Surveillance : la CNIL ferme la porte aux backdoors

« La mise en place de portes dérobées ou de clés maîtres [sic] fragiliserait l’avenir de l’écosystème du numérique ».

Avis tranché pour la CNIL, qui s’est arrêtée sur la question en marge de la publication de son rapport d’activité 2015 (document PDF, 100 pages).

La commission considère que l’introduction de backdoors dans le droit national conduirait à affaiblir la sécurité des solutions techniques aujourd’hui déployées… et des personnes qui les exploitent.

Elle n’est pas plus favorable à la notion de « clés maîtresses » qui permettraient in fine d’accéder à des données contenues dans des systèmes « à la main de l’utilisateur », c’est-à-dire déchiffrables uniquement par ce dernier.

Difficile de ne pas établir un parallèle avec l’affaire San Bernardino, du nom de cette ville de Californie où s’est déroulé un attentat terroriste qui a relancé le débat sur l’équilibre entre protection des données personnelles, innovation technologique et surveillance (Apple refusant d’accéder à la demande du FBI pour une « assistance technique » dans le déverrouillage d’un iPhone).

Pour la CNIL, le doute n’est pas permis concernant les bénéfices du chiffrement, « élément vital de notre sécurité », qui « contribue […] à la robustesse de notre économie numérique » dans un « contexte de numérisation croissante de nos sociétés ».

Rappelant en outre que la protection des données garantit l’exercice des libertés individuelles tout en évitant les préjudices économiques, politiques et sécuritaires, l’autorité administrative indépendante note qu’il existe déjà des possibilités d’accès à l’information sous forme numérique dans le cadre de procédures judiciaires.

Elle fait là référence au cadre légal relatif aux réquisitions numériques, aux interceptions de correspondances ou encore à la captation de données affichées sur un écran.

Concernant les moyens de cryptologie, il existe une réglementation.

Et le droit pénal contient des « incitations » pour la fourniture des clés de chiffrement, aussi bien à l’adresse des personnes mises en cause que des tiers, en tête desquels les prestataires de services de cryptographie… s’ils ont connaissance de la convention secrète déchiffrement (Apple affirme justement ne pas être dans ce cas).

Présidente de la CNIL, Isabelle Falque-Pierrotin reconnaît que depuis les attentats de janvier et novembre 2015 à Paris, « Le curseur entre impératifs de sécurité et défense des libertés fondamentales s’est incontestablement déplacé ».

Les pouvoirs publics se sont interrogés sur l’efficacité des services de renseignement et ont mis en place des mesures visant à renforcer leurs moyens d’action. La loi votée dans cette optique autorise notamment les « boîtes noires » ou « traitements algorithmiques » chez les opérateurs et les « IMSI catchers », ces fausses antennes-relais télécoms.

Crédit photo : BeeBright – Shutterstock.com