Autoblog de la La quadrature du net

Ce site n'est pas le site officiel de la Quadrature du net.
C'est un blog automatisé qui réplique les articles de laquadrature.net

Loi données personnelles, dernière étape ? Le Parlement doit défendre ses avancées

Thu, 05 Apr 2018 12:44:43 +0000 - (source)

5 avril 2018 - Demain se tiendra la commission mixte paritaire (réunissant une poignée de députés et de sénateurs) destinée à trancher les différentes version de la loi « données personnelles » adoptée par chacune des deux chambres ces deux derniers mois. Bien qu'échouant chacune à encadrer les services de renseignement, l'Assemblée nationale et le Sénat ont, chacun de leur côté, prévu certaines avancées pour nos libertés.

Le rôle de la commission sera de trancher point par point laquelle des versions des deux chambres doit être définitivement adoptée. L'Observatoire des Libertés et du Numérique (OLN) leur écrit pour leur indiquer les choix exigés par la défense de nos libertés.

Lettre ouverte aux membres de la commission mixte paritaire

Madame, Monsieur,

Vous débattrez demain du projet de loi relatif à la protection des données personnelles. L’Assemblée nationale et le Sénat que vous représentez ont arrêté certaines positions en faveur de la protection des libertés. Il s'agit à présent de concilier ces avancées afin de répondre aux enjeux posés par cette évolution législative historique.

Décision individuelle automatisée - article 14

L'Assemblée nationale et le Sénat ont fermement réitéré l'interdiction historique d'une automatisation de la Justice, mais l'Assemblée nationale a néanmoins admis cette automatisation dans le cadre des décisions administratives individuelles.

Ce revirement total par rapport à ce que la loi informatique et liberté a interdit dès 1978 a été de la volonté du secrétariat d’État au numérique, le ministère de la Justice ne semblant manifestement pas le soutenir activement. Il faut regretter que l'Assemblée n'ait pas pris le temps d'en discuter lors de l'examen du texte en séance publique, acceptant sans vrai débat ce changement de paradigme. Voir en ce sens l'avis de la CNIL sur le projet de loi (pp.27 – 28).

Heureusement, la rapporteure du texte au Sénat a fait poser certaines limites à cette automatisation des décisions administratives. À cet égard, toute limitation de la sorte devra être défendue et retenue par votre commission.

Sanction des collectivités - article 6

Le Sénat a indiqué souhaiter exempter les collectivités territoriales de toute sanction de la CNIL. À défaut d'être associé à la moindre sanction, le contrôle de la CNIL sur ces collectivités deviendrait parfaitement vain et, en pratique, prendrait vraisemblablement rapidement fin.

Ce contrôle apparaît toutefois indispensable au regard des mutations rapides et drastiques déjà entamées en matière de « justice prédictive » ou de « ville intelligente ». 

Ainsi l'application « Reporty » qui, testée par la ville de Nice, devait recueillir et centraliser les signalements vidéos d'incivilités et d'infractions transmis par ordiphone a été dénoncée par la CNIL qui a jugé les traitements envisagés disproportionnés et n'ayant pas de base légale. Voir en ce sens la récente décision de la CNIL.

Un deuxième cas récent qui justifie également de conserver le pouvoir de sanction de la CNIL à l’égard des collectivités est celui de « l'observatoire Big Data de la tranquillité publique » que la ville de Marseille est en train de mettre sur pied. Pour s’en convaincre lire l'article détaillé de La Quadrature du Net.

Face à des mutations aussi vertigineuses, vous devrez expliquer aux citoyens pourquoi vous leur avez retiré la protection que leur offrait encore la CNIL.

Votre commission doit donc retenir la position de l'Assemblée nationale, qui conserve à la CNIL son entier pouvoir de sanction.

Chiffrement par défaut - après l'article 10

Reprenant un amendement proposé par La Quadrature du Net, le Sénat a précisé l'obligation de sécurité imposée par le RGPD, indiquant que celle-ci implique de chiffrer les données chaque fois que cela est possible (et donc notamment de chiffrer les communications de bout en bout).

Cette précision fondamentale clarifie l’obligation de sécurité et évitera tout faux débat quant à son interprétation.
La CNIL considère en effet depuis longtemps que, « dans un contexte de numérisation croissante de nos sociétés et d’accroissement exponentiel des cybermenaces, le chiffrement est un élément vital de notre sécurité », exigeant ainsi des « solutions de chiffrement robustes, sous la maitrise complète de l’utilisateur » - telles que celles votées par le Sénat et qui doivent être maintenues dans la loi.

Rappelons que la position de la CNIL n'est en rien limitée à des considérations propres aux libertés, l'Agence nationale de sécurité des systèmes d'information (ANSSI) établissant ainsi nettement que « parmi les outils de protection indispensables figurent au premier rang les moyens de cryptographie et notamment les technologies de chiffrement de l'information. Eux seuls permettent d'assurer une sécurité au juste niveau lors de la transmission, du stockage et de l'accès aux données numériques sensibles ».

Droit à la portabilité - article 20 bis

La loi pour une république numérique de 2016 a inscrit dans la loi une obligation étendue à la portabilité des données. Cette portabilité dépasse celle restreinte aux seules données personnelles prévues par le règlement. La portabilité générale inscrite en droit français permet une mise en application véritable de ce dispositif pour permettre aux internautes consommateurs de faire véritablement jouer la concurrence entre services en ligne et éviter de devoir demeurer sur un service qui ne leur conviendrait plus en raison du « coût de sortie » d'une perte d'une grande quantité de données non personnelles, notamment celles apportées au service. 

Le Sénat l'a bien compris : le texte, dans la version qu'il a retenue, est plus protecteur des internautes, il facilitera une concurrence saine entre services en ligne et doit donc être conservé.

L’Observatoire des Libertés et du Numérique vous demande instamment à l’occasion de ce vote important pour les libertés numériques des résidents européens, de faire les choix des dispositions les plus protectrices des libertés.

Organisations signataires de l’OLN : Le CECIL, Creis-Terminal, La Ligue des Droits de l'Homme (LDH), La Quadrature du Net (LQDN)


Le Conseil constitutionnel restreint le droit au chiffrement

Wed, 04 Apr 2018 13:11:44 +0000 - (source)

4 avril 2018 - Dans sa décision du 30 mars 2018 relative à l'article 434-15-2 du code pénal, le Conseil constitutionnel a refusé de protéger le droit pour une personne suspectée (en l'espèce un soupçonné revendeur de drogues) de ne pas révéler ses clefs de déchiffrement. Alors que de nombreux acteurs du droit et le gouvernement lui-même s'attendaient à une décision ménageant le droit à ne pas s'auto-incriminer – c'est-à-dire le fait de ne pas être contraint de s'accuser soi-même en livrant son mot de passe –, le Conseil rend une décision très décevante. La Quadrature du Net, qui est intervenue dans cette affaire, s'inquiète de cette décision qui risque d'affaiblir durablement le droit au chiffrement.

La disposition attaquée, l'article 434-15-2 du code pénal, punit d'importantes peines d'amendes et de prison le refus de livrer aux autorités judiciaires une convention de déchiffrement (par exemple, le mot de passe permettant de déchiffrer le contenu d'un disque dur).

