Les enjeux de 2016 (3) : quelle position de la CNIL en matière de chiffrement ?

08 avril 2016

La question de l’équilibre entre protection des données personnelles, innovation technologique et surveillance est au centre de nombreuses préoccupations, tout particulièrement depuis les révélations d’Edward Snowden sur la surveillance de masse. Elle se pose aujourd’hui avec acuité suite aux demandes faites par le FBI auprès de la société APPLE, afin de pouvoir contourner les solutions de chiffrement à la main des utilisateurs, c’est-à-dire dont ils sont les seuls à détenir la clé de déchiffrement.

Le chiffrement : élément de la sécurité du patrimoine informationnel

Internet est un réseau public, ouvert, devenu le support de la majorité de nos communications. Dans un contexte de numérisation croissante de nos sociétés et d’accroissement exponentiel des cybermenaces, le chiffrement est un élément vital de notre sécurité. Il contribue aussi à la robustesse de notre économie numérique et de ses particules élémentaires que sont les données à caractère personnel, dont la protection est garantie par l’article 8 de la Charte des droits fondamentaux de l’Union européenne.

Il est dès lors primordial de :

  • protéger les personnes et leur vie privée afin de garantir leurs droits fondamentaux ;
  • protéger les systèmes d’information des entreprises et des États, car les atteintes à ces systèmes peuvent occasionner de graves préjudices économiques, politiques, ou en termes de sécurité publique ;
  • promouvoir l’essor de l’économie du numérique, au travers des notions de confiance et de sécurité, pour stimuler l’innovation et la croissance ;
  • maintenir la compétitivité des acteurs nationaux du domaine de la cybersécurité pour soutenir l’économie.

La cybersécurité est un vecteur de confiance et d’innovation. Protéger les données personnelles dans l’univers numérique, à l’aide notamment du chiffrement, c’est aussi protéger un droit fondamental et, au-delà, l’exercice des libertés individuelles dans cet univers.

Les accès aux données dans le cadre des procédures judiciaires

En France, il existe d’ores et déjà une réglementation relative aux moyens de cryptologie et un cadre légal bien établi concernant différents types d’accès aux données informatiques dans le cadre de procédures judiciaires.

Ce cadre autorise notamment les réquisitions numériques, l’accès aux données de connexion, les interceptions de correspondances, les enregistrements audio-visuels, la captation de données informatiques affichées à l’écran ou introduites au clavier, ou encore le recours à des experts techniques dans le cas de données chiffrées. Ces dispositions sont applicables sans préjudice de la possibilité, pour les autorités judiciaires, de s’appuyer sur les moyens techniques dont disposent les organismes de police judiciaire.

L’obligation, pour les personnes, de coopérer avec les autorités

En outre, le droit pénal contient des incitations concernant la remise des clés de déchiffrement, s’agissant des personnes mises en cause ou des tiers tels que les prestataires de services de cryptographie s’ils ont connaissance de la convention secrète de déchiffrement.

En effet, le droit permet d’exiger de toute personne la communication de toute donnée, informatique ou non, quel que soit son support (logiciel, fichier, traitement, cloud, etc.). Il en est de même pour la fourniture des clés de déchiffrement ou des informations déchiffrées aux autorités judiciaires, par les personnes concernées ou par des tiers, et des peines renforcées sont prévues pour les personnes refusant de les remettre.

Toutefois ces dispositions ne peuvent pas conduire à obliger les personnes mises en cause à fournir les informations utiles à l’enquête. En effet, le droit de ne pas s’auto-incriminer est un droit fondamental qui trouve son origine dans la Convention européenne des droits de l'homme et dans la jurisprudence de la Cour européenne.

Les limites de l’usage de portes dérobées

L’actualité récente a conduit à un débat sur la pertinence de l’introduction, par le droit national, de portes dérobées (backdoors) ou d’une clé maitre permettant in fine d’accéder à des données contenues dans un système protégé par une solution de chiffrement présentée comme à la main de l’utilisateur. Un tel dispositif soulèverait de nombreuses questions : 

  • il créerait un risque collectif tendant à affaiblir le niveau de sécurité des personnes face à l’ampleur du phénomène cybercriminel, alors qu’il n’empêcherait pas, techniquement, des personnes malveillantes de continuer à utiliser des solutions de chiffrement à titre individuel pour protéger la confidentialité de leurs communications et de leurs données stockées ;
  • il serait vraisemblablement peu robuste dans le temps, face aux attaques des États ou du crime organisé, d’autant plus qu’il serait nécessaire d’échanger entre autorités le secret ou les clés ;
  • il serait très complexe à mettre en œuvre, de manière sûre, alors que les applications sont globalisées et mondialisées.

Les solutions de chiffrement robustes, sous la maîtrise complète de l’utilisateur, contribuent à l’équilibre et à la sécurité de l’écosystème numérique. L’introduction de portes dérobées ou de clés maîtres conduirait à affaiblir la sécurité des solutions techniques aujourd’hui déployées, ce qui serait préjudiciable au patrimoine informationnel des entreprises, à la stabilité de l’écosystème de l’économie du numérique et à la protection des libertés des personnes.

En conséquence, la CNIL considère que

  • le chiffrement contribue à la résilience de nos sociétés numériques et de notre patrimoine informationnel ;
  • dans le cadre des procédures judiciaires, il existe déjà de nombreuses voies permettant aux autorités d’accéder et d’analyser les contenus intéressant l’enquête ou utiles à la manifestation de la vérité ;
  • les personnes mises en cause et les tiers ont obligation de coopérer avec les autorités ;
  • la mise en place de portes dérobées ou de clés maîtres fragiliserait l’avenir de l’écosystème du numérique. 
Document reference

Les mots clés associés à cet article