La CNIL est contre les backdoors et favorable au chiffrement des données

Sur le web

Par Elodie le

En marge de la publication de son rapport d’activité annuel 2015, la Commission nationale informatique et libertés (CNIL) s’est ouvertement déclarée favorable au chiffrement des données et opposée à l’installation de portes dérobées.

cnil_chiffrement_backdoors

La sécurité ne doit pas prévaloir sur les libertés individuelles et la protection des données personnelles. Tel est le message formulé par la CNIL en marge de la publication de son rapport 2015 rendu public vendredi 8 avril.

La CNIL estime en effet que « le chiffrement est un élément vital de notre sécurité ». Pas seulement pour les utilisateurs puisqu’il « contribue aussi à la robustesse de notre économie numérique et de ses particules élémentaires que sont les données à caractère personnel ».

Le chiffrement est également un outil de protection des « systèmes d’information des entreprises et des États », qui se retrouvent de plus en plus sous le feu des cyberattaques. Menées par des groupes de hackers indépendants ou formés par un gouvernement étranger.

La Commission se prononce sur le sujet alors que le débat est ravivé par la lutte contre le terrorisme. Nombre de gouvernements légiférant sur le Renseignement en profitent pour replacer le chiffrement au cœur des discussions. Les autorités pestent contre l’industrie high-tech et sa volonté affirmée de proposer le chiffrement de bout-en-bout à ses utilisateurs.

Chiffrement qui ralentirait considérablement leur travail d’enquête, si ce n’est le bloquerait totalement. Le procureur de Paris François Molins s’était d’ailleurs fendu d’une tribune dans le New York Times, regrettant que le chiffrement ne rende la justice « aveugle ». Son stade le plus renforcé, le chiffrement de bout-en-bout, ne permet pas aux entreprises de collaborer avec les forces de l’ordre même munies d’un mandat, la clé de déchiffrement étant conservé par l’utilisateur et non l’entreprise.

Certains n’hésitent plus à réclamer des « portes dérobées » (backdoors), pour permettre aux autorités d’accéder aux données chiffrées stockées dans les téléphones, ou évoquer des sanctions contre les entreprises qui se mettraient dans la situation de ne pouvoir coopérer avec les autorités.

Une suggestion qui ne convainc pas la CNIL. La Commission rappelle qu’il existe déjà un « cadre légal bien établi concernant différents types d’accès aux données informatiques dans le cadre de procédures judiciaires ».

Cadre qui autorise « notamment les réquisitions numériques, l’accès aux données de connexion, les interceptions de correspondances, les enregistrements audio-visuels, la captation de données informatiques affichées à l’écran ou introduites au clavier, ou encore le recours à des experts techniques dans le cas de données chiffrées ».

cnil_chiffrement_backdoors (2)

De même, le droit prévoit déjà « d’exiger de toute personne la communication de toute donnée » et la fourniture des clés de déchiffrement. « Toutefois, ces dispositions ne peuvent pas conduire à obliger les personnes mises en cause à fournir les informations utiles à l’enquête. En effet, le droit de ne pas s’auto-incriminer est un droit fondamental qui trouve son origine dans la Convention européenne des droits de l’homme et dans la jurisprudence de la Cour européenne », tient à préciser la CNIL.

En cela, elle se positionne contre l’introduction de portes dérobées ou « d’une clé maitre permettant in fine d’accéder à des données contenues dans un système protégé par une solution de chiffrement présentée comme à la main de l’utilisateur ».

Pour la CNIL le « risque collectif » est trop important en ce qu’il affaiblirait « le niveau de sécurité des personnes face à l’ampleur du phénomène cybercriminel » mais n’empêcherait pas les criminels d’utiliser leur propre outil de chiffrement. C’est tout « l’écosystème du numérique » qui s’en verrait fragilisé.

Néanmoins, cela n’empêche pas les gouvernements de légiférer sur le sujet, à l’instar du Royaume-Uni dans sa nouvelle loi sur le Renseignement ou encore les États unis avec le projet de loi concocté par deux sénateurs américains, à qui le FBI a dévoilé sa méthode pour cracker l’iPhone de San Bernardino.

En France, si la secrétaire d’État au numérique Axelle Lemaire assure que le chiffrement est privilégié, l’amendement voté dans le cadre de la réforme pénale et prévoyant de sanctionner les constructeurs de smartphones refusant de coopérer avec les autorités en matière de terrorisme a été maintenu, contre l’avis du gouvernement.

Alors même que l’Agence nationale de la sécurité des systèmes d’information (ANSSI) s’est montrée favorable au chiffrement.