Dans un arrêt qui fait date, la Cour européenne des droits de l'homme (CEDH) a jugé que l'affaiblissement du chiffrement peut conduire à une surveillance générale et indiscriminée des communications de tous les utilisateurs et constitue une violation du droit à la vie privée.En 2017, le paysage de la communication numérique en Russie a connu un moment charnière lorsque le gouvernement a exigé de Telegram Messenger LLP et d'autres fournisseurs de "communication par internet" qu'ils stockent toutes les données de communication - et leur contenu - pendant des durées déterminées. Ces fournisseurs ont également été tenus de fournir aux autorités chargées de l'application de la loi les données des utilisateurs, le contenu de leurs communications, ainsi que toute information nécessaire pour déchiffrer les messages des utilisateurs. Le FSB (le service fédéral de sécurité russe) a ensuite ordonné à Telegram de l'aider à déchiffrer les communications d'utilisateurs spécifiques soupçonnés d'être impliqués dans des activités liées au terrorisme.
Telegram s'est opposé à cet ordre au motif qu'il créerait une porte dérobée qui compromettrait le chiffrement de tous ses utilisateurs. En conséquence, les tribunaux russes ont infligé une amende à Telegram et ont ordonné le blocage de son application dans le pays. La controverse s'est étendue au-delà de Telegram, attirant de nombreux utilisateurs qui ont contesté les ordonnances de divulgation devant les tribunaux russes. Un citoyen russe, M. Podchasov, a porté l'affaire devant la Cour européenne des droits de l'homme (CEDH), arguant que le déchiffrement forcé des communications des utilisateurs porterait atteinte au droit à la vie privée en vertu de l'article 8 de la Convention européenne des droits de l'homme (ConvEDH), qui se lit comme suit :
Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance (article 8 de la ConvEDH, droit au respect de la vie privée et familiale, du domicile et de la correspondance).
La Cour européenne des droits de l'homme a donné raison aux défenseurs de la vie privée. La Cour a estimé que l'exigence d'un stockage continu et généralisé des données privées des utilisateurs constituait une ingérence dans le droit au respect de la vie privée prévu par la Convention, soulignant que la possibilité pour les autorités nationales d'accéder à ces données était un facteur crucial pour déterminer s'il y avait eu violation des droits de l'homme. La Cour a identifié les risques inhérents à l'action arbitraire du gouvernement en matière de surveillance secrète dans la présente affaire et a constaté une fois de plus - suivant sa position dans l'affaire Roman Zakharov c. Russie - que la législation pertinente n'était pas à la hauteur des normes de qualité du droit et ne comportait pas de garanties adéquates et effectives contre les abus. S'agissant de la justification potentielle d'une telle ingérence, la Cour européenne des droits de l'homme a souligné la nécessité d'un test de mise en balance minutieux qui tienne compte de l'utilisation des technologies modernes de stockage et de traitement des données et soupèse les avantages potentiels par rapport à d'importants intérêts relatifs à la vie privée.
En ce qui concerne l'obligation imposée par l'État aux fournisseurs de services de soumettre les clés de déchiffrement aux services de sécurité, les délibérations de la Cour ont abouti aux principales conclusions suivantes :
- Le chiffrement étant important pour protéger le droit à la vie privée et d'autres droits fondamentaux, tels que la liberté d'expression : La CEDH a souligné l'importance des technologies de chiffrement pour la sauvegarde de la confidentialité des communications en ligne. Le chiffrement sauvegarde et protège le droit à la vie privée en général tout en soutenant l'exercice d'autres droits fondamentaux, tels que la liberté d'expression.
- Le chiffrement comme bouclier contre les abus : La Cour a souligné le rôle du chiffrement pour fournir une défense solide contre l'accès illicite et, de manière générale, "semble aider les citoyens et les entreprises à se défendre contre les abus des technologies de l'information, tels que le piratage, le vol d'identité et de données personnelles, la fraude et la divulgation indue d'informations confidentielles." La Cour a estimé que cet aspect doit être dûment pris en considération lors de l'évaluation des mesures susceptibles d'affaiblir le chiffrement.
- Le déchiffrement des ordres de communication affaiblit le chiffrement pour tous les utilisateurs : La CEDH a établi que la nécessité de déchiffrer les "conversations secrètes" de Telegram exige l'affaiblissement du chiffrement pour tous les utilisateurs. Prenant à nouveau note des dangers de la restriction du chiffrement décrits par de nombreux experts en la matière, la Cour a estimé que les portes dérobées pourraient être exploitées par des réseaux criminels et compromettraient gravement la sécurité des communications électroniques de tous les utilisateurs.
- Alternatives au déchiffrement : La CEDH a pris note d'une série de solutions alternatives au déchiffrement contraint qui n'affaibliraient pas les mécanismes de protection, telles que l'analyse médico-légale des appareils saisis et des services de police mieux dotés en ressources.
