Comme nous le craignions, le Parlement britannique a adopté le projet de loi sur la sécurité en ligne sans apporter les changements nécessaires pour protéger la vie privée.
La loi sur la sécurité en ligne, comme on l’appelle désormais, comprend une clause qui donne au gouvernement britannique le pouvoir d’accéder, de collecter et de lire les conversations privées de quiconque à tout moment. Un scénario de surveillance pire que tout est désormais possible au Royaume-Uni et a été laissé dans le texte légal malgré l’admission par le gouvernement britannique lui-même que c’est « techniquement infaisable » de briser le chiffrement tout en protégeant la vie privée.
Ayant reçu l’assentiment royal le 26 octobre, il est trop tard pour corriger la législation. Il ne reste qu’une question : le gouvernement utilisera-t-il son nouveau pouvoir ?
Dans les semaines et les mois à venir, Ofcom, le régulateur chargé de la mise en œuvre de la loi, rédigera et publiera des directives de conformité en trois phases. C’est maintenant le moment pour Ofcom de travailler avec l’industrie technologique sur des solutions qui font avancer les objectifs importants de la loi sans entrer dans le territoire dangereux de la surveillance de masse et d’un internet sans chiffrement.
Cependant, ce débat ne se limite pas uniquement au Royaume-Uni. Les législateurs européens travaillent sur leur propre proposition, communément appelée « Chat Control ». Le projet actuel de la Commission européenne est encore plus vaste que celui du Royaume-Uni, obligeant encore plus de services à potentiellement briser le chiffrement. Mais il y a un soutien croissant pour le chiffrement dans l’Union européenne et nous les encouragerions à prendre note de la déclaration du gouvernement britannique selon laquelle briser le chiffrement tout en préservant la vie privée n’est pas techniquement possible.
La loi sur la sécurité en ligne et les pouvoirs de surveillance
Dès le départ, les défenseurs de la loi sur la sécurité en ligne étaient bien intentionnés, préconisant des mesures fortes pour prévenir les pires types d’abus en ligne, y compris les préjudices contre les enfants. Nous soutenons complètement cet objectif mais pas les moyens.
La nouvelle loi pourrait être utilisée pour contraindre les entreprises à surveiller les données de leurs utilisateurs à la recherche de matériel illégal. Mais de nombreuses entreprises, y compris Proton et l’application de messagerie Signal, utilisent le chiffrement de bout en bout, qui est conçu pour empêcher quiconque, sauf l’utilisateur, d’accéder à ses données. Cette technologie est un composant essentiel de l’internet moderne, permettant tout, de la banque en ligne au journalisme d’investigation. Le chiffrement de bout en bout signifie par définition que personne, pas même les entreprises dont les services sont utilisés, ne peut voir ou accéder aux données des personnes.
La loi sur la sécurité en ligne donne à Ofcom le pouvoir d’ordonner aux services chiffrés d’utiliser une « technologie accréditée » pour rechercher et éliminer les contenus illégaux. Malheureusement, aucune technologie actuelle n’existe qui protège également la vie privée des gens grâce au chiffrement. Les entreprises devraient donc briser leur propre chiffrement, détruisant la sécurité de leurs propres services.
Les criminels chercheraient d’autres méthodes pour partager des matériaux illégaux, tandis que la grande majorité des citoyens respectueux des lois subiraient les conséquences d’un internet sans confidentialité et de données personnelles vulnérables aux pirates informatiques.
Signes de bonnes nouvelles
À son crédit, le gouvernement britannique a admis qu’il n’existe pas de technologie permettant aux entreprises de scanner certains messages sans briser tout le chiffrement. Cet aveu est d’une importance vitale et devrait être gardé à l’esprit par Ofcom pendant le processus de mise en œuvre.
Ofcom a également donné des signaux encourageants. Rien dans son plan initial ne mentionne le chiffrement comme faisant partie de son plan d’exécution. Au contraire, Ofcom a déclaré(nouvelle fenêtre) : « Nous devrons trouver un équilibre approprié, intervenir pour protéger les utilisateurs des dangers si nécessaire, tout en veillant à ce que la réglementation protège convenablement la vie privée et la liberté d’expression, et favorise l’innovation. »
C’est la voie que nous encourageons chez Proton. Comme nous l’avons déjà dit, affaiblir le chiffrement mettrait en danger non seulement les citoyens britanniques mais aussi ceux vivant sous des régimes autoritaires susceptibles de copier le modèle britannique. La réputation de Londres en tant que pôle technologique européen est également en jeu, car le projet de loi sur la sécurité en ligne envoie un message dissuasif aux entreprises envisageant d’investir au Royaume-Uni.
Ce que nous pouvons encore faire pour protéger la vie privée au Royaume-Uni
Proton et d’autres ont travaillé dur pour sensibiliser les membres du Parlement aux risques liés au projet de loi sur la sécurité en ligne. Nous restons prêts à travailler avec Ofcom pour faire progresser la sécurité en ligne tout en protégeant le chiffrement de bout en bout. À l’avenir, nous soutiendrons les législations visant à renforcer le chiffrement au Royaume-Uni – en attendant, nous continuerons à appeler à des garanties chaque fois que possible.
Quant à Proton, nous avons une mission claire : rendre la confidentialité accessible à tous. Nous sommes raisonnablement confiants que le projet de loi sur la sécurité en ligne ne s’appliquera pas à Proton grâce à l’admission du gouvernement et à l’exemption pour les e-mails. Bien que certains éléments de nos services relèvent du champ d’application de la loi, la clause exigeant l’analyse du contenu ne sera pas appliquée tant que la technologie « réalisable » ne sera pas disponible, si cela est même possible.
En tant qu’entreprise suisse, Proton n’a pas l’intention de porter atteinte à la confidentialité de notre communauté et ne se conformera à aucune tentative d’imposer des obligations de briser le chiffrement pour les utilisateurs britanniques. En cas de tentatives d’application généralisée, Proton soutiendra les actions en justice pour bloquer la mise en œuvre de la loi qui porterait atteinte aux droits fondamentaux des citoyens.
Il est essentiel qu’Ofcom tienne compte des avertissements de la communauté technologique et s’engage à ne pas affaiblir le chiffrement avec les pouvoirs qui leur sont accordés. L’avenir d’Internet en dépend.