À l'occasion de la Journée européenne de la protection des données, nous appelons l'UE à maintenir un cryptage fort.

Services européens cryptés de bout en bout à l'occasion de la Journée de la vie privée 2021 : Les droits des citoyens de l'UE sont menacés par les propositions antichiffrement

À l'occasion de la Journée de la vie privée, les services cryptés de bout en bout européens ProtonMail, Threema, Tresorit et Tutanota appellent les décideurs politiques de l'UE à repenser les propositions faites dans la résolution du Conseil de décembre sur le cryptage.


La Journée de la protection des données a été lancée en Europe en 2007 pour sensibiliser à l’importance de la protection de la vie privée de chacun. Onze ans plus tard, l’Union européenne a donné suite à cette attention en publiant le règlement général sur la protection des données (RGDP), qui impose à chaque entreprise de protéger les données des citoyens de l’UE.

En décembre 2020, cependant, le Conseil de l’UE a pris un tournant très différent en publiant la résolution sur le cryptage. Bien que la résolution souligne l’importance du cryptage, elle vise sans aucun doute à affaiblir le cryptage pour chaque citoyen de l’UE.

Rejeter la résolution du Conseil

  • Le Conseil de l’Union européenne fait avancer des propositions qui permettront d’installer des portes dérobées sur des plateformes cryptées de bout en bout comme les applications de courrier électronique, de messagerie et de partage de fichiers.

  • Le Conseil affirme qu’il est possible de le faire sans casser le cryptage ni violer le droit à la vie privée des citoyens.

  • Les principales sociétés européennes de cryptage se sont unies pour affirmer que cela n’est pas possible et appellent les décideurs politiques de l’UE à y réfléchir à nouveau.

  • L’installation de portes dérobées dans les applications cryptées revient à donner aux forces de l’ordre une clé de la maison de chaque citoyen.

  • Personne ne prétend que cela ne viole pas le droit à la vie privée, et il devrait en être de même pour la boîte de réception, les messages ou les fichiers d’une personne.

L’objectif déclaré du Conseil, à savoir “la sécurité par le chiffrement et la sécurité malgré le chiffrement” - et les portes dérobées au chiffrement que cela nécessiterait - menacera les droits fondamentaux de millions d’Européens et sapera la tendance mondiale à l’adoption d’un chiffrement de bout en bout. En réponse, ces quatre grandes entreprises technologiques européennes rejettent toute tentative d’utiliser des instruments juridiques pour violer la vie privée des citoyens et se dressent pour protéger les droits des personnes et des entreprises qui choisissent le cryptage de bout en bout.

Bien que cela ne soit pas explicitement indiqué dans la résolution, il est largement admis que la proposition vise à permettre aux forces de l’ordre d’accéder à des plateformes cryptées par des moyens détournés. Cependant, la résolution fait apparaître un malentendu fondamental : le cryptage est un absolu, les données sont cryptées ou ne le sont pas, les utilisateurs ont une vie privée ou n’en ont pas. La volonté de donner aux services répressifs davantage d’outils pour lutter contre la criminalité est évidemment compréhensible. Mais les propositions sont l’équivalent numérique de l’attribution aux services répressifs d’une clé du domicile de chaque citoyen et pourraient amorcer une pente glissante vers de plus grandes violations de la vie privée.

Le passage sans précédent au travail à distance l’année dernière a vu des dizaines de millions de personnes et d’entreprises se tourner vers des technologies comme le cryptage de bout en bout pour assurer leur sécurité numérique et leur vie privée. Plus récemment, après que de plus en plus de personnes ont pris conscience du fait que WhatsApp partageait des données avec Facebook, les utilisateurs se tournent vers des services de cryptage de bout en bout de la vie privée en nombre record. Partout dans le monde, les gens reprennent le contrôle de leur vie privée, et ce sont souvent des entreprises européennes qui les aident à le faire. Il semble illogique que les décideurs politiques de l’UE fassent maintenant pression pour obtenir des lois qui vont à l’encontre de l’opinion publique et qui sapent un secteur technologique européen en pleine croissance.

La résolution a effectivement donné à la Commission européenne le feu vert pour commencer à préparer des propositions concrètes au cours des prochains mois. Mais, comme le soulignent ProtonMail, Threema, Tresorit et Tutanota, la Commission devrait se rappeler que, d’un point de vue technologique, il est impossible de fournir un quelconque accès à un contenu crypté de bout en bout, même ciblé dans un processus légal, sans affaiblir de manière critique l’ensemble du système.