Des réserves a minima

Les seules réserves apportées par le Conseil consistent à confirmer qu'il est nécessaire pour l'autorité judiciaire « d'établir » que la personne concernée a effectivement connaissance de la clef de déchiffrement. Cette précision confirme que l'incrimination pénale ne peut être retenue contre des prestataires de solution de chiffrement « bout-en-bout » des communications qui, par définition, n'ont pas connaissance de la clef.

Le Conseil impose également que « l'enquête ou l'instruction doivent avoir permis d'identifier l'existence des données traitées par le moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit ». Une précision qui invite à penser qu'il sera donc nécessaire pour les autorités de prouver que des données spécifiques intéressant l'enquête existent bien sur le périphérique concerné.

Malheureusement, le Conseil constitutionnel a refusé de reconnaître les atteintes de ce texte au droit de ne pas s'accuser, au droit au respect de la vie privée, au secret des correspondances, ou encore à la liberté d'expression et de communication.

Le droit de ne pas s'auto-incriminer bafoué

Cette décision constitue d'abord une véritable remise en cause du droit de ne pas s'auto-incriminer – un principe fondamental du droit pénal – qui déséquilibre fortement l'équilibre précaire entre l'instruction et la poursuite légitime des infractions d'un côté, les droits de la défense et le respect de la présomption d'innocence de l'autre. Elle est d'autant plus choquante que la limitation de l'application de ce texte aux seules personnes tierces à l'infraction (n'étant donc pas menacées par l'enquête) était déjà acceptée par une large majorité des acteurs du droit qui doivent faire application de cette incrimination (juridictions, forces de l'ordre, avocats…).

C'est ce qu'illustre par exemple un rapport de la CNIL de 2016, qui affirmait que les obligations de révéler des clefs de déchiffrement « ne peuvent pas conduire à obliger les personnes mises en cause à fournir les informations utiles à l’enquête ». La CNIL poursuivait en rappelant que « le droit de ne pas s’auto-incriminer est un droit fondamental qui trouve son origine dans la Convention européenne des droits de l'Homme et dans la jurisprudence de la Cour européenne ».

Même Philippe Blanc, représentant le Premier ministre dans cette affaire, le reconnaissait plusieurs fois lors de à l'audience du 6 mars 2018 :

La seule interprétation qui soit de nature à rendre l'article 434-15-2 du Code pénal conforme à la Constitution est, en effet, celle qui exclue l'application de cette loi aux personnes suspectées d'avoir commis elles-mêmes une infraction. Cette interprétation est nécessaire […] pour préserver le droit de la personne suspectée à ne pas s'auto-incriminer.

En ce même sens, dès février, le Centre de recherche de l'école des officiers de la gendarmerie nationale (CREOGN) anticipait la décision en ces termes : « Cette décision va sans doute consister en une déclaration de constitutionnalité sous réserve : le texte ne s'appliquerait pas aux auteurs, co-auteurs ou complices en vertu du droit de se taire et de ne pas s'auto-incriminer ».

Et pourtant, le Conseil constitutionnel en a décidé autrement.

Le droit à la vie privée et la liberté de communication menacées

Le CREOGN rappelait par ailleurs le contexte de la création de cette infraction : un simple amendement non véritablement débattu dans la loi relative à la sécurité quotidienne du 15 novembre 2001, adoptée dans le contexte et l'émotion des attaques du 11 septembre. Passible d'une sanction particulièrement importante (3 ans de prison et 270 000 € d'amende), cette disposition risque d'être désormais utilisée aussi bien par les juges d'instruction que par les procureurs pour contraindre des suspects de leur donner accès à tout périphérique chiffré (smartphone, ordinateur, périphériques de mémoire…).

Cette décision remet en cause le droit au chiffrement et l'intérêt de son usage, mais aussi, incidemment, la vie privée, la confidentialité des communications, le secret des sources journalistiques et la liberté de communication. Alors que l'ère numérique banalise la société de surveillance, ce droit est pourtant devenu une nécessité pour garantir les libertés fondamentales face aux possibilités d'arbitraire de l'État. En 2015, l'Assemblée parlementaire du Conseil de l'Europe rappelait ainsi que, « jusqu’à ce que les États acceptent de fixer des limites aux programmes de surveillance massive menés par leurs agences de renseignement, le chiffrement généralisé visant à renforcer la vie privée constitue la solution de repli la plus efficace pour permettre aux gens de protéger leurs données »1.

La décision du Conseil fait d'ailleurs fi des recommandations formulées en 2015 par David Kaye, rapporteur spécial du Conseil des droits de l'Homme de l'ONU pour la liberté d'expression, dans son rapport sur le droit au chiffrement, où il abordait la question des obligations de livrer les clefs de déchiffrement2. Plus largement, elle s'inscrit dans une tradition juridique française particulièrement hostile au chiffrement, qu'illustre par exemple l'article 132-79 du code pénal, qui fait de l'usage du chiffrement une circonstance aggravante lorsqu'il est utilisé pour préparer ou commettre un délit.

L'accès aux données stockées sur nos ordinateurs, nos téléphones ou, sur nos serveurs s'avère formidablement intrusif, révélant des pans entiers de notre intimité, de notre histoire personnelle, de notre mémoire. Dans ce contexte, le chiffrement des données permet de rétablir un peu de l'équilibre perdu entre les capacités de surveillance des États et le droit à la vie privée. Or, par cette décision, le Conseil constitutionnel admet que le simple fait d'être suspect justifie que l'État puisse nous forcer à révéler cette intimité, à nous faire transparents à ses yeux, alors même que les services enquêteurs peuvent disposer d'autres moyens pour élucider une affaire. C'est une erreur historique qui, dans son principe, pourrait s'avérer lourde de conséquences.

Si cette jurisprudence est décevante, elle marque toutefois l'émergence d'un véritable débat sur le droit au chiffrement au niveau des cours constitutionnelles européennes. Elle rappelle aussi, en creux, la nécessité de se mobiliser au niveau européen, par exemple autour de la directive sur l'accès transfrontière aux données qui sera présenté le 17 avril prochain, afin de garantir la protection d'un droit au chiffrement désormais consubstantiel de la protection de la vie privée et de la liberté de communication.


Surveillance généralisée des citoyens : La Quadrature du Net attaque les opérateurs mobiles

Thu, 22 Mar 2018 14:35:51 +0000 - (source)

22 mars 2018 - Quatre bénévoles de la Quadrature du Net ont demandé à leur opérateur de téléphonie mobile français (Free Mobile, Orange, Bouygues Telecom, SFR) d'accéder aux données personnelles que ces derniers conservent sur eux. N'ayant pas reçu de réponse satisfaisante au bout de 3 mois, nous venons de déposer 4 plaintes contre ces opérateurs auprès de la CNIL.

Les opérateurs mobiles doivent conserver pendant 1 an les données de localisation de tous leurs abonnés. Le code des postes communications électroniques, dans son article L34-1 et R10-13, leur impose de conserver pendant 1 an un ensemble d'informations sur l'utilisateur, informations qui permettent d'identifier l'utilisateur de la ligne, l'horaire et la durée de ses communications, mais surtout l'origine et la localisation de celles-ci ! Ces données très personnelles n'ont, à notre connaissance, jamais été fournies aux titulaires de ligne.

