Sergey Nivens - Fotolia
Chiffrement : la Commission européenne joue la carte du verbiage
A travers la promesse d’une énième réflexion et de possibles suggestions à venir à l’automne, la Commission peut donner l’impression de satisfaire certaines demandes pressantes. A moins que ce ne soit le contraire.
Ménager la chèvre et le chou ? La Commission européenne en donne sévèrement l’impression. Alors que la France et l’Allemagne poussent avec insistance, à l’instar des autorités britanniques, depuis le début de l’année, en faveur de mesures permettant les écoutes légales des échanges personnels chiffrés de bout en