Tribune « Attachés aux libertés fondamentales dans l’espace numérique, nous défendons le droit au chiffrement de nos communications »

Franciliens.net a cosigné cette tribune, rédigée à l’initiative de La Quadrature Du Net et publiée le 14 juin par Le Monde. Cette tribune fait suite à la dénonciation par LQDN de la criminalisation des pratiques numériques des inculpé·es de l’affaire du 8 décembre.

Chiffrer ses communications est une pratique banale qui permet qu’une correspondance ne soit lue par personne d’autre que son destinataire légitime. Le droit au chiffrement est le prolongement de notre droit à la vie privée, protégé par l’article 8 de la Convention européenne des droits de l’homme, qui garantit à chacun le « droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance ».

Toute personne qui souhaite protéger sa vie privée peut chiffrer ses communications. Cela concerne aussi bien des militants, des défenseurs des droits humains, des journalistes, des avocats, des médecins… que de simples parents ou amis. Dans le monde entier, le chiffrement est utilisé pour enquêter sur la corruption, s’organiser contre des régimes autoritaires ou participer à des transformations sociales historiques. Le chiffrement des communications a été popularisé par des applications comme WhatsApp ou Signal.

En 2022, ce sont ainsi plus de deux milliards de personnes qui chiffrent quotidiennement leurs communications pour une raison simple : protéger sa vie privée nous renforce toutes et tous. Pourtant, le droit au chiffrement est actuellement attaqué par les pouvoirs policiers, judiciaires et législatifs en France, mais aussi dans l’Union européenne, au Royaume-Uni et aux États-Unis. En tant que société, nous devons choisir. Acceptons-nous un futur dans lequel nos communications privées peuvent être interceptées à tout moment et chaque personne considérée comme suspecte ?

Le chiffrement des communications utilisé comme « preuve » d’un comportement clandestin… donc terroriste

La Quadrature du Net a récemment révélé des informations relatives à l’affaire dite du « 8 décembre » (2020) dans laquelle neuf personnes de l’« ultragauche » – dont l’une avait précédemment rejoint la lutte contre l’organisation État islamique aux côtés des combattants kurdes des Unités de protection du peuple (YPG) – ont été arrêtées par la DGSI et le RAID. Sept ont été mises en examen pour « association de malfaiteurs terroristes », et leur procès est prévu pour octobre 2023. Ces éléments démontrent, de la part de la police française, une volonté sans précédent de criminaliser l’usage des technologies de protection de la vie privée.

Le chiffrement des communications est alors utilisé comme « preuve » d’un comportement clandestin… donc terroriste ! Des pratiques de sécurité numérique parfaitement légales et responsables – dont le chiffrement des communications qui est pourtant soutenu, et recommandé, par de nombreuses institutions, comme les Nations unies, la Commission nationale de l’informatique et des libertés (CNIL), l’Agence nationale de la sécurité des systèmes d’information (Anssi), l’Agence européenne pour la cybersécurité (Enisa) ou la Commission européenne – sont criminalisées à des fins de mise en scène d’un « groupuscule clandestin » vivant dans « le culte du secret ».

Outre l’usage de messageries chiffrées sont aussi incriminées des pratiques telles que le recours à des services comme Proton Mail pour chiffrer ses e-mails, l’utilisation d’outils permettant de protéger la confidentialité de sa navigation sur Internet (VPN, Tor, Tails), de se protéger contre la surveillance des Gafam, le simple chiffrement d’ordinateurs personnels ou encore l’organisation de formations à la protection numérique (chiffro-fêtes).

Rejet de l’amalgame entre protection des données et terrorisme

Par la criminalisation du chiffrement et de pratiques répandues de sécurité informatique, la police française vise à construire un récit selon lequel les sept personnes mises en examen vivraient « dans la clandestinité ». En l’absence d’un projet terroriste prouvé et avéré, cette prétendue « clandestinité » devient une preuve de l’existence cachée d’un projet inconnu.

Nous, journalistes, activistes, fournisseurs de services tech ou simples citoyens attentifs à la protection des données à l’ère numérique, sommes profondément révoltés de voir qu’un tel amalgame entre la protection basique des données et le terrorisme puisse être alimenté par les services de renseignement et la justice antiterroriste française.

Nous sommes scandalisé·es que des mesures nécessaires à la protection des données personnelles et de la vie privée soient désignées comme des indices d’« actions conspiratives » de personne vivant supposément dans le « culte du secret ».

Nous dénonçons le fait qu’une formation classique et bienveillante au numérique, portant sur Tails, un système d’exploitation grand public développé pour la protection de la vie privée et la lutte contre la censure, puisse constituer un des « faits matériels » caractérisant « la participation à un groupement formé […] en vue de la préparation d’actes de terrorisme ».