En octobre dernier, 4 bénévoles de La Quadrature du Net ont demandé, conformément à l'article 39 de la loi 78-18 du 6 janvier 1978, d'obtenir les données personnelles les concernant conservées par leur opérateur mobile. Ainsi, Free Mobile, Bouygues Telecom, SFR et Orange ont chacun reçu un courrier recommandé et disposaient de 2 mois pour y répondre. Dans ces courriers, nous leur rappelions leurs obligations légales en terme de droits d'accès direct aux informations personnelles.

Depuis, nous avons reçu une réponse incomplète de SFR, et une fin de non recevoir de Free, qui prétend que ces informations personnelles ne sont pas communicables aux personnes concernées1 ! Orange et Bouygues Telecom, eux, n'ont jamais répondu. Nous avons donc, depuis, déposé 4 plaintes auprès de la CNIL contre les 4 opérateurs mobiles, afin de faire valoir nos droits d'accès à ces informations personnelles.

De plus, lorsque notre action aura révélé que ces opérateurs conservent bien les informations visées par le code des postes et des télécommunications, ceux-ci se trouveraient (tout comme le droit français) en violation de la Charte des droits fondamentaux de l'Union européenne et pourront être attaqués à ce titre. Ce texte fondamental, hiérarchiquement supérieur au droit français, a été interprété par la Cour de justice de l'Union européenne, dans sa décision Tele2 du 21 décembre 20162, comme interdisant toute conservation généralisée de données de connexion.

La Quadrature du Net entend amener ce débat sur la place publique, à travers les opérateurs, la CNIL, la justice française et la pugnacité de ses bénévoles. Les Exégètes amateurs ont également une affaire pendante devant le Conseil d'État pour demander la mise en conformité de la loi française à la jurisprudence européenne.

« Nous nous attendions à ces réponses désinvoltes de la part d'Orange, SFR, Bouygues Télécom et Free, aussi avons-nous saisi la CNIL de ces 4 plaintes, et si besoin attaquerons en justice pour obtenir des informations complètes. Par la suite, nous attaquerons devant les tribunaux le non-respect du droit européen par les opérateurs, et cette loi illicite portant atteinte à la vie privée de tous » annonce Benjamin Sonntag, cofondateur de La Quadrature du Net.

PS: un exemple de ce que sait votre opérateur mobile sur votre localisation

Fichier attachéTaille
4op.png41.43 Ko

La surveillance policière dopée aux Big Data arrive près de chez vous !

Tue, 20 Mar 2018 12:35:24 +0000 - (source)

Il y a trois mois, la mairie de Marseille annonçait le début du déploiement de son « observatoire Big Data de la tranquillité publique » à l'issue d'un appel d'offre remporté par l'entreprise Engie Inéo, leader du marché de la vidéosurveillance. Félix Tréguer, chercheur et membre de La Quadrature, écrivait alors à la mairie et à la CNIL en faisant valoir son droit d'accès aux documents administratifs pour obtenir davantage d'informations (a.k.a #CADAlove). À quelques heures d'une réunion publique qui doit se tenir à Marseille, La Quadrature publie un premier document en provenance de la mairie de Marseille, le Cahier des Clauses Techniques Particulières (CCTP), qui détaille les objectifs et les soubassements techniques du projet.

Les responsables municipaux présentent cet observatoire Big Data, annoncé en juillet 2014 et voté par la ville en 2015, comme la première brique de la Smart City™ du « turfu », croyant ainsi faire de l'indécrottable Marseille une ville pionnière de cette clinquante utopie technocratique. Pour ces élus marseillais qui n'ont pas de mots assez durs contre cette ville bigarrée et ses pauvres, le Big Data apparaît comme une véritable aubaine. Selon Caroline Pozmentier, l'adjointe au maire en charge de la sécurité, il va en effet permettre de « façonner la ville quasi idéale ». Rien que ça !

Le Centre de supervision urbaine de Marseille, en février 2013 (Photo Olivier Monge. Myop).

Quelles données ? Quels objectifs ?

Alors que les expérimentations en matière de police prédictive sont encore balbutiantes en France, le projet marseillais promet une vaste plateforme d'intégration basée « sur les méthodes de Big Data » et de « machine learning », capable d'« analyser ce qui s'est passé (hier) », d'« apprécier la situation actuelle » (aujourd'hui) », et d'« anticiper la situation future ou probable (demain) » (p. 12). Le kiffe. Les rédacteurs du CCTP ne s'en cachent pas : « l'approche est particulièrement exploratoire et créative » (p. 42). Mais si les Chinois et les Américains y arrivent, pourquoi pas nous ?

Madame Pozmentier, bien à l’aise dans son rôle de porteuse de projet qu'elle imagine sans doute à fort potentiel électoral, est formelle : « Ce big data ne marchera que si l’on assimile toutes les informations police, justice, marins-pompiers, transports, route, météo etc. ». L'outil agrégera en effet de multiples bases de données structurées et non-structurées, notamment celle de la Délégation Générale de la Sécurité (DGSEC) de la ville de Marseille, qui répertorie toutes les mains courantes, les verbalisations, et bien d'autres données géolocalisées récoltées par les acteurs municipaux de la sécurité.

À cela s'ajouteront les flux du vaste réseau de vidéo-surveillance rendu « intelligent » grâce au traitement de l'image (2000 caméras à terme, et demain des drones1), les données des hôpitaux publics, les données publiées par les foules sur les réseaux sociaux (Twitter et Facebook sont mentionnés page 22 du CCTP). Sans compter les jeux de données fournis par les partenaires externes de la ville, qu'il s'agisse d'autres collectivités, de l'État (coucou la Place Beauvau, ses statistiques sur la criminalité, ses fichiers biométriques TES et autres !) ou des partenaires privés (opérateurs télécoms, etc.), qu'Engie Inéo aura pour mission de démarcher. Il y a de quoi faire.

Enfin, le « crowdsourcing » est également de mise. Si l’on en croit le CCTP, « chaque citoyen » pourra « fournir en temps réel des informations (texto, vidéo, photo, vitesse de déplacement, niveau de stress, ...) via une application sur smartphone ou des objets connectés » (p. 20). Marseille surenchérit, alors que Nice va déployer son « app » Reporty.

Grâce à toutes ces données, la ville souhaite donc analyser automatiquement les « incidents » grâce à des algorithmes portant sur « leur contexte et leur cause », sur la « détection et l'investigation des comportements anormaux », sur la « géolocalisation des points dits "chauds" de la ville ». Que de réjouissances ! Comme évoqué plus haut, il est aussi question de vidéosurveillance « intelligente », en lien avec la vidéo-verbalisation et, demain, la reconnaissance faciale2.

Les joies du public-privé

Le prestataire retenu fin novembre, l'entreprise Engie Inéo, n'est pas tombé de la dernière pluie en matière de bluff techno-sécuritaire : l'entreprise est en effet leader du marché français de la vidéosurveillance, qui lui a rapporté en 2013 autour de 60 millions d'euros3. Depuis quelques années, notamment grâce à des partenariats avec des entreprises comme IBM, elle se positionne sur le marché en plein extension de la Smart City™ et des solutions Big Data™.

