En juin 2019, de hauts responsables du gouvernement américain se sont rencontrés pour déterminer s’ils pouvaient légiférer afin d’empêcher les entreprises de technologie d’utiliser un chiffrement inviolable. Selon Politico, le National Security Council s’est demandé s’il était approprié de demander au Congrès l’interdiction du chiffrement de bout en bout, une technologie utilisée par les entreprises pour la protection de vos données.
Pour récapituler brièvement, les forces de l’ordre américaines s’inquiètent au sujet de leurs principales cibles, à savoir les criminels et les terroristes qui “se dissimulent” en utilisant cette technologie pour protéger leurs communications. L’interdire tout simplement faciliterait l’accès à ces messages et documents par les agences gouvernementales. Les défenseurs du chiffrement de bout en bout contre-attaquent en déclarant que rendre ce chiffrement violable permettrait également à des acteurs malveillants tels que des gouvernements étrangers de voler des secrets nationaux et s’inquiètent également d’un éventuel accès illégal à des informations sensibles par leurs propres gouvernements.
Les responsables américains n’ont pas pris de décision à ce sujet, mais l’actualité récente, faisant état d’une discussion à ce sujet, a suffisamment effrayé l’eurodéputé Moritz Körner pour qu’il pose formellement à la Commission européenne des questions, que Glyn Moody de Techdirt a pu se procurer. Körner demande si la Commission envisagerait une interdiction similaire du chiffrement de bout en bout au sein de l’UE. Il a également demandé ce que signifierait une interdiction américaine pour les accords d’échange de données existants entre l’UE et les États-Unis :
Une interdiction du chiffrement aux États-Unis rendrait-elle illégale le transfert de données vers les États-Unis étant donné les exigences du RGPD de l’UE en matière de protection intégrée des données ?
À l’heure actuelle, les deux zones bénéficient d’un accord connu sous le nom de “Bouclier de protection des données UE-États-Unis” (EU-US Privacy Shield), introduit après que la Cour de justice de l’UE a invalidé un accord précédent appelé “International Safe Harbor Privacy Principles“.
Ce bouclier de protection des données est un système de certification volontaire destiné aux entreprises américaines. En utilisant cette certification dans le cadre de ce système, les entreprises américaines prouvent leur aptitude à transférer et à traiter des données relatives aux citoyens européens. Ce système montre ainsi que les Etats-Unis ont fait des efforts pour respecter les principes stricts de l’Europe en matière de protection des données en l’absence de loi fédérale similaire et cohérente aux États-Unis.
Le 20 novembre, des fonctionnaires de la Commission européenne ont répondu en affirmant qu’ils n’envisageraient pas une interdiction du chiffrement de bout en bout dans la zone européenne, en précisant que le Règlement Général sur la Protection des Données (RGPD) faisait explicitement référence au chiffrement comme une mesure de protection des données.
La réponse qui a suivi était un peu plus controversée :
Si les États-Unis adoptent une nouvelle législation dans ce domaine, la Commission évaluera soigneusement son impact sur les termes de l’accord UE-États-Unis : à savoir Privacy Shield, un cadre qui, de l’avis de la Commission, offre un niveau de protection des données essentiellement équivalent à celui de l’UE, permettant ainsi le transfert de données à caractère personnel de l’UE vers les entreprises impliquées aux États-Unis, et ce sans autre restrictions.
En bref, le jury n’a pas encore réfléchi à la manière avec laquelle l’UE réagirait aux transferts de données transatlantiques si les États-Unis mettaient en place des backdoors chiffrées.
Ashley Winton, associé chez McDermott Will & Emery UK LLP et spécialiste du droit de la confidentialité des données, a expliqué qu’une scission entre les deux territoires en matière d’échange de données pourrait avoir de graves répercussions. Il nous a dit :
Nous savons que, dans le cadre du RGPD, les données à caractère personnel doivent être conservées de manière sécurisée. Par conséquent, légiférer contre un chiffrement fort ou instaurer des portes dérobées légales ne sera pas bénéfique pour le transfert en toute sécurité des données européennes à caractère personnel, quelle que soit leur destination.
Contrairement à l’examen annuel de Privacy Shield, si la Cour européenne décide que le transfert de données à caractère personnel vers les États-Unis n’est pas sécurisé, tous les transferts concernés seront immédiatement arrêtés et un véritable chaos en matière de conformité de la protection des données verra le jour.
Les réserves de l’UE concernant une interdiction du chiffrement de bout en bout contrastent nettement avec l’approche britannique.
L’Investigatory Powers Act 2016 oblige les fournisseurs de services de communication à informer le gouvernement à l’avance de tout nouveau produit et service de chiffrement, lui permettant ainsi de demander une assistance technique pour les forcer. Récemment, le Royaume-Uni et les États-Unis ont signé un accord en vertu du March 2018 CLOUD Act, leur permettant ainsi de demander des données électroniques directement aux entreprises de technologie basées dans d’autres pays, et ce sans barrière juridique.
Winton a déclaré qu’un autre cas, qui doit être discuté prochainement, soulèvera de nouveau la question du transfert de données de l’UE vers les États-Unis. Le 12 décembre 2019, la Cour de justice de l’UE (CJCE) se prononcera sur une affaire connue sous le nom de Schrems 2. Il s’agit d’une action en justice contre Facebook en Irlande lancée par l’avocat autrichien et défenseur de la vie privée Max Schrems.
Schrems était responsable de la résiliation de l’accord initial Safe Harbor. Inquiet de la coopération de Facebook avec les services de renseignement américain révélée par Edward Snowden, il a déposé une plainte auprès du Commissaire Irlandais à la Protection des Données (Irish Data Protection Commissioner), se plaignant que le transfert de ses données personnelles à Facebook aux Etats-Unis violait ses droits. La CJCE s’est prononcée en sa faveur.
Schrems 2 se concentre sur un autre mécanisme utilisé pour transférer des données de l’UE vers les États-Unis : les Clauses Contractuelles Types (Standard Contractual Clauses : SCC). Il s’agit d’accords bilatéraux entre des entreprises de l’UE et des États-Unis basés sur des modèles standards. Ils sont souvent utilisés par des entreprises de pays ne disposant pas d’un accord adéquat.
Selon ce rapport de l’International Association of Privacy Professionals, les SCC représentent un gros problème, car ils constituent le mécanisme de référence pour les transferts de données extraterritoriaux selon 88% des personnes interrogées.
Nous suivrons de très près les évolutions à venir sur ce sujet.
Billet inspiré de EU raises eyebrows at possible US encryption ban, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.