En décembre 2020, le Conseil de l’Union européenne a publié une résolution de cinq pages appelant l’Union européenne à adopter de nouvelles règles pour régir l’utilisation du chiffrement de bout en bout en Europe. Nous nous opposons fermement à cette résolution parce qu’elle annonce une attaque contre le chiffrement(nouvelle fenêtre).
Nous ne sommes pas le seul service chiffré de bout en bout basé en Europe à avoir été alarmé par le revirement soudain de l’Union européenne contre la protection de la vie privée. Avec Threema, Tresorit et Tutanota, nous partageons la déclaration commune suivante :
Proton Mail, Threema, Tresorit, Tutanota, 28 janvier 2021 – À l’occasion de la Journée de la protection de la vie privée, les services européens chiffrés de bout en bout Proton Mail, Threema, Tresorit et Tutanota appellent les responsables politiques de l’Union européenne à repenser les propositions faites en décembre pour la résolution du Conseil sur le chiffrement(nouvelle fenêtre).
L’objectif déclaré du Conseil, qui est « La sécurité grâce au chiffrement et malgré le chiffrement » (et les accès au chiffrement qui en découlent), menacera les droits fondamentaux de millions d’Européens et compromettra l’évolution mondiale vers l’adoption du chiffrement de bout en bout. En réponse, ces quatre grandes entreprises technologiques européennes rejettent toute tentative d��’utiliser des instruments juridiques pour porter atteinte à la vie privée des citoyens et s’engagent à protéger les droits des personnes et des entreprises qui choisissent le chiffrement de bout en bout.
Bien que la résolution ne l’indique pas de manière explicite, il est largement admis que la proposition vise à permettre aux forces de l’ordre d’accéder aux plateformes chiffrées par le biais de portes dérobées. La résolution comporte néanmoins un malentendu fondamental : le chiffrement est un principe absolu. Soit les données sont chiffrées et les utilisateurs peuvent protéger leur vie privée, soit elles ne le sont pas et ils ne le peuvent pas. Le souhait de donner aux forces de l’ordre plus d’outils pour lutter contre la criminalité est évidemment compréhensible. Mais ces propositions équivalent, sur le plan numérique, à donner aux forces de l’ordre une clé du domicile de chaque citoyen et pourraient ouvrir la voie à des atteintes encore plus graves au droit à la vie privée.
L’année dernière, le passage massif au travail à distance a vu des dizaines de millions de particuliers et d’entreprises se tourner vers des technologies comme le chiffrement de bout en bout pour garantir leur sécurité numérique et la protection de leur vie privée. Plus récemment, alors que de plus en plus de personnes ont pris conscience que WhatsApp partageait des données avec Facebook, de nombreux utilisateurs se tournent vers des services chiffrés de bout en bout et respectueux de la vie privée. Partout dans le monde, les gens reprennent le contrôle de leur vie privée et ce sont souvent des entreprises européennes qui les aident dans cette démarche. Il ne semble pas logique que les décideurs politiques de l’Union européenne fassent pression pour faire adopter des lois qui vont à l’encontre de l’opinion publique et qui nuisent à un secteur technologique européen en pleine croissance.
La résolution a effectivement donné à la Commission européenne le feu vert pour commencer à préparer des propositions concrètes au cours des prochains mois. Mais, comme le soulignent Proton Mail, Threema, Tresorit et Tutanota, la Commission devrait se rappeler que, d’un point de vue technologique, il est impossible de fournir un quelconque accès aux contenus chiffrés de bout en bout, même un accès ciblé dans le cadre d’une procédure légale, sans gravement compromettre l’ensemble du système.