Engie Inéo, donc, est aux manettes de cet outil amené à se substituer en partie aux femmes et aux hommes qui travaillent dans la police et qui, à terme, leur dictera la marche à suivre. L'entreprise promet qu'il sera « pleinement opérationnel » fin 2020. 1,8 million d'euros sont pour l'instant mis sur la table. L'essentiel de cette somme vient de la ville et des autres collectivités locales, mais l'Union européenne apporte également 600 000 euros via les fonds de développement régional FEDER (pdf). Vive l'Europe !4

Parions que les coûts liés à la mise en place d'un outil fonctionnel seront vite amenés à exploser. Car la privatisation croissante des politiques publiques – notamment dans le champ de la sécurité – s'accompagne bien souvent de véritables gabegies financières. On se prend alors à rêver de tout ce qu'on aurait pu faire pour aborder la question de la sécurité autrement que par le prisme étriqué de la gestion statistique et du contrôle social...

Dangers sur les libertés

Et la vie privée dans tout ça ?

Caroline Pozmentier assure que « sur notre plate-forme, nous n’utiliserons que des données anonymisées. Et nous travaillons avec la CNIL dans le respect strict du référentiel de recommandations que nous appliquons déjà pour notre système de vidéoprotection ». Rassurés ?

Au vu de la description de l'outil, il n'y a aucune raison de l'être. La CNIL, où plutôt son comité de prospective, publiait justement à l'automne dernier un rapport sur la Smart City (pdf) où était rappelée cette évidence : « Les comportements suspects ne resteront pas anonymes ». À partir des expériences déjà menées aux États-Unis, le rapport soulignait également :

Si les systèmes basés sur de l’algorithmie prédictive promettent de produire des résultats, ils sont aussi de formidables reproducteurs de biais. Plusieurs expériences ont par exemple démontré que les outils d’aide à la localisation des forces de l’ordre avaient tendance à renforcer certaines discriminations et qu’en termes d’efficacité, ils relevaient davantage de la prophétie auto-réalisatrice5.

Les biais humains dans les jeux de données, rendus invisibles une fois passés à la moulinettes des traitements statistiques, risquent en effet de démultiplier les discriminations structurelles déjà subies par celles et ceux qui vivent dans les quartiers pauvres – ceux que le document municipal désigne pudiquement comme les « territoires sensibles spécifiques ». Sans parler du risque de faux-positifs dans la détection des comportements suspects et des infractions.

Sur le plan de la liberté d'expression, d'opinion, de conscience, de circulation, de manifestation, le projet pose également question, tant la surveillance des foules est mise en exergue dans le CCTP. Il y est notamment souligné la nécessité d'anticiper la « menace », par exemple « par évaluation du risque de rassemblements dangereux par analyse des tweets » et par « l'identification des acteurs » (puisqu'on vous dit que la promesse d'anonymisation est un leurre !)6.

Pourra-t-on se joindre à un événement culturel ou une réunion politique sur la voie publique sans risquer d'être mis en fiche par cet outil de surveillance ? Faut-il comprendre que la simple participation à des manifestations et la critique de l'autorité sur les réseaux sociaux suffiront à être identifiés comme une menace pour l'ordre public, à l'image des leaders du mouvement Black Lives Matter à Baltimore ?7 De quelles garanties dispose-t-on pour s'assurer que ce système ne sera pas utilisé pour cibler l'ensemble d'une communauté religieuse, comme l'a fait la police new-yorkaise s'agissant des musulmans de la ville ?8 Aucune.

On nous rétorquera que, pour l'heure, le projet n'évoque pas directement ces aspects (évidemment), mais la nature des outils et les usages qui en sont fait ailleurs dans le monde invitent au plus grand scepticisme.

La CNIL, un alibi bien commode ?

Peut-on tout de même s'attendre à ce que la CNIL encadre comme il se doit ces dispositifs de surveillance dopés aux Big Data ?

Malheureusement, elle semble davantage jouer le rôle d'alibi pour rassurer la population que celui de gardienne des libertés publiques. Voulant en savoir plus sur la manière dont elle accompagne (ou pas) ce genre de projets, nous avons demandé en décembre un RDV à la CNIL et à sa présidente. Aucune réponse à ce jour. Même absence de réponse suite à une demande de RDV auprès de la mairie de Marseille.

À l'avenir, la CNIL sera carrément empêchée de faire quoique ce soit d'un peu efficace si le Parlement ne corrige pas fermement l'ajout délirant de Mme Joissains, rapporteure au Sénat sur le projet de loi données personnelles, qui cherche justement à l'empêcher de prononcer la moindre sanction contre une collectivité territoriale. Ben voyons !

Et si la Smart City™ n'était qu'un immense jeu de dupes, juste bon à généraliser le type d'outils de surveillance massive expérimentés depuis près de dix ans par les services de renseignement à l'ensemble du champ public et privé de la sécurité ?

Fichier attachéTaille
CCTP_ObservatoireBigData_Marseille.pdf5.82 Mo

Loi données personnelles : Le Sénat refuse (lui aussi) d'encadrer les services de renseignement

Wed, 14 Mar 2018 15:15:50 +0000 - (source)

14 mars 2017 - Ce matin, la commission du Sénat en charge d'examiner le projet de loi données personnelles a rendu sa version du texte. Comme à l'Assemblée nationale (voir notre article), la commission des lois a refusé de déposer le moindre amendement visant à encadrer les activités du renseignement français, tel que le droit européen l'exige pourtant. Le texte sera examiné par l'ensemble des sénateurs le 20 mars prochain : ils devront déposer et soutenir tout amendement visant à nous protéger des abus des services de renseignement.

Lire nos amendements (PDF, 8 pages)

Le projet de loi données personnelles a deux buts : préparer le droit français à l'entrée en application du règlement général sur la protection des données (RGPD) le 25 mai prochain et — nos parlementaires l'oublient presque systématiquement — transposer en droit français la directive 2016/680, qui a pour objectif d'encadrer les traitements de données personnelles en matière de prévention, de détection et de sanction des infractions pénales.

Lire notre article présentant les enjeux de cette directive.

Contrairement à ce que prétend le gouvernement, cette directive s'applique aux activités de renseignement, dès lors que celles-ci visent précisément à détecter et prévenir des infractions (terrorisme, délinquance et criminalité organisées, manifestations interdites, etc.) et que ces infractions ne concernent pas la « sécurité nationale » (l'Union européenne légiférant de longue date en matière de lutte contre le terrorisme, par exemple) et n'échappent donc en aucun cas au champ de cette directive.

Lire notre analyse (PDF, 4 pages) sur la notion de « sécurité nationale » dans la directive.

Or, la loi française n'encadre pas les activités de renseignement avec les garanties imposées par la directive : elle ne prévoit aucune information des personnes surveillées (afin que celles-ci puissent, une fois la menace écartée, contester une mesure illicite) ; elle interdit aux autorités de contrôle d'accéder aux renseignements collectés par les services français auprès de services étrangers ; elle ne prévoit aucune voie de recours juridictionnelle en matière de surveillance internationale.

Ces trois manquements sont frontalement contraires aux exigences de la directive 2016/680. Le Sénat doit corriger la loi française en ce sens. Autrement, La Quadrature du Net devra, encore un fois, agir en justice pour faire modifier la loi (avec les Exégètes amateurs, nous avons déjà fait censurer deux fois la loi renseignement devant le Conseil constitutionnel, en plus d'avoir participé à la censure de nombreuses dispositions lors de l'examen préalable du texte par le Conseil).