Sous prétexte de terrorisme, le système judiciaire français incrimine des pratiques basiques de sécurité. Mais l’exemple français ne représente malheureusement pas l’unique tentative d’affaiblir le droit au chiffrement. A Bruxelles, la Commission européenne a proposé en 2022 le règlement Child Sexual Abuse Regulation (CSAR). Au nom de la lutte contre la pédopornographie, ce texte veut obliger les fournisseurs de messageries chiffrées à donner accès à chacun de nos messages pour les vérifier.

Pour un numérique émancipateur, libre et décentralisé

De nombreuses voix se sont élevées contre cette proposition, parmi lesquelles celles de cent trente organisations internationales. Elles dénoncent notamment l’absence de considération pour la mise en place d’autres moyens qui permettraient de lutter contre ces graves infractions de manière moins liberticide. De récentes fuites ont d’autre part révélé que des pays comme l’Espagne veulent purement et simplement interdire le chiffrement de bout en bout.

En Grande-Bretagne, le projet de loi Online Safety Bill et, aux États-Unis, le projet EARN IT s’ajoutent à cette inquiétante guerre contre le chiffrement. Attachés à promouvoir et défendre les libertés fondamentales dans l’espace numérique, nous défendons le droit au chiffrement et continuerons à utiliser et à créer des outils protégeant la vie privée.

Nous refusons que les services de renseignement, les juges ou les fonctionnaires de police puissent criminaliser nos activités au motif qu’elles seraient « suspectes ». Nous continuerons de nous battre pour un numérique émancipateur, libre et décentralisé afin de bâtir une société plus digne pour toutes et tous. Le combat pour le chiffrement est un combat pour un futur juste et équitable.

Surveillance de masse : le Conseil d’État rejette notre requête contre les sondes de l’ANSSI (LPM 2019)

La loi de programmation militaire (LPM) de 2019 a permis à l’ANSSI (autorité nationale de sécurité des systèmes d’information — l’agence gouvernementale de cybersécurité) de déployer des sondes sur le réseau des fournisseurs d’accès internet (FAI). Ces sondes peuvent analyser aussi bien les métadonnées que le contenu des communications, et peuvent être imposées à un FAI sans contrôle judiciaire.

Nous nous étions joints à La Quadrature Du Net et la FFDN pour attaquer cette disposition de la loi devant le Conseil d’État (cf. la demande qui lui a été envoyée). Les arguments avancés contre ces sondes ont été expliqués en détail par la Quadrature (qui a également présenté une analyse globale de la LPM 2019).

Sur le fond, ces sondes constituent, après les « boîtes noires » de la loi renseignement de 2015, un pas de plus dans la surveillance de masse : ces sondes permettent au gouvernement d’analyser jusqu’au contenu des communications, sans définir précisément ni les « marqueurs techniques » utilisés ni les « menaces » contrées. Or rien dans la loi ne garantit que cette surveillance, établie sans contrôle d’un juge, ne soit utilisée dans d’autres fins que de lutter contre des cyberattaques (l’ARCEP ne peut réaliser un contrôle effectif ces sondes, et n’a pas de pouvoir de sanction contre l’ANSSI) ; de plus, les personnes surveillées n’en seront jamais informées, et ne pourront pas contester cette surveillance.

La semaine dernière, le Conseil d’État a néanmoins rejeté notre requête (décision du 30 décembre 2021). Ces sondes pourront donc continuer d’être déployées…

QPC 2019-789 Sécu : audience au conseil constitutionnel

L’audience de la QPC 2019-789 (question prioritaire de constitutionnalité) concernant l’accès des agents de la Sécurité Sociale aux données personnelles a eu lieu le 4 juin 2019 devant le Conseil Constitutionnel.

Il est question des articles L114-19 et suivants du code de la sécurité sociale.

Franciliens.net est intervenu, ainsi que la Quadrature Du Net, en la personne de Me Alexis Fitzjean, pour défendre le droit à la protection des données personnelles et de la vie privée.

Vous pouvez revoir cette audience ici :

  • 0:00:00 : présentation de la QPC
  • 0:02:09 : Me Delamare : partie requérante
  • 0:15:20 : Me Gatineau, Caisse d’Allocation Familiale de l’Isère
  • 0:28:53 : Me Fitzjean, Franciliens.net et La Quadrature du Net
  • 0:35:20 : Me Froget, Caisse Nationale d’Allocations Familiales
  • 0:43:51 : M. Blanc, représentant du 1er ministre
  • 0:53:58 : questions / réponses

https://www.conseil-constitutionnel.fr/media/21494