À la lumière de ces constatations, la Cour a estimé que l'obligation de déchiffrer les communications chiffrées de bout en bout risquait d'affaiblir le mécanisme de chiffrement pour tous les utilisateurs, ce qui était disproportionné par rapport aux objectifs légitimes poursuivis.
En résumé [80], la Cour a conclu que la conservation et l'accès illimité de l'État aux données de communication Internet, associés à des exigences de déchiffrement, ne peuvent être considérés comme nécessaires dans une société démocratique, et sont donc illégaux. Elle a souligné que l'accès direct des autorités aux données des utilisateurs sur une base généralisée et sans garanties suffisantes porte atteinte à l'essence même du droit à la vie privée garanti par la Convention. La Cour a également souligné les mémoires déposés par l'Institut européen de la société de l'information (EISI) et Privacy International, qui donnent un aperçu du fonctionnement du chiffrement de bout en bout et expliquent pourquoi les portes dérobées obligatoires représentent une mesure illégale et disproportionnée.
Impact de l'arrêt de la CEDH sur les développements politiques actuels
L'arrêt est un arrêt de principe, qui tracera probablement de nouvelles lignes normatives concernant les normes des droits de l'homme pour les communications privées et confidentielles. L'EFF soutient actuellement Telegram dans sa plainte parallèle auprès de la Cour européenne des droits de l'homme, soutenant que le blocage de son application porte atteinte aux droits fondamentaux. Dans le cadre d'une collaboration entre des organisations internationales de défense des droits de l'homme et de la liberté des médias, l'EFF a soumis une tierce intervention à la Cour européenne des droits de l'homme, arguant que le blocage d'une application entière constitue une restriction grave et disproportionnée de la liberté d'expression. Cette affaire est toujours en cours.
L'arrêt Podchasov remet également en cause les efforts déployés en Europe pour affaiblir le chiffrement afin de permettre l'accès à nos messages et photos privés et leur numérisation.
Par exemple, la loi controversée sur la sécurité en ligne du Royaume-Uni crée le risque que les plateformes en ligne utilisent des logiciels pour rechercher les photos, les fichiers et les messages de tous les utilisateurs, à la recherche de contenus illégaux. L'EFF a récemment soumis des commentaires au régulateur britannique compétent (Ofcom) afin d'éviter tout affaiblissement du chiffrement lorsque cette loi deviendra opérationnelle.
Dans l'UE, l'EFF est préoccupé par la proposition de la Commission européenne relative au balayage des messages (CSAR), qui constitue un désastre pour la vie privée en ligne. Elle permettrait aux autorités de l'UE d'obliger les services en ligne à scanner les messages privés des utilisateurs et à comparer les photos des utilisateurs avec les bases de données des forces de l'ordre ou à utiliser des algorithmes d'intelligence artificielle sujets aux erreurs pour détecter les comportements criminels. De telles mesures de détection conduiront inévitablement à des pratiques de Client-Side Scanning dangereuses et peu fiables, portant atteinte à l'essence même du chiffrement de bout en bout. La Cour européenne des droits de l'homme jugeant disproportionné le balayage général des utilisateurs et critiquant spécifiquement les mesures qui affaiblissent les normes existantes en matière de protection de la vie privée, le fait de forcer des plateformes comme WhatsApp ou Signal à affaiblir la sécurité en insérant une vulnérabilité dans les appareils de tous les utilisateurs pour permettre le balayage des messages doit être considéré comme illégal.
La proposition de règlement de l'UE sera probablement suivie par d'autres propositions visant à accorder aux services répressifs l'accès aux données et communications chiffrées. Un groupe d'experts de haut niveau de l'UE sur "l'accès aux données pour une application efficace de la loi" devrait faire des recommandations politiques à la prochaine Commission de l'UE à la mi-2024.
L'EFF appelle les législateurs à prendre au sérieux l'arrêt de la Cour des droits de l'homme : le balayage généralisé et indiscriminé des communications des utilisateurs et l'affaiblissement général du chiffrement pour les utilisateurs sont inacceptables et illégaux.
Source : EFF
Et vous ?
Quel est votre avis sur le sujet ? Pensez-vous que la décision prise la CEDH est crédible ou pertinente ?Voir aussi :
« Les portes dérobées qui permettent aux forces de l'ordre de déchiffrer les messages privés violent les droits de l'homme », selon la Cour européenne des droits de l'homme CSAR : le Parlement européen rejette la numérisation de masse des messages privés dans l'un des projets de loi les plus controversés, ce qui marque une évolution positive pour les droits de l'homme La justice russe décide de bloquer l'accès à Telegram, l'application de messagerie chiffrée très populaire sur le territoire