Si la conformité du droit français au droit européen n'est plus assurée par le législateur mais par des associations telles que La Quadrature du Net, la légitimité et le rôle du législateur deviennent parfaitement illusoires. Le 20 mars, les Sénateurs devront arrêter de nier et de saper leur fonction. Pour ce faire, ils peuvent déposer et soutenir les amendements que nous proposons (PDF, 6 pages).

Lire nos amendements (PDF, 8 pages)

La Quadrature du Net s'ouvre à de nouveaux membres

Mon, 12 Mar 2018 10:35:17 +0000 - (source)

Paris, le 12 mars 2018 - Comme annoncé en novembre 2017 dans les conclusions du bilan de ses dix premières années, La Quadrature du Net a intégré formellement en tant que membres une trentaine de ses proches. La plupart bénévoles de longue date, ces membres ont rejoint l'association début janvier 2018, sur invitation du bureau et de l'équipe salariée.

piloupe
Cet élargissement amorce une nouvelle dynamique et un renforcement de l'association. Grâce à la multiplication des sensibilités et des expertises, diverses questions au cœur de l'action de la Quadrature bénéficient d'un nouvel éclairage. Plusieurs membres ont déjà pris la parole au nom de l'association dans les médias ou dans le cadre de conférences et d'ateliers.

Il reste encore beaucoup à mettre en place, notamment en termes d'organisation et de processus, mais La Quadrature du Net tient à prendre le temps de cette discussion, loin de l'urgence habituelle que connait l'association. Nous comptons profiter de notre assemblée générale annuelle, qui aura lieu du 31 mars au 2 avril, pour dessiner une feuille de route des prochaines actions militantes et réfléchir aux structures nécessaires pour les mener à bien. Un compte-rendu de ce premier rassemblement sera rendu public, comme le sera régulièrement le résultat des actions des membres.

L'engagement bénévole a toujours été au cœur du fonctionnement de La Quadrature du Net. Ce statut de membre souhaite progressivement reconnaitre celles et ceux qui donnent de leur temps et de leur énergie, pour leur donner du pouvoir sur les orientations de la structure. Cet élargissement n'est donc qu'un début. La construction politique et juridique d'un Internet libre et la défense des droits fondamentaux à l'ère numérique se poursuivent grâce à l'implication de toutes et tous !


Pistage en ligne : le gouvernement va-t-il autoriser la marchandisation de nos données ?

Wed, 07 Mar 2018 13:35:18 +0000 - (source)

Paris, le 7 mars 2018 - Demain, les ministères de l'Économie, de la Culture et de la Justice, ainsi que le secrétariat d'État au numérique, devraient arrêter certaines des positions de la France sur le règlement ePrivacy, notamment en matière de pistage de nos comportements en ligne. Cette décision fera suite à un rapport du Conseil général de l'économie, rendu public le 20 février dernier et plaidant en faveur de la marchandisation de nos données, à contre-courant du règlement européen sur la protection des données (RGPD) et de la protection de nos libertés. La Quadrature publie ci-dessous la lettre ouverte qui leur est destinée.

L'entrée en application du règlement général sur la protection des données (RGPD) le 25 mai prochain affole tout l'écosystème de la publicité en ligne qui, depuis dix ans, s'est développé dans l'illégalité, grâce notamment au laisser-faire de la CNIL. Depuis dix ans, alors que le droit européen leur interdit de nous pister en ligne sans notre consentement préalable, libre et éclairé, ces acteurs ont systématiquement refusé de respecter nos droits.

À la veille de l'entrée en application du RGPD qui, enfin, ne devrait plus leur laisser de marge de manœuvre pour continuer de violer nos droits fondamentaux, l'ensemble de cette industrie (publicitaires, opérateurs télécoms, grands éditeurs de presse) publie une lettre ouverte suppliant le gouvernement de sauver leur activité illicite en la rendant légale au niveau européen dans le règlement ePrivacy (ce règlement est destiné à modifier la protection européenne de nos activités en ligne et présente donc pour cette industrie l'opportunité de réduire celle-ci à néant).

Revoir notre site de campagne exposant les enjeux du règlement ePrivacy
Relire notre article sur l'état des débats législatifs

Cette volonté a trouvé écho dans un rapport commandé en octobre dernier par le gouvernement au Conseil général de l'économie (CGE, service de conseil du ministère de l'économie), qui propose purement et simplement de mettre de côté le RGPD en matière de traçage en ligne, afin que nous puissions être contraints de donner notre consentement pour accéder à un service en ligne - ce qui revient à monnayer nos droits fondamentaux à la vie privée et à la protection de nos données, et ce que le GDPR, le Parlement européen et les CNIL européennes condamnent fermement.

Le gouvernement français doit prendre une position ferme et définitive pour rejeter ces incessantes tentatives de détruire les quelques avancées apportées par le RGPD. Et l'industrie doit comprendre qu'elle a déjà perdu la première bataille, il y a deux ans, lors de l'adoption par l'Union européenne du RGPD : elle doit maintenant amender son comportement. Si elle s'y refuse, qu'elle sache que La Quadrature du Net est maintenant habilitée à conduire des actions de groupe et attend de pied ferme le 25 mai prochain. Débattre aujourd'hui sur le règlement ePrivacy ne l'aidera alors en rien.

Notre lettre ouverte transmise au gouvernement : en PDF (2 pages) ou ci-dessous.

Madame, Monsieur,

Le 23 octobre dernier, les ministères de l'économie et de la culture et le secrétariat d'État au Numérique ont chargé le Conseil général de l'économie (CGE) de produire un rapport sur les articles 8 à 10 du projet de règlement ePrivacy.

Il faut d'abord s’inquiéter du fait que la mission confiée au CGE ne s'intéresse en aucune façon aux nouvelles dérogations au consentement permises par cet article 8 en matière de géolocalisation et de mesure d'audience, alors que ces dérogations restent encore strictement exclues par la directive 2002/58. La mission du CGE aurait pourtant été l'occasion d'évaluer l'impact de telles mesures sur la vie privée.

À la place, et à l’opposé, la mission vise surtout à évaluer les conséquences d'obligations déjà prévues depuis 2009 par la directive ePrivacy (s'agissant de « l'encadrement des cookies ») et depuis 2016 par le RGPD (s'agissant de « la définition du consentement »). Le souhait d'évaluer les conséquences d'obligations actuelles laisse craindre une volonté de remettre celles-ci en cause. Il s'agit malheureusement de la direction adoptée par le CGE dans son rapport publié le 20 février.

Un consentement forcé

L'article 7, §4, du RGPD, accompagné par son considérant 43, prévoit qu'un consentement n'est pas valide s'il est donné sous la menace de ne pas accéder à un service ou de n’accéder qu’à un service dégradé. Dans sa proposition n°5, le CGE invite le gouvernement à prévoir dans le règlement ePrivacy une dérogation au RGPD afin de rendre un tel consentement valide. Ce faisant, le CGE s'oppose :

  • au groupe de l'article 29 qui, dans ses lignes directrices WP259 du 28 novembre 2017, donne une explication détaillée du caractère libre du consentement exigé par le RGPD :
  • à la CNIL, qui a donné une application concrète de ce principe dans sa mise en demeure de Whatsapp le 18 décembre dernier ;
  • au Parlement européen, qui a détaillé l’application sectorielle de ce principe dans le règlement ePrivacy, en interdisant les tracking-wall ;
  • au souhait majoritaire de la population qui, en France, et selon l'Eurobaromètre de 2017, refuserait à 82% de payer afin de ne pas être surveillée en visitant un site Internet (p. 63) et refuserait à 60% de voir ses activités en ligne surveillées en échange d'un accès non restreint à un site Internet (p. 59) ;
  • au principe démocratique élémentaire selon lequel nul ne peut renoncer au bénéfice d'un droit fondamental en contre-partie d'un bien ou d'un service, sans quoi ce droit ne serait plus garanti que par le niveau de fortune de chaque personne.