”Ce n’est pas la première fois que nous voyons une rhétorique antichiffrement émanant de certaines parties de l’Europe, et je doute que ce soit la dernière. Mais cela ne signifie pas que nous devons nous reposer sur nos lauriers”, a déclaré Andy Yen, PDG et fondateur de ProtonMail, le service suisse de courrier électronique crypté de bout en bout. “Pour dire les choses simplement, la résolution n’est pas différente des propositions précédentes qui ont suscité un large écho auprès des entreprises soucieuses de la protection de la vie privée, des membres de la société civile, des experts et des députés européens. La différence, cette fois, est que le Conseil a adopté une approche plus subtile et a évité d’utiliser explicitement des mots comme “interdiction” ou “porte dérobée”. Mais ne vous y trompez pas, telle est l’intention. Il est important que des mesures soient prises maintenant pour éviter que ces propositions n’aillent trop loin et pour garder intact le droit des Européens à la vie privée”.

”Les entreprises comptent sur le cryptage de bout en bout pour protéger leurs secrets commerciaux et leurs informations confidentielles. Les citoyens utilisent des applications qui suivent l’objectif de conception “zéro connaissance” pour communiquer librement sans être suivis et monétisés et pour exercer leur droit légal à la vie privée. Les jeunes entreprises européennes sont aujourd’hui à la pointe de cette révolution technologique et de la protection des données. L’expérience montre que tout ce qui affaiblit ces acquis peut être et sera utilisé abusivement par des tiers et des criminels, mettant ainsi en danger la sécurité de chacun d’entre nous. Avec l’abondance des alternatives open-source, les utilisateurs se tourneraient simplement vers ces applications s’ils savaient qu’un service est compromis”, a déclaré Martin Blatter, PDG de Threema, l’application de messagerie instantanée cryptée de bout en bout. “Forcer les fournisseurs européens à contourner ou à affaiblir délibérément le cryptage de bout en bout ne détruirait pas seulement l’économie européenne des start-ups informatiques, mais ne fournirait pas non plus ne serait-ce qu’un peu de sécurité supplémentaire. En rejoignant les rangs des États de surveillance les plus notoires de ce monde, l’Europe abandonnerait imprudemment son avantage concurrentiel unique et deviendrait un désert de la vie privée”, a-t-il ajouté.

”Cette résolution compromettrait sérieusement la confiance croissante que les particuliers et les entreprises accordent aux services cryptés de bout en bout et menacerait la sécurité des utilisateurs qui souhaitent simplement partager des informations en toute sécurité ou utiliser le cryptage de bout en bout dans le cadre du respect de la protection des données. Nous trouvons cette résolution particulièrement alarmante compte tenu des positions précédemment progressistes de l’UE en matière de protection des données. Le règlement général sur la protection des données (RGPD), le modèle de législation de l’UE en matière de protection des données reconnu dans le monde entier, plaide explicitement en faveur d’un cryptage fort en tant que technologie fondamentale pour garantir la vie privée des citoyens. Ces nouvelles propositions sont inconciliables avec la position actuelle de l’UE sur la protection des données : les approches actuelles et proposées sont en totale contradiction, car il est impossible de garantir l’intégrité du cryptage tout en fournissant un accès ciblé aux données cryptées”, a déclaré Istvan Lam, co-fondateur et PDG de Tresorit, le service de synchronisation et de partage de fichiers cryptés de bout en bout.

”Le cryptage est la colonne vertébrale de l’internet. Chaque citoyen de l’UE a besoin du cryptage pour assurer la sécurité de ses données sur le web et pour se protéger des attaques malveillantes. Avec la dernière tentative de cryptage par porte dérobée, les responsables politiques veulent un moyen plus simple de prévenir des crimes tels que les attaques terroristes tout en ignorant toute une série d’autres crimes contre lesquels le cryptage nous protège : le cryptage de bout en bout protège nos données et nos communications contre les écoutes clandestines telles que les pirates informatiques, les gouvernements (étrangers) et les terroristes. En exigeant le cryptage par des moyens détournés, les responsables politiques ne nous demandent pas de choisir entre sécurité et vie privée. Ils nous demandent de ne pas choisir la sécurité”, a déclaré Arne Möhle, cofondateur de Tutanota, le fournisseur allemand de messagerie électronique cryptée de bout en bout.

Comme le montre le récent scandale des modifications apportées à la politique de confidentialité de WhatsApp, même si un service utilise un cryptage de bout en bout, les données des utilisateurs peuvent toujours être utilisées à mauvais escient. Les fournisseurs de services européens ProtonMail, Threema, Tresorit et Tutanota se sont engagés à protéger les données de leurs utilisateurs par des politiques de confidentialité transparentes, au-delà de la sécurisation des communications par un cryptage de bout en bout.