Le Parlement européen veut imposer le chiffrement le plus protecteur (contre l’avis de la Commission)

Sécurité

Par Elodie le

Dans la cadre du futur règlement « Vie privée et Communications électroniques », les positions du Parlement européen et de la Commission européenne divergent autour de la protection des données utilisateurs. Les députés européens veulent notamment généraliser le chiffrement de bout en bout, le plus sécurisé qui soit.

En 2018, le règlement « Vie privée et Communications électroniques » viendra remplacer la directive actuellement en vigueur datant de 2002. Mais déjà les premières tensions apparaissent entre le Parlement et la Commission européenne. Cette dernière a présenté son projet de loi en janvier dernier, projet considérablement amendé aujourd’hui par les députés de la commission parlementaire « libertés civiles, justice et affaires intérieures ». Pas moins de 135 amendements ont été proposés au bénéfice d’une meilleure protection des données utilisateurs.

Le texte de la Commission européenne n’est pas pour autant permissif, mais à aucun moment le terme « chiffrement » n’apparaît. De la même manière, la Commission ne donne aucune directive aux fournisseurs de services de communication concernant le niveau de protection qu’ils doivent mettre en œuvre.

Protéger les données utilisateurs envers et contre tout

De son côté, le Parlement leur demande de s’assurer de disposer d’une « protection suffisante » contre « les accès ou les modifications non autorisées » des données de communications, mais aussi de garantir la confidentialité des données transmises, notamment par un « chiffrement de bout-en-bout ». Une demande qui risque de se heurter à la volonté de certains États membres ou alliés de l’Union européenne à l’heure de la lutte contre le terrorisme. Au lendemain des attentats de Londres, Theresa May appelait déjà à interdire les « espaces surs » sur internet. Une référence aux messageries chiffrées coupables de cacher les terroristes selon la première ministre britannique et son prédécesseur David Cameron.

L’année dernière, le ministre de l’Intérieur d’alors, Bernard Cazeneuve, s’était rangé du côté de Barack Obama, et des agences de renseignement, pour demander à la Silicon Valley de faire des « concessions » aux autorités. Nous étions alors en pleine bataille médiatique entre Apple et le FBI autour du chiffrement. Une demande qui allait à rebours de leur démarche.

Aucune exception

Une concession non requise par les députés européens. Bien au contraire. Ces derniers souhaitent interdire toute velléité « de déchiffrement, de rétro-ingénierie ou de surveillance » de données chiffrées. Mieux, les États membres sont priés de ne pas exiger des fournisseurs de services de communications, l’implémentation de portes dérobées (les fameuses backdoors), qui auraient pour conséquence « l’affaiblissement de la sécurité et du chiffrement de leurs réseaux et services ». Et ce, même pour des impératifs de sécurité nationale. Un argument qui n’est pas sans rappeler celui avancé à de multiples reprises ces dernières années par les principaux acteurs de l’industrie, de Google, Apple, WhatsApp, Facebook & Co, en passant par les défenseurs des libertés numériques.

Le Parlement a également souhaité renforcer la protection des métadonnées (numéro entrant, heure, date et durée d’appel), bien que protégée par le texte de la Commission européenne, en y incluant les données de localisations étonnamment oubliées par la Commission. Ces amendements doivent encore être adoptés par le parlement et passer devant le conseil européen pour arbitrage pour espérer figurer dans le règlement final. Affaire à suivre !