Des conséquences erronées

Le rapport du CGE se fondant sur l'idée que le consentement doit pouvoir être forcé, il en tire plusieurs conclusions aussi erronées que son postulat de départ.

En premier lieu, le CGE prétend que bloquer par défaut les outils de pistage favoriserait les grandes plateformes, car celles-ci pourraient obtenir le consentement de leurs utilisateurs plus facilement que d'autres sites.

Ceci n’aurait un sens que si ces plateformes avaient un moyen de négociation envers leurs utilisateurs plus important que n’en auraient d’autres sites. Or, le principe de la liberté du consentement interdit précisément toute forme de négociation en matière de données personnelles : peu importe la taille ou la structure d’un site, il ne peut pas limiter son accès aux seuls utilisateurs acceptant d'y être surveillés.

En deuxième lieu, le CGE justifie plusieurs de ses positions par l’idée que les internautes accepteraient eux-mêmes de céder leurs données pour avoir du « tout gratuit », or :

  • le CGE n’explique pas en quoi, en vérité, cette « acceptation » n’est pas forcée, tel qu’il souhaite lui-même le permettre ;
  • la gratuité n’est pas synonyme d’exploitation de données, tel que le démontre l’existence de nombreux sites et logiciels véritablement « gratuits » (Wikipédia, Firefox, VLC, Linux, LibreOffice, etc.) ;
  • Internet n’est pas synonyme de gratuit, tel que le démontre le succès de nombreuses offres payantes (Netflix, Spotify, Mediapart, etc.).
  • En troisième lieu, le CGE insiste sur la nécessité de ne pas rendre la navigation plus difficile du fait de demandes de consentement, mais passe complètement sous silence l’effet de sa propre proposition : les tracking-wall visent précisément à rendre la navigation plus difficile, voire impossible.

    Des solutions ignorées

    La mission du CGE visait aussi le recueil du consentement « via le paramétrage du navigateur » qui, par défaut, serait configuré pour bloquer les traceurs. Si le CGE rend un avis négatif sur cette nouvelle garantie introduite par le projet de règlement, ce n’est qu’en omettant plusieurs réalités techniques.

    En premier lieu, le CGE prétend que bloquer des traceurs au moyen d’une liste noire ne peut reposer techniquement que sur l’établissement par des tiers d’une telle liste, ce qui causerait des problèmes de gouvernance.

    Ceci revient à mettre de côté le fait que les listes établies par des tiers le sont en pratique de façon parfaitement transparente et laissées au choix des utilisateurs (tel que sur uBlock Origin, où des dizaines de listes différentes sont proposées).

    Ensuite, ceci revient aussi à passer sous silence la méthode développée par l’Electronic Frontier Foundation et déployée sur son extension Privacy Badger, qui ne repose pas sur une liste pré-établie. L'extension au navigateur construit seule et progressivement une liste noire en analysant les requêtes récurrentes rencontrées par l’utilisateur sur la multitude des sites qu’il visite (durant plusieurs semaines, mois, années) afin de détecter celles qui le pistent. Aucune contrainte technique ne s’oppose à intégrer dans chaque navigateur cette méthode aussi efficace que transparente et indépendante d’autorités tiers.

    En deuxième lieu, le CGE prétend qu’un blocage par défaut des traceurs par le navigateur empêcherait les sites web de communiquer avec les internautes pour leur demander efficacement leur consentement.

    Ceci revient à passer sous silence la pratique déjà déployée par de nombreux sites pour faire face aux bloqueurs de traceurs : l’accès au contenu du site (site de presse, typiquement, tel que celui des Echos) est bloqué (dès la première consultation ou après lecture de quelques articles) et un texte est affiché à l’internaute, l’invitant à désactiver son bloqueur et lui exposant les raisons pour ce faire.

    Bien que cette pratique soit illicite lorsqu’elle conduit à bloquer l’accès (car niant la liberté du consentement), elle démontre combien il est simple pour chaque site d’exposer sa propre demande de consentement.

    En troisième lieu, le CGE prétend qu’il serait dangereux de confier le blocage des traceurs à des éditeurs de navigateur et de système d’exploitation qui occupent une place dominante sur le marché du pistage en ligne.

    Ceci revient à nier que ces éditeurs bénéficient déjà de cette situation : ils mettent en œuvre des politiques de blocages (détaillées par le CGE) dont le but est de rendre plus attractifs leurs propres outils de pistage (l’identifiant unique attribué sur Android et iOS, typiquement). Seule la loi peut, en imposant des mécanismes de blocage s’appliquant pareillement à leurs propres outils et à ceux de tiers, corriger ce déséquilibre déjà présent et dommageable.

    Conclusion

    Pour ces raisons, nous vous invitons :

    • à ne pas introduire de dérogation au principe de liberté du consentement prévu par le RGPD ;
    • à ne pas supprimer l’obligation pour les navigateurs de bloquer les traceurs par défaut ;
    • à supprimer les exceptions au consentement en matière de géolocalisation et de mesure d’audience, sans en rajouter aucune autre (telle la pseudonymisation, qui est une mesure de sécurité déjà imposée par le RGPD et qui n’aurait donc aucun sens à devenir ici une condition de licéité).

    Si le projet de règlement ePrivacy devait évoluer autrement, nous devrions renoncer aux quelques avancées qu’il apporte pour nous opposer à son adoption, afin de ne pas voir la protection actuellement offerte par la directive ePrivacy être amoindrie à ce point.

    Cordialement,

    La Quadrature du Net


Conseil constitutionnel : La Quadrature plaide contre l'obligation de livrer ses clefs de chiffrement

Tue, 06 Mar 2018 17:21:34 +0000 - (source)

Paris, le 7 mars 2018 - La Quadrature du Net est intervenue avec Les Exégètes amateurs dans une affaire devant le Conseil constitutionnel mettant en cause une disposition du code pénal obligeant la remise de la convention secrète de déchiffrement d'un moyen de cryptologie.

Le 10 janvier dernier, la chambre criminelle de la Cour de cassation a renvoyé une question prioritaire de constitutionnalité (QPC) devant le Conseil constitutionnel, qui concerne la conformité aux droits et libertés que la Constitution garantit de l'article 434-15-2 du code pénal.

Cet article prévoit que :

« Est puni de trois ans d'emprisonnement et de 270 000 € d'amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.
Si le refus est opposé alors que la remise ou la mise en œuvre de la convention aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets, la peine est portée à cinq ans d'emprisonnement et à 450 000 € d'amende.
 »

Cette affaire met en cause des procédés intrusifs et attentatoires aux libertés mis en œuvre par les forces de police dans le cadre de leurs enquêtes. Ces procédés, permis par la loi renforçant la lutte contre le terrorisme et le crime organisé, sont très inquiétants notamment parce qu'ils s'appliquent indifféremment à tout type de crimes et délits.
C'est également l'occasion de rouvrir les multiples débats autour du chiffrement.

