Le faux
débat sur le refus d'Apple d'aider à déchiffrer les données des
ordiphones des terroristes de l'attentat de San Bernardino aux
autorités judiciaires américaines bat son plein.
Faux débat car il semble
évident que les autorités américaines, cyberpuissance affirmée1,
ont les moyens de déchiffrer les données chiffrées dudit téléphone
mais évidemment cela demande plus de temps et d'argent que si Apple leur offrait
les clés de déchiffrement.
Selon le blogueur Si vis pacem para bellum interrogé à ce sujet, « le problème n'étant pas tant
la robustesse de tel ou tel chiffrement mais la façon dont est
implémenté le dispositif permettant de générer, envoyer puis
récupérer de la donnée que l'on cherche à protéger. Et comme en
réalité peu de dispositifs sont à l'état de l'art c'est à dire
assurant le plus haut niveau de protection de la source au
destinataire, il existe une variété de moyens pour récupérer les
infos cibles ».
Ceci étant dit, il est
intéressant de connaître les dispositions juridiques qui existent
en France concernant le chiffrement.
Ainsi, l’utilisation d’un moyen de cryptologie est libre mais la fourniture, l’importation, le transfert intracommunautaire et l’exportation d’un moyen de cryptologie sont soumis, sauf exception, à déclaration ou à demande d’autorisation. Ces démarches incombent au fournisseur du moyen de cryptologie et sont à accomplir auprès de l’ANSSI. Le régime applicable (déclaration ou demande d’autorisation) dépend des fonctionnalités techniques du moyen et de l’opération commerciale projetée (fourniture, importation, etc.)3.
En matière pénale, dans le cadre de la recherche et la constatation d'infractions, selon l'article 36 de la loi du 21 juin 2004 et le code de procédure pénale, les officiers et les agents de police judiciaire peuvent procéder à la saisie des moyens de cryptologie sur autorisation judiciaire .
De même, le refus de déchiffrement d'un moyen de cryptologie utilisé à des fins criminelles est réprimé. Le refus doit être intentionnellement opposé à des réquisitions provenant des autorités judiciaires aux cours d'une enquête ou d'une instruction.
L'infraction suppose que le moyen de cryptologie concerné soit susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit.
Étonnamment la loi française semble plus stricte que la loi américaine, pourtant le pays à l'origine du Patriot Act !
A ce sujet, la justice française a récemment sanctionné un jeune dijonnais pour avoir créé un serveur permettant d’anonymiser des envois d’information sur internet et aurait été utilisé par des hackers qui ont menacé différents établissements scolaires sur le territoire4.
Ces dispositions pénales sur le chiffrement n'omettent pas la nécessité de protéger le secret des correspondances qui est même réaffirmé dans le code des postes et des communications électroniques à l'article L3-2. C'est ce qu'on appelle le principe de la neutralité de l'opérateur qui lui interdit de s'immiscer dans les communications échangées.
Toutefois, une nouvelle fois, ce même code prévoit à l'article 6 des dérogations à l'inviolabilité et au secret des correspondance qui cède logiquement au bon déroulement des informations judiciaires et des enquêtes policières.
Les règles sont donc
claires, le principe reste la protection des libertés individuelles,
exception faite en cas de nécessité de la sécurité publique.
Ce
n'est pas pour autant qu'il faille conclure que nos libertés
individuelles sont en danger car il existe aussi des exigences
légales qui imposent la sécurité de nos données, en particulier
les données à caractère personnel. En effet, dans le cadre des
téléservices, la CNIL estime que le degré de sécurité relatif à
l'identification des usagers doit être fonction des démarches
effectuées et certaines nécessitent le recours à des procédés de
chiffrement garantissant l'authentification de l'intéressé et la
confidentialité de l'échange. Dès lors que des données sensibles
sont en cause, la sécurité doit être renforcée. C'est le cas des
données de santé mais aussi des données financières. Dans un avis
du 9 mai 20065,
la CNIL a mis en garde la direction générale des impôts concernant
la procédure de télédéclaration fiscale, insuffisamment sécurisée
à ses yeux, cette procédure n'imposant ni certificat électronique,
ni login ou mot de passe, ni signature électronique mais
seulement le numéro fiscal, le numéro de télédéclarant et le
revenu fiscal de référence du contribuable.
La CNIL incite même au
développement des offres de coffres-forts numériques, qui sont des
espaces de stockage numérique dont l'accès est limité à un seul
utilisateur et aux personnes physiques spécialement mandatées par
ce dernier. A ce sujet, la CNIL a adopté un référentiel le 23
janvier 2014 pour des labels en matière de sécurité de
coffres-forts numériques6.
La cryptologie est une
technique ancienne utilisée essentiellement dans l'art de la guerre,
de la scytale au système des masques jetables pendant la guerre
froide, qui a pour objectif intrinsèque la confidentialité
d'informations et d'ailleurs reste étymologiquement la science du
secret.
Les secrets sont
légitimement protégés par la loi française que ce soit le secret
de la défense nationale, tout secret professionnel (médical,
bancaire,etc.) ou encore les secrets individuels (vie privée, des
correspondances, etc.) mais ces secrets ayant des finalités
différentes, il est normal que la loi prévoit à chaque fois des
dispositions différentes. La cryptologie ne fait donc pas exception
à un traitement particulier proportionné et justifié par la loi
adapté à tous les enjeux en cause.
Notes de bas de page :
Aucun commentaire:
Enregistrer un commentaire