Des eurodéputés plaident en faveur du chiffrement de bout en bout

Des députés européens proposent de défendre le chiffrement de bout en bout, sans portes dérobées... Seulement, ces amendements ne s'appuient que sur la résolution relative à la cybercriminalité et un rapport concernant ePrivacy. Deux véhicules qui doivent en outre être validés par les commissions parlementaires puis l'ensemble du Parlement.

Le travail parlementaire est consommateur de papier, les dernières semaines le prouvent. En plein débat sur le futur règlement de protection de la vie privée ePrivacy, des eurodéputés multiplient les pistes sur les droits et obligations des États et entreprises.

Fin mai, des eurodéputés de la commission Libertés civiles (LIBE) déposaient un projet de résolution sur la cybercriminalité. Ils poussaient notamment vers un accès simplifié aux données et métadonnées des internautes européens par les autorités (voir notre analyse). Il était alors question d'amener les services Internet vers plus de chiffrement, tout en prônant leur contournement par les services, avec un partage des bonnes pratiques en la matière.

Le 9 juin, certains de leurs collègues des commissions LIBE et IMCO (marché intérieur et protection des consommateurs) réagissaient. Ils déposaient une vague de 431 amendements à ce projet de résolution. Parmi eux, plusieurs défendent le chiffrement de bout en bout, sans portes dérobées. Une vague accompagnée d'une autre, toujours au sein de la commission LIBE, pour renforcer cette protection technique cette fois dans le règlement ePrivacy, qui doit s'appliquer en mai 2018.

Eurodéputés contre axe franco-britannique

Selon un amendement de la députée Nathalie Griesbeck, le Parlement devrait encourager le chiffrement de bout en bout, voire l'imposer quand nécessaire. Outre une révision de la gouvernance du Net, son collègue Jan Philipp Albrecht veut que cette protection de la vie privée soit systématique afin de minimiser l'interception d'informations par des (pays) tiers. Rien de moins. D'autres rustines veulent interdire, quand ce n'est pas condamner, les portes dérobées. 

Dans un projet de rapport sur ePrivacy cette fois, examiné demain en première lecture en LIBE, cette défense du chiffrement de bout en bout est aussi une priorité affichée. « Quand le chiffrement des communications est utilisé, le décryptage, la rétro-ingénierie ou la surveillance de ces communications doivent être interdits. Les Etats membres ne doivent pas imposer d'obligations sur les fournisseurs de services menant à un affaiblissement de la sécurité de leurs réseaux et services » affirme le texte, qui doit encore être validé.

Si les résolutions européennes n'ont pas de portée juridique, il s'agit au moins d'un message fort de quelques eurodéputés face à une tendance lourde des gouvernements tels la France et le Royaume-Uni qui ouvrent actuellement un front commun contre le chiffrement (voir notre analyse). 

Du côté d'ePrivacy, la version non validée du rapport inclut d'ailleurs une emphase sur la protection des métadonnées (numéros appelés, sites visités, géolocalisation...), jugée « essentielle » pour les libertés fondamentales des Européens. Dans un autre amendement (17), il s'agit en outre d'imposer le consentement explicite de l'internaute pour le traitement de ses données, qu'il peut retirer à tout moment. La mesure irait à l'encontre de ce qui a été réautorisé en début d'année aux États-Unis, où les opérateurs ont le droit de commercialiser les données des clients sans leur accord explicite.

Résolution « cybercriminalité » : le contournement du chiffrement sur la sellette

En parallèle, un amendement à la (future) résolution sur la cybercriminalité, de la députée Anneleen Van Bossuyt, veut encourager le développement de produits respectant la vie privée des internautes via des standards. Elle cite par exemple un label de confiance pour l'Internet des objets, en plein débat entre la Commission européenne et les agences de sécurité informatique européenne (Enisa) et française (ANSSI). Cette dernière nous disait récemment promouvoir l'auto-certification dans ce cas.

Dans le jeu des amendements, on constate cependant une véritable valse, ponctuée d'adjonctions, suppressions et retraits. Quelques exemples :  il ne serait plus question de demander à la Commission de trouver des moyens d'obliger les plateformes à coopérer avec les autorités d'un pays tiers de l'UE. La partie du texte soulignant l'importance de la collaboration entre Etats et plateformes est aussi appelée à disparaitre.

L'échange des meilleures pratiques en matière de contournement du chiffrement (avec supervision judiciaire) subirait le même sort. Autrement dit, contrairement à ce qui était envisagé par des députés fin mai, il ne serait plus question que le Parlement recommande de contourner cette protection des données. Il ne serait pas non plus envisageable de « minimiser les risques posés par les fuites de failles ou d'outils utilisés par les forces de l'ordre dans le cadre d'enquêtes légitimes ». Les scandales des outils de la NSA revendus par les Shadow Brokers et de la CIA fuités par WikiLeaks sont passés par là.

Enfin, alors que la Commission veut améliorer la coopération entre pays pour l'obtention de preuves numériques, les eurodéputés sont (ici aussi) partagés sur un éventuel encouragement par le Parlement de l'échange de métadonnées et d'informations non chiffrées entre États européens et tiers.

Des centaines d'amendements pour un simple signal politique

Si le projet de résolution sur la cybercriminalité agite les méninges des commissions LIBE et IMCO, avec plus de 400 amendements déposés sur une première proposition de texte, il s'agira au final d'un simple signal politique. Une résolution du Parlement correspond à une position officielle de l'institution, que personne n'est obligé à suivre. Donc, aujourd'hui, dire que le Parlement européen soutient le chiffrement de bout en bout serait une exagération, malgré des signes en ce sens au sein de groupes de travail.

En parallèle, le futur règlement ePrivacy est toujours en débat au sein de l'institution qui dissèque une première version proposée par la Commission européenne en janvier. Le brouillon de rapport de la commission LIBE, qui prône ici le chiffrement, n'engage encore ici que ses auteurs, même pas « LIBE » et encore moins le Parlement dans son ensemble. Pour rappel, il doit être lu en commission pour la première fois demain.

Tous ces débats contribuent, involontairement, au rush qu'est la validation du règlement ePrivacy, qui doit couvrir les angles morts du Règlement général sur la protection des données personnelles (RGPD), adopté l'an dernier et appliqué en mai 2018. La Commission européenne a voulu aligner l'application d'ePrivacy sur cette date, au risque d'obtenir un texte incomplet, comme nous alertait récemment Amal Taleb, vice-présidente du Conseil national du numérique (CNNum).