La solution de messagerie sécurisée CaliOpen, qui a fait de la vie privée son moteur principal, a décidé de déménager. La cause ? Le vote de la loi Renseignement par le Parlement et sa validation quasi intégrale par le Conseil constitutionnel.
Le projet français CaliOpen prend du retard. Cette suite logicielle de solution de messagerie sécurisée devait être proposée en version alpha fin mai 2015, avec les bases du code et un plug-in d’email. « Nous n’y sommes pas arrivés » regrette l’équipe dans un message tout juste posté sur le blog officiel, qui du coup à pris la décision de le repousser à la fin de l’année, « pour en voir davantage. »
Dans son billet, qui diffuse une vidéo de CaliOpen, l’équipe prévient en tout cas que le projet devrait être accompagné par une structure associative à but non lucratif. Installée, elle sera « chargée du développement logiciel, de la diffusion des patches de sécurité, et de gérer le futur réseau « intra-caliOpen » (et donc de labelliser les utilisateurs qui voudront y participer), et d’une structure commerciale de l’autre, qui pourra financer une des premières instances de CaliOpen, gérer la phase d’une bêta publique, et assurer l’avenir de l’association en cherchant un modèle économique viable. »
L'écueil de la loi sur le renseignement
Seulement le développement de CaliOpen, né d’une discussion autour de l’affaire Snowden avec Jeremie Zimmermann, a rencontré un écueil sur sa route : la toute récente loi sur le renseignement. Son vote interpelle les initiateurs du projet, dont Laurent Chemla, cofondateur de Gandi : « Est-il sage de faire reposer l’avenir d’un logiciel qui veut redonner le goût de la vie privée à ses utilisateurs sur des structures dépendant d’un État capable de voter de telles lois ? ». Selon eux, « quel que soit l’avenir du texte après son passage devant le Conseil Constitutionnel, il nous semble impossible de garantir aux futurs utilisateurs une réelle confidentialité de leurs données si Caliopen devait dépendre, de près ou de loin, d’un pays dont les représentants ont voté l’installation de « boites noires » chez les opérateurs et hébergeurs. »
Ce dispositif de technosurveillance a été estampillé « conforme » par le Conseil constitutionnel. Cette qualité empêche du coup toute remise en cause via une future question prioritaire de constitutionnalité. Il pourra donc être installé sur autorisation du premier ministre chez n’importe quel acteur du numérique pour aspirer et analyser un flot de données de connexion. L’objectif ? Tenter de détecter des données susceptibles de caractériser l’existence d’une menace à caractère terroriste (article L.851-3 du Code de la sécurité intérieure). Le cas échéant, si l’algorithme devine quelque chose, le premier ministre pourra demander l’identification des personnes concernées, mais également « le recueil des données afférentes » (notez l’expression « données » et non « données de connexion » qui aurait à coup sûr limité l’aspiration subséquente aux seules métadonnées).
Une préférence pour le Luxembourg, pour l'instant
Face à un tel épouvantail pour la vie privée, CaliOpen a pris la décision de déménager hors de nos frontières. Où ? Possiblement au Luxembourg, « pas pour des raisons fiscales, mais pour des questions de langue et de proximité, et surtout pour garantir la non-ingérence de l’État dans les informations confidentielles qu’auront à gérer tant la future association que la structure qui commercialisera un des premiers services basés sur Caliopen. »
Ce n’est pas le premier acteur à avoir décidé de faire ses valises face à ce texte. Déjà, en avril dernier, deux hébergeurs, Eu.org et Altern.org, ont décidé de plier bagage. Le premier assure qu’il « ne peut moralement laisser en toute connaissance de cause le trafic de ses utilisateurs -- incluant des sites d'activisme politique dans le monde entier -- et, par ricochet, le trafic d'accès de leurs propres utilisateurs, exposé à de telles écoutes ». « Pour nous un seul jour sous écoute globale est un jour de trop », ajoute Altern.org qui « refuse la boite noire des services secrets, ferme ses services immédiatement, pour les rouvrir dans quelques jours dans un pays plus respectueux des libertés individuelles. »
La surveillance internationale n'est pas morte en France
On rappellera au passage que si le Conseil constitutionnel a torpillé l’article permettant les services à mener à bien une surveillance internationale, il a laissé intact d’autres articles qui permettent aux services, toujours à l’étranger, de mener à bien des opérations de surveillance. L’article L. 811-2 du Code de la sécurité intérieure leur confie par exemple la mission en France comme à l’étranger de rechercher, collecter, exploiter et mettre à disposition du Gouvernement « des renseignements relatifs aux enjeux géopolitiques et stratégiques ainsi qu'aux menaces et aux risques susceptibles d'affecter la vie de la Nation ». Toujours à l’étranger, l’article 821-7 CSI autorise la surveillance des magistrats, avocats, journalistes et parlementaires même dans l’exercice de leur mandat ou leur profession. Enfin, l’article 18 de la loi dépénalise les faits de piratage dont seraient responsables les services du renseignement à l’échelle internationale.
