Le superviseur européen à la protection des données soutien le chiffrement

En fin de semaine dernière, le superviseur européen de la protection des données (European Data Protection Supervisor, EDPS) a pris position en faveur du chiffrement de bout en bout des communications électroniques personnelles et contre les portes dérobées.

Dans son « opinion préliminaire » sur la directive ePrivacy de 2002, relative à la confidentialité des communications électroniques, l’EDPS souligne que le cadre réglementaire doit garantir cette confidentialité, « un droit fondamental enrichi dans l’article 7 de la charte des droits fondamentaux de l’Union Européenne ». Pour lui, « le périmètre du nouveau cadre légal doit être étendu » et en particulier pour « tenir compte des changements technologiques et sociétaux et pour assurer que les individus disposent du même niveau de protection pour tous les services fonctionnellement équivalent, qu’ils soient fournis par exemple par des opérateurs téléphoniques traditionnels, des services de voix sur IP, ou par des applications mobiles de messagerie ».

Ainsi, l’EDPS estime que « les nouvelles règles devraient clairement permettre aux utilisateurs de profiter du chiffrement de bout en bout (sans portes dérobées) pour protéger leurs communications électroniques ». Qui plus est, « l’utilisation du chiffrement de bout en bout devrait être encouragé et, lorsque c’est nécessaire, requis, en accord avec le principe de protection des données par conception ». En outre, pour lui, « déchiffrement, rétro-ingénierie ou surveillance des communications protégées par le chiffrement devraient être interdits ».

Sans ambages, le superviseur considère également que « au-delà d’un ensemble clair d’exceptions (comme l’analyse en premier lieu), aucune communication ne devrait être sujette à suivi et surveillance sans accord explicite, que ce soit via cookies, empreintes de terminal ou autre moyen technologique ».

La commission européenne a lancé une consultation publique sur la révision de la directive ePrivacy mi-avril. Celle-ci s’est achetée début juillet.

Cette position de l’EDPS promet des débats tendus alors les autorités de nombreux pays s’élèvent régulièrement contre le chiffrement des communications personnelles. Mais l’agence européenne pour la sécurité des réseaux et de l’information, Enisa, ne cache pas, depuis longtemps, ses positions opposées aux portes dérobées et autres systèmes de mise de clés de chiffrement sous séquestre. Des mécanismes proposés régulièrement pour satisfaire les attentes d’autorités à la peine avec les systèmes de chiffrement modernes.

Récemment encore, l’Enisa soulignait, dans un rapport, l’importance du chiffrement « fort et de confiance » comme brique « pour une société et une économie qui dépendent plus que jamais des services électroniques ». Une piqure de rappel après une première prise de position marquée en janvier 2015.

Récemment, Europol pouvait sembler s’être rangé à ces positions. Mais son communiqué commun avec l’Enisa, fin mai, ne manquait pas d’une certaine ambiguïté : « lorsque que le contournement [des moyens de protection, NDLR] n’est pas possible, alors même que l’accès aux informations chiffrées est impératif pour la sécurité et la justice, des solutions réalistes de déchiffrement sans affaiblissement des mécanismes de protection doivent être offerts, tant par la législation, que par l’évolution technologique continue ».

Si le message, ménageant tant la chèvre que le chou, apparassait avant tout politique, visant à afficher une unité au moins de façade entre l’Enisa et Europol, il avançait toutefois la perspective de travaux de coopération entre l’Europe et les « partenaires industriels », ainsi que la « communauté de la recherche dotée d’une expertise en crypto-analyse » pour aider à casser le chiffrement « lorsque c’est légalement recommandé ».