Dans le cadre de l’examen en séance du projet de loi adaptant notre législation au RGPD, les sénateurs ont plaidé hier soir pour intégrer dans la loi CNIL une obligation de chiffrement « dès que possible ». Le gouvernement s’y est opposé, en vain.
Hier soir, les sénateurs ont adopté un amendement visant à contraindre les responsables de traitement de données personnelles à les chiffrer « chaque fois que cela est possible ».
Selon le sénateur François Bonhomme (LR), l’idée est de rendre explicite « l'obligation de chiffrer de bout en bout chaque fois que cela est possible ». Un tel chiffrement, a ajouté Esther Benbassa (EELV), « est la seule technique pour lutter efficacement contre les intrusions ».
L’exécutif oppose l’article 32 du RGPD
Nicole Belloubet, garde des Sceaux, s’y est opposée : « L'obligation paraît excessive. L'article 32 du règlement prévoit que le responsable de traitement et le sous-traitant utilisent des mesures appropriées, dont la pseudonymisation ou le chiffrement des données à caractère personnel. C'est au responsable du traitement, sous le regard de la CNIL, de définir lesquelles le sont ».
Selon l’article 32 du RGPD (notre analyse du texte), les responsables de traitements et leurs éventuels sous-traitants ont l’obligation de « garantir un niveau de sécurité adapté au risque ». Le texte suggère la pseudonymisation ou le chiffrement des données à caractère personnel, et l’adoption de « moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ».
Malgré l’opposition du gouvernement, l’amendement a été adopté, avec avis favorable de la rapporteure Sophie Joissains (UC). Pour survivre dans la future loi adaptant notre législation au RGPD, la disposition devra passer le cap de la commission mixte paritaire, chargée d’arbitrer entre la version du projet déjà voté par les députés et celle des sénateurs.
Le chiffrement devant le Conseil constitutionnel
Hasard du calendrier, le Conseil constitutionnel doit rendre le 30 mars une décision importante. L’enjeu ? Savoir si un individu peut refuser de fournir sa clé de déchiffrement aux autorités sans encourir de sanction.
Selon l’article 434-15-2 du Code pénal, celui qui a connaissance d’une telle clé et qui refuse de la transmettre aux autorités judiciaires encourt jusqu’à trois ans d’emprisonnement et 270 000 euros d’amende, dans le cadre d’un crime ou d’un délit.
L’échelle des peines grimpe à cinq ans d'emprisonnement et 450 000 euros d'amende si ce refus est opposé alors que « la remise ou la mise en œuvre de la convention aurait permis d'éviter la commission » de ces infractions.
Devant la Cour de cassation, un certain Malik X a soulevé une QPC considérant que ce régime vient à rebours de son droit au silence et de celui de ne pas s’auto-incriminer. Les juges de la juridiction civile ont estimé qu’en effet, il « pourrait porter atteinte au droit de ne pas faire de déclaration et à celui de ne pas contribuer à sa propre incrimination qui résultent des articles 9 et 16 de la Déclaration des droits de l’homme et du citoyen du 26 août 1789 ».
La CEDH comme la Cour de cassation ont consacré le droit de se taire et de ne pas s’incriminer. Le 30 juillet 2010, le Conseil constitutionnel avait inscrit le droit au silence au plus haut de la hiérarchie des normes, mais sans viser la disposition du Code pénal précitée.
