Contenu

L'érosion de la vie privée aux USA et en Europe, mais l'ONU veille

Un vote du Congrès a mis à mal la vie privée des internautes américains la semaine passée, et il se pourrait que celle de tous les voyageurs à destination des États-Unis subisse un sort similaire prochainement. Pendant ce temps, l’ONU cherche à la renforcer, et l’Union européenne à l’affaiblir. Résumé et analyse.

L’historique n’est pas à vendre

On a lu tout et son contraire concernant la résolution du Congrès du 28 mars 2017 par laquelle celui-ci a annulé les règles adoptées sous l’administration Obama qui interdisaient aux fournisseurs d’accès internet (FAI) d’utiliser les historiques de connexions de leurs clients à des fins marketing sans leur accord préalable.

Tout d’abord, il faut savoir que ce règlement adopté par la Federal Communications Commission (FCC) en octobre 2016 n’était pas encore entré en vigueur. Il l’aurait été au plus tôt le 4 décembre 2017. Le Congrès, ainsi que Donald Trump qui a signé cette résolution le 3 avril ce qui la fait entrer en force, n’abroge donc pas des règles en vigueur, mais ne fait qu’empêcher qu’elles prennent effet prochainement. En d’autres termes, rien ne change pour les Américains. C’est regrettable, car hormis une protection accrue de leur vie privée, ce règlement prévoyait aussi que les FAI devaient prendre des mesures pour protéger leurs clients des piratages (hacking).

Ensuite, la FCC n’abandonne pas son combat et va continuer à travailler avec la Federal Trade Commission (FTC) afin d’adopter des règles contraignantes pour les FAI en matière de protection de la vie privée de leurs clients (cf. le communiqué de presse du président de la FCC). Cependant, la résolution votée au Congrès empêche la FCC d’adopter des règles similaires à l’avenir, et il semblerait que la FTC ne dispose pas d’une base légale pour adopter des règles contraignantes pour les FAI sur cette matière. On voit donc mal quelle autorité fédérale protège les internautes américains désormais… Il reste néanmoins une chance que les États se saisissent du problème et adoptent chacun des lois au niveau local. Le Minnesota et le New Jersey ont annoncé leur volonté à cet égard. Mais les internautes semblent décidés à prendre les devants et à masquer leurs connexions avec du bruit, c’est-à-dire d’utiliser des programmes comme internet Noise, TrackMeNot ou AdNauseam qui génèrent des requêtes aléatoires, diluant ainsi votre véritable activité (bien que leur efficacité ne soit pas démontrée). D’autres se tournent vers des services de VPN, mais là aussi, leur vie privée n’est pas forcément mieux assurée.

Enfin, si la résolution permet donc aux FAI de continuer à utiliser les données de l’historique de connexions des internautes américains à des fins marketing, les FAI ne sont pas autorisés à les “vendre” au sens propre du terme. Comme cela se fait un peu partout dès qu’il s’agit de publicité ciblée sur internet, les données brutes ne sont pas fournies telles quelles. Le Telecommunications Act interdit la mise à disposition de données permettant d’identifier des individus. Les annonceurs ne pourront donc pas savoir quels sites telle ou telle personne a visités.

Sentant la grogne des leurs clients, bien que l’État fédéral soit de leur côté, les FAI ont commencé à faire des annonces comme quoi ils n’avaient pas l’intention (pour le moment) de “vendre les historiques de navigation” et qu’ils ne l’avaient pas fait jusqu’à maintenant. En revanche, la vente de publicité ciblée faisait déjà partie des services proposés aux internautes. Ils devraient aussi continuer à offrir à leurs clients un moyen de se désinscrire de la publicité ciblée (opt-out).

Douane, passeport, comptes bancaires, mots de passe

En juin 2016, le Bureau of Customs and Border Protection proposait l’idée de demander aux touristes sans visa s’ils étaient disposés à fournir leurs identifiants sur les réseaux sociaux. J’en avais parlé ici. En février, l’administration américaine évoquait un tel contrôle, en particulier en lien avec le décrié puis abandonné “Muslim Ban”. La RTS m’avait alors posé la question de savoir s’il fallait prendre son smartphone avec soi si on voyageait aux États-Unis.