Clef

Il y a tout juste un an, l'Observatoire des Libertés du Numérique (OLN) dont La Quadrature fait partie, publiait son positionnement sur les questions liées au chiffrement et rappelait notamment son rôle dans la préservation des droits et libertés fondamentales notamment en réponse aux moyens croissants de la surveillance d'État.

L'argumentation principale repose sur le droit reconnu à chacun de ne pas s'auto-incriminer, et de garder le silence dans le cadre d'une enquête. Car révéler la clé de déchiffrement d'une communication qui constituerait une preuve de culpabilité revient directement à cela.

De plus, ce droit au silence doit être absolu - sans condition procédurale : il doit à la fois être garanti pour une personne visée par une enquête, mais aussi pour tous les tiers avec qui cette personne serait entrée en communication. En effet, ces tiers ne doivent pas pouvoir être « contraints » à s'auto-incriminer eux-aussi en déchiffrant les échanges tenus avec la personne poursuivie.

Le Conseil constitutionnel rendra sa décision le 21 mars 2018.

La vidéo de l'audience est disponible sur le site du Conseil constitutionnel.

Retrouvez ici la requête en intervention de La Quadrature du Net.

Nous publions aussi le texte de la plaidoirie de Maître Alexis Fitzjean O Cobhthaigh :

Merci, Monsieur le Président,

Mesdames et Messieurs les membres du Conseil constitutionnel,

1. Les « pères fondateurs » des États-Unis tels Benjamin Franklin, James Madison ou encore Thomas Jefferson, chiffraient leurs correspondances. C’est d’ailleurs dans un courrier partiellement codé que, le 27 mai 1789, Madison exposera à Jefferson son idée d’ajouter une Déclaration des droits à la Constitution américaine.

Le chiffrement prend racine dans les fondements de notre civilisation. Homère mentionne déjà plusieurs exemples mythiques dans l’Illiade.

Les techniques de chiffrement constellent notre histoire : carré de Polybe, palindrome de Sator, les sémagrammes grecs, les marquages de lettres, la scytale spartiate, le chiffre de César, le carré de Vigenère, le cadran d’Alberti, le télégraphe de Chappe, ou encore la réglette de Saint-Cyr.

Par le passé, les moyens de cryptologies ont été largement mobilisés.

Aujourd’hui, ils le sont tout autant pour sécuriser des échanges indispensables dans le fonctionnement actuel de la société.

M. Guillaume Poupard, le directeur de l’Agence nationale de la sécurité des systèmes d’information, l’ANSSI, l’a fermement réaffirmé dans une note en date du 24 mars 2016 à travers laquelle il explique que :

« Parmi les outils de protection indispensables, figurent au premier rang les moyens de cryptographie, et notamment les technologies de chiffrement de l’information. Eux seuls permettent d’assurer une sécurité au juste niveau lors de la transmission, du stockage et de l’accès aux données numériques sensibles. Les applications sont très nombreuses : échanges couverts par le secret de la défense nationale, données de santé ou de profession réglementée, données techniques, commerciales et stratégiques des entreprises, données personnelles des citoyens. Le développement et l’usage généralisé de ces moyens défensifs doivent par conséquent être systématiquement encouragés, voire réglementairement imposés dans les situations les plus critiques. »

Cette extension caractérisée du champ d’application du chiffrement à des domaines nouveaux implique, symétriquement, une protection juridique renforcée.

2. J’en viens donc à présent au droit.

L’article 434-15-2 du code pénal méconnaît le droit de se taire et le droit de ne pas s’auto-incriminer, notamment en ce que la convention secrète de déchiffrement relève du for interne de la personne poursuivie.

En outre, ces dispositions sont de nature à vicier le consentement libre de la communication d’éléments susceptibles de faire reconnaître la culpabilité d’une personne.

Dans ces conditions, la reconnaissance par une personne de sa propre culpabilité ne saurait être exprimée « volontairement, consciemment et librement » (cf. « commentaire autorisé » de la décision n° 2004-492 DC du 2 mars 2004, Loi portant adaptation de la justice aux évolutions de la criminalité, présent sur le site du Conseil constitutionnel), dès lors que les dispositions querellées viennent exercer une contrainte forte sur la liberté du consentement de la personne en cause.

Du reste, les dispositions contestées portent également atteinte, en toute hypothèse, au droit au respect à la vie privée, au droit au secret des correspondances, à la liberté d’expression, aux droits de la défense et au droit à un procès équitable.

De toute évidence, non seulement l’ensemble de ces atteintes à des droits et libertés constitutionnellement protégés ne sont en rien justifiées par un intérêt général suffisant, mais surtout, ce délit n’est nullement nécessaire, radicalement inadapté et manifestement disproportionné.

Sur l’absence de nécessité, d’abord.

Force est de constater qu’à aucun moment il n’est montré, ni même allégué, qu’un délit ou un crime aurait pu être empêché si un contenu avait été décrypté. Dans ces conditions, où se trouve la nécessité ?

En outre, le chiffrement n’empêche nullement les services de disposer de quantité croissante de données.

C’est ce que souligne très justement le Conseil national du numérique, dans un avis intitulé « prédictions, chiffrement et libertés » publié en septembre dernier :

« Le chiffrement des données n’est pas un obstacle insurmontable pour accéder aux informations nécessaires aux enquêtes. Il existe de nombreux moyens de le contourner, même s’il est très robuste, en exploitant des failles techniques ou en s’introduisant directement dans l’équipement de la personne ciblée. En outre, si les contenus sont chiffrés, les métadonnées y afférant restent généralement en clair, dans la mesure où elles sont indispensables au fonctionnement du système.
Et ces métadonnées sont bien souvent suffisantes pour cartographier un réseau ou localiser des individus, sans qu’il y ait besoin pour cela d’entrer dans le contenu des communications. »

Une telle analyse suffit à démontrer l’inutilité de ce procédé.

Mais ces dispositions sont encore radicalement inadaptées.

C’est d’autant plus manifeste concernant le champ personnel de la disposition attaquée.

Dans ses écritures le gouvernement fait valoir que celui-ci ne saurait concerner la personne soupçonnée.

Pourtant, le cas d’espèce démontre qu’elle peut bel et bien être appliquée en ce sens.

Or, en ce cas, le droit de ne pas s’incriminer ne saurait être plus ouvertement bafoué.

Pour ce qui est des tiers, deux hypothèses retiennent notre attention.

Les tiers ordinaires tout d’abord.

Face à un cas de complicité insoupçonnée, il n’est pas exclu que cette disposition aboutisse in fine à contraindre une personne à s’auto-incriminer, sans lui laisser l’occasion de garder le silence.

Concernant les professions protégées, la disposition attaquée pourrait, de façon indiscriminée, porter atteinte aux secrets de correspondances qui nécessitent un degré de protection particulièrement élevé. C’est le cas des sources journalistiques, du secret professionnel des avocats, ou encore, du secret médical.

Imagine-t-on, un journaliste, un avocat, un médecin contraint de révéler des secrets sur ses sources, ses clients, ses patients ?

A ce titre, les garanties apportées par la loi sont manifestement insuffisantes.

Du reste, on demeure quelque peu perplexe quant à la possibilité de prouver, de manière suffisamment certaine, la connaissance d’une telle convention de déchiffrement.

Les tiers intermédiaires ensuite.

