspondances, le blogueur Authueil avait suggéré que les données de connexion soient désormais intégrées dans ce spectre  afin de garantir et renforcer le droit à la vie privée. Alexandre Archambault, ancien responsable des affaires réglementaires de Free, avait proposé une mesure similaire.

Le gouvernement a balayé le tout d’un revers de main, estimant que la conception du secret des correspondances « est rigoureusement attachée au secret des contenus échangés, et non aux informations périphériques afférentes aux supports techniques de communication ».

Décider l’extension du secret des correspondances aux métadonnées ou aux données de connexion serait selon lui une façon « d’anéantir de façon extrêmement dommageable la distinction juridique fondamentale entre « données de contenu » et « données techniques », distinction qui est un repère essentiel dans le régime de protection des libertés ». Cette réponse ajoute que « les données de connexion ne sont d’ailleurs pas toutes sans protection : certaines d’entre elles (telles que « l’adresse IP » dans certains cas, la donnée de géolocalisation) relèvent du régime de la protection des données personnelles, et à ce titre, bénéficient de garanties spéciales que ce projet de loi a précisément vocation à renforcer. »

On notera cependant que la CJUE avait exposé dans son arrêt fondamental Digital Rights que les données de connexion étaient désormais pour le moins sensibles, non reléguées à de simples identifiants techniques. Pourquoi ? Car « prises dans leur ensemble, [elles] sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes (…) telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci ». Pour l'exécutif, l’assimilation législative entre « données de connexion » et « données de contenu » aurait eu des conséquences très vastes notamment dans le cadre de la loi sur le renseignement, laquelle a prévu des procédures plus allégées pour les premières, considérées comme moins intrusives.

Le statut de l'adresse IP

Dans une autre contribution à souligner, il a été proposé de ne plus analyser l’adresse IP publique « comme un élément d'identification suffisant à garantir l'identité de la personne physique utilisatrice de l'appareil ». Olivier Seror-Droin, son auteur, pense en effet qu’il n’est plus possible aujourd’hui d’identifier une personne physique par ce seul biais, notamment « de par la possibilité de la dissimuler avec plus ou moins de facilité » et parce qu’elle « simplifie trop la pensée du "une IP, un propriétaire responsable", dans le cadre de familles ou de connexion partagée. »

En retour, le gouvernement rétorque que ce sont surtout les circonstances qui permettent de savoir si l’adresse IP revêt ou non un caractère personnel. Il prévient au surplus que le considérant 24 du projet de règlement relatif à la protection des données à caractère personnel rejoint cette position, lorsqu’il pose que « les numéros d'identification, les données de localisation, les identifiants en ligne ou d'autres éléments spécifiques ne devraient pas être considérés, en soi, comme des données à caractère personnel s'ils n'identifient pas ou ne rendent pas identifiable une personne physique. »

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Les données de connexion exclues du secret des correspondances

Le statut de l'adresse IP

Commentaires (7)


Surprenant !




Dans une autre contribution à souligner, il a été proposé de ne plus analyser l’adresse IP publique « comme un élément d’identification suffisant à garantir l’identité de la personne physique utilisatrice de l’appareil ». Olivier Seror-Droin, son auteur, pense en effet qu’il n’est plus possible aujourd’hui d’identifier une personne physique par ce seul biais, notamment « de par la possibilité de la dissimuler avec plus ou moins de facilité » et parce qu’elle « simplifie trop la pensée du “une IP, un propriétaire responsable”, dans le cadre de familles ou de connexion partagée. »





ça irait à l’encontre de ce pense l’hadopi. Si c’est effectif, comment ça se passe lorsqu’il y a une telle contradiction au niveau de l’état ?


Alors on se crée un compte sur ProtonMail, en passant par Tor, puis on utilise sa messagerie chiffrée en utilisant un VPN, même gratuit tant qu’il est dans un pays démocratique comme la Russie, c’est ça ? <img data-src=" />








boglob a écrit :



ça irait à l’encontre de ce pense l’hadopi. Si c’est effectif, comment ça se passe lorsqu’il y a une telle contradiction au niveau de l’état ?





Tu n’as pas le droit de contester et ils attendent que tu craques sur tes méfaits









Si on prend le même principe, on ne doit pas considérer qu’on puisse identifier quelqu’un sur une vidéo, parce qu’il peut se grimer ou porter une cagoule…



Autant le cambrioleur va porter une cagoule mais le passant lambda non. Du coup ne plus considérer l’adresse IP comme une donnée permettant d’identifier quelqu’un parce qu’on est pas toujours sûrs revient à ne plus protéger la personne lambda qui se fait filmer. Parce que si une donnée est reliée à un individu identifiable, c’est une données à caractère personnel et protégé par la loi Informatique et Libertés, si non on peut faire ce qu’on veut avec (au hasard, du tracking ?)



Après le côté 1 = 1 est stupide quand la personne est en train de faire quelque chose d’illégal, elle se planque. Mais il y a une différence en disant “une personne mal intentionnée ou utilisant certaines techniques peu changer d’IP ou usurper celle d’un autre” et dire “free for all” sur les IP ^^’








boglob a écrit :



ça irait à l’encontre de ce pense l’hadopi. Si c’est effectif, comment ça se passe lorsqu’il y a une telle contradiction au niveau de l’état ?





L’IP n’est pas considérée comme l’identifiant du coupable par l’Hadopi. Elle est considérée comme l’identifiant de la connexion utilisée par le coupable.



Quand l’État lance une consultation publique il réclame en fait un plébiscite de son point de vu.



&nbsp;Si ça n’y ne correspond pas, vous n’aurez, comme ici, qu’un doigt en retour.



&nbsp;