« Ce n’est pas la première fois que nous entendons des discours contre le chiffrement dans certaines régions d’Europe, et je ne pense pas que ce soit la dernière. Mais nous ne devrions pas pour autant être complaisants », a déclaré Andy Yen, PDG et fondateur de Proton Mail, le service suisse de messagerie électronique chiffrée de bout en bout. « Pour dire les choses simplement, la résolution n’est pas différente des propositions précédentes qui ont suscité une vive réaction de la part des entreprises soucieuses de la protection de la vie privée, des membres de la société civile, des experts et des eurodéputés. La différence cette fois-ci est que le Conseil a adopté une approche plus subtile et a évité d’utiliser explicitement des mots comme « interdiction » ou « porte dérobée ». Mais ne vous méprenez pas, c’est bien l’intention. Il est important que des mesures soient prises dès maintenant pour éviter que ces propositions n’aillent trop loin et pour préserver le droit à la vie privée des Européens. »
« Les entreprises comptent sur le chiffrement de bout en bout pour protéger leurs secrets commerciaux et leurs informations confidentielles. Les citoyens utilisent des applications qui suivent l’objectif de conception à connaissance nulle pour communiquer librement sans être suivis et monétisés, et pour exercer leur droit à la vie privée. Les jeunes entreprises européennes sont aujourd’hui à l’avant-garde de cette révolution technologique et de la protection des données. L’expérience montre que tout ce qui affaiblit ces avancées peut être et sera utilisé à mauvais escient par des tiers et des criminels, mettant ainsi en péril notre sécurité à tous. Avec l’abondance d’alternatives open source, les utilisateurs passeraient simplement à ces applications s’ils savaient qu’un service est compromis », a déclaré Martin Blatter, PDG de Threema, l’application de messagerie instantanée chiffrée de bout en bout. « Non seulement forcer les fournisseurs européens à contourner ou à affaiblir délibérément le chiffrement de bout en bout détruirait l’économie européenne des startups informatiques, mais en plus cela n’apporterait même pas un soupçon de sécurité supplémentaire. En rejoignant les rangs des États les plus connus au monde pour leur surveillance, l’Europe abandonnerait de façon imprudente son unique avantage concurrentiel et deviendrait un désert en matière de protection de la vie privée », a-t-il ajouté.
« Cette résolution porterait gravement atteinte à la confiance croissante que les particuliers et les entreprises accordent aux services chiffrés de bout en bout et menacerait la sécurité des utilisateurs qui veulent simplement partager des informations en toute sécurité ou tirer parti du chiffrement de bout en bout pour se mettre en conformité avec les règles de protection des données. Nous trouvons cette résolution particulièrement alarmante étant donné les points de vue précédemment progressistes de l’Union européenne sur la protection des données. Le Règlement général sur la protection des données (RGPD), le modèle mondialement reconnu de l’Union européenne en matière de législation sur la protection des données, préconise explicitement un chiffrement fort en tant que technologie fondamentale pour garantir la protection de la vie privée des citoyens. Ces nouvelles propositions sont inconciliables avec la position actuelle de l’Union européenne sur la confidentialité des données : les approches actuelles et proposées sont en totale contradiction, car il est impossible de garantir l’intégrité du chiffrement tout en fournissant un quelconque accès ciblé aux données chiffrées », a déclaré Istvan Lam, cofondateur et PDG de Tresorit, le service de partage de synchronisation de fichiers chiffrés de bout en bout.
« Le chiffrement est la colonne vertébrale d’internet. Chaque citoyen de l’Union européenne a besoin du chiffrement pour assurer la sécurité de ses données sur le web et se protéger des attaquants malveillants. Avec la dernière tentative de mise en place d’une porte dérobée pour le chiffrement, les politiciens veulent un moyen plus facile de prévenir des crimes comme les attaques terroristes, tout en ignorant toute une série d’autres crimes contre lesquels le chiffrement nous protège. Le chiffrement de bout en bout protège nos données et nos communications contre les écoutes clandestines des hackers, des gouvernements (étrangers) ou des terroristes. En exigeant des portes dérobées pour le chiffrement, les responsables politiques ne nous demandent pas de choisir entre la sécurité et la protection de la vie privée. Ils nous demandent de choisir l’absence de sécurité », a déclaré Arne Möhle, cofondateur de Tutanota, fournisseur allemand de messagerie électronique chiffrée de bout en bout.
Comme le montre le récent scandale des changements de politique de confidentialité de WhatsApp, même si un service utilise le chiffrement de bout en bout, les données des utilisateurs peuvent toujours être utilisées à mauvais escient. Les fournisseurs de services européens Proton Mail, Threema, Tresorit et Tutanota s’engagent à protéger les données de leurs utilisateurs par des politiques de confidentialité transparentes, au-delà de la sécurisation des communications par le chiffrement de bout en bout.
N’hésitez pas à partager votre avis et vos questions avec nous sur nos réseaux sociaux officiels, Twitter(nouvelle fenêtre) et Reddit(nouvelle fenêtre).
—
Traduit et adapté par Elodie Mévil-Blanche.