Le standard de chiffrement actuel dit, asymétrique de bout en bout, implique que seul le destinataire d’une communication détienne la clé permettant de la déchiffrer. Il s’agit du protocole recommandé par l’ensemble des experts du secteur, au premier rang desquels se trouve, tel qu’il a été dit, l’ANSSI.

Cette information est donc, en principe, indéchiffrable par des tiers, et notamment par les intermédiaires. Ne détenant pas lui-même la clé de déchiffrement, le tiers est donc dans l’incapacité de répondre aux réquisitions dont il est l’objet.

Dans ces conditions, on peine encore à déceler l’intérêt d’une telle disposition.

Enfin, et surtout, ces dispositions sont manifestement disproportionnées.

A peine est-il besoin de relever, que ces dispositions ont un champ d’application qui s’étend sur l’ensemble des délits et des crimes. Même les délits les plus mineurs. Sans chercher à se limiter à ceux d’une particulière gravité.

En outre, on ne peut qu’être effrayé qu’une telle ingérence, dans des droits et libertés aussi fondamentaux que le droit au silence, le droit de ne pas s’auto-incriminer, mais aussi, la liberté d’expression, le droit à la vie privée, le droit au secret des correspondances et le droit à un procès équitable, puissent être tolérée pour de simples éventualités.

Et c’est pourquoi, j’ai l’honneur de vous demander, au nom de La Quadrature du Net, de censurer les dispositions attaquées, et ce sans effet différé.


« Fake news » : ramenons le débat européen à la source du problème

Fri, 02 Mar 2018 11:34:30 +0000 - (source)

Paris, le 2 mars 2018 - La Commission européenne a récemment lancé une consultation sur les « fausses nouvelles et la désinformation en ligne », à laquelle La Quadrature vient de répondre. Le débat actuel autour de ces phénomènes se distingue par la confusion qui y règne et le risque qu'il pose de conduire à des mesures portant atteinte à la liberté d'expression et au droit d'accès à l'information. Pourtant, le système de surveillance publicitaire des grandes plateformes basées sur l'économie de l'attention, ayant un effet destructeur sur le débat public, mérite un traitement sérieux.

Comme aux États-Unis, les leaders politiques en Europe sont hantés par le spectre des « fake news ». Début janvier, Emmanuel Macron a annoncé une future loi contre la propagation des « fausses informations », notamment en période électorale, qui est supposée arriver à l'Assemblée nationale fin mars.

La Commission européenne a ouvert une consultation, qui a pris fin le 23 février, afin de décider avant l'été s'il est nécessaire de légiférer à ce sujet. La Commission a également mis sur pied un groupe d'experts [EN], tenu de soumettre un rapport en mars. Ces deux actions de la Commission européenne visent uniquement la propagation des contenus en ligne qui sont « licites mais faux », sans donner de définition de « faux ».

Pour un débat constructif autour des « fausses nouvelles et la désinformation en ligne », nous voudrions rappeler cinq constats fondamentaux :

  1. Le problème de la désinformation existe [EN] depuis que le pouvoir existe : l'influence des grands médias historiques sur le pouvoir politique, ainsi que leur tendance au sensationnalisme ne sont pas des phénomènes récents ;
  2. aucun critère ne peut définir de façon satisfaisante et générale ce qu'est une information « fausse », la véracité d'une information ne pouvant être raisonnablement interrogée que dans le cadre factuel où elle cause un tort précis et concret à un individu ou à la société ;
  3. Internet, dans sa conception même, a été pensé comme un réseau neutre [EN], se distinguant des autres médias par le fait qu'il offre à tous la possibilité de s'exprimer et laisse aux usagers du réseau le soin de contrôler les informations qu'ils reçoivent ;
  4. Internet pourrait être un outil d'élargissement considérable du débat public, mais la régulation automatisée de ce débat, guidée par des critères purement marchands, lui nuit aujourd'hui grandement : pour vendre plus cher leurs espaces publicitaires, les plateformes dominantes favorisent la diffusion des informations les plus utiles au ciblage de leurs utilisateurs ;
  5. Le système de surveillance publicitaire des grandes plateformes, basé sur « le temps de cerveau disponible »1, a ainsi transformé les utilisateurs d'Internet, ainsi que les lecteurs des médias historiques, en des produits marchands. En ce sens, ce ne sont pas les utilisateurs mais les services qui sont responsables de la sur-diffusion de certaines informations pouvant nuire à l'équilibre du débat public.

Pour approcher le problème de la désinformation face à la régulation automatisée du débat public, il convient de prendre en compte les éléments suivants :

  1. Dans une démocratie, seule la société elle-même peut construire ses propres vérités2 (peu importe d'ailleurs que celles-ci forment un ensemble cohérent) ;
  2. La régulation automatisée du débat public par les plateformes dominantes nuit profondément à ce mécanisme de construction démocratique, la valeur d'une information n'y étant plus fixée qu'à partir du nombre de clics qu'elle peut générer ;
  3. Le fait que la société ne puisse plus efficacement construire ses propres vérités, à cause de cette régulation automatisée, ne doit pas être une excuse pour lui enlever ce rôle et confier celui-ci, grâce à la censure, à un gouvernement en perte de légitimité ou à des plateformes prédatrices.

Au lieu de combattre le mal par le mal (en incitant les plateformes à la censure sans même prendre en compte leur fonctionnement économique), il faut contraindre celles-ci à permettre leur interopérabilité avec d'autres plateformes alternatives et à respecter la réglementation sur les données personnelles (qui freinerait leur influence néfaste sur les débats).

En effet, la sur-diffusion d'un certain type d'informations, selon des critères opaques, purement économiques et ne prenant donc aucunement en compte l'intérêt public, est la conséquence inévitable de la surveillance imposée par les plateformes centralisées à leurs utilisateurs. Or, le règlement général sur la protection des données (RGPD) prévoit qu'aucun service ne peut être refusé à une personne du seul fait que celle-ci refuse que son comportement y soit analysé (voir la définition du caractère libre du consentement en droit européen).

L'entrée en application du RGPD le 25 mai prochain est en cela une très bonne nouvelle, qui laisse espérer pouvoir limiter drastiquement la toute puissance du monde publicitaire en matière de surveillance des utilisateurs et rendrait beaucoup moins intéressante la mise en avant de contenus « à clics », dont les « fake news » font partie.

La Quadrature du Net publie ici sa réponse à la consultation.


La Quadrature du Net et FFDN répondent à la consultation sur la 5G

Tue, 20 Feb 2018 14:43:44 +0000 - (source)

Paris, le 20 février 2018 - La direction générale des entreprises (DGE)1 a lancé récemment une consultation intitulée : « Feuille de route sur la 5G : Consultation des acteurs du marché ». La Quadrature et la Fédération des fournisseurs d'accès à Internet associatifs (FFDN) ont décidé de répondre conjointement. La 5G est en effet un argument trop souvent utilisé par les opérateurs contre la neutralité du Net et les usages libres.

5G
Le déploiement d'une nouvelle technologie amène régulièrement les opérateurs déjà en situation d'oligopole à essayer d'en profiter pour asseoir encore plus leur position dominante. Parmi les enjeux abordés dans notre réponse à la consultation :

Pour lire la réponse à la consultation.


Powered by VroumVroumBlog 0.1.31 - RSS Feed
Download config articles