Aujourd’hui, selon le Wall Street Journal, l’administration Trump envisagerait de demander à tous les voyageurs entrant aux États-Unis, qu’ils détiennent un visa ou bénéficient du Visa Waiver Program (comme les Suisses), leurs données bancaires, les contacts téléphoniques, et les mots de passe de votre smartphone, de vos comptes de réseaux sociaux, emails, etc. Ainsi, les agents du Departement of Homeland Security (DHS) seraient habilités à fouiller dans ces données, un refus de votre part signifiant une interdiction de pénétrer sur le territoire US.

Pour adopter une telle mesure, la Maison-Blanche n’a pas besoin de l’aval du Congrès, car l’immigration est de son ressort. Il faudra néanmoins que le décret soit conforme au droit. Il est à parier que la justice fédérale serait saisie pour contester la légalité du décret, à l’instar de ce qui s’est fait pour le “Muslim Ban”.

Résolution du Conseil des droits de l’homme et le chiffrement selon l’Union européenne

Plus près de chez nous, à Genève, le Conseil des droits de l’homme était réuni le 23 mars 2017 et a adopté douze résolutions, dont une sur la vie privée à l’ère digitale.

Il constate d’abord

avec une profonde inquiétude que, dans de nombreux pays, il est fréquent que des personnes ou des organisations engagées dans la promotion et la défense des droits de l’homme et des libertés fondamentales fassent l’objet de menaces et de harcèlement, se trouvent en situation d’insécurité ou soient victimes d’immixtions arbitraires ou illégales dans leur vie privée en raison de leurs activités […].

Il rappelle ensuite que

les États devraient veiller à ce que toute immixtion dans la vie privée s’effectue dans le respect des principes de légalité, de nécessité et de proportionnalité. Il encourage les entreprises à mettre en œuvre des solutions techniques permettant de garantir et de préserver la confidentialité des communications numériques, notamment des moyens de chiffrement et de préservation de l’anonymat, et demande aux États de ne pas s’ingérer dans l’utilisation de telles solutions en imposant des restrictions et de s’acquitter ainsi de leurs obligations au regard du droit international des droits de l’homme.

Il s’agira donc pour lui d’organiser avant mars 2018

un atelier d’experts afin de recenser et de préciser les principes, les normes et les meilleures pratiques en matière de promotion et de protection du droit à la vie privée à l’ère du numérique, notamment la responsabilité qui incombe aux entreprises à cet égard, d’établir un rapport sur la question et de le soumettre au Conseil lors de sa session de septembre 2018.

Le texte de la résolution A/HRC/34/L.7 peut être consulté ici. Cette résolution montre que l’ONU, et en particulier le Conseil des droits de l’homme, reste un acteur majeur du débat sur la vie privée. Certes, cette résolution toute seule ne changera pas grand-chose, mais elle a le mérite de rappeler les enjeux quand les règles sur la protection des données et de la vie privée sont mises à mal.

Pendant ce temps, la Commission européenne étudierait plusieurs options afin d’accéder aux données chiffrées stockées par des services en ligne. Après l’attaque de Londres, le gouvernement britannique estime que le chiffrement de bout en bout est “inacceptable”. Il s’agirait donc de permettre aux forces de l’ordre d’accéder à ces contenus chiffrés, qui sont d’ailleurs bien souvent situés hors de leur juridiction. La position de la Commission européenne est étonnante puisqu’en 2015, la Commission des affaires étrangères du Parlement européen avait proposé une résolution dans laquelle le Parlement européen condamnerait

l’affaiblissement et l’altération des protocoles et des produits de cryptage, en particulier par les services de renseignement désireux d’intercepter les communications cryptées [§ 45].

Deux des options envisagées par la Commission européenne seraient un accord avec les prestataires de services en ligne, ainsi qu’une révision de la législation. Un affaiblissement du chiffrement ou des portes dérobées seraient probablement de la partie. La France, pour sa part, envisage deux solutions : l’interdiction des messageries chiffrant les communications de bout en bout (adieu, WhatsApp, Signal, Threema & Cie), ou l’obligation d’intégrer des portes dérobées.

Il faut savoir que le chiffrement de bout en bout protège efficacement les utilisateurs et leurs données, mais il n’est pas appliqué par tous les acteurs du monde digital, loin de là. Par exemple, beaucoup ne chiffrent que le transport des données (l’envoi et la réception), mais pas le stockage, de sorte que si l’échange ne peut – en théorie – pas être lu s’il est intercepté, il suffit d’aller guigner du côté de l’endroit où elles sont stockées sans chiffrement pour les obtenir. Et si les données sont néanmoins chiffrées, le fournisseur de service détient parfois une clé de déchiffrement dont il se servira sur requête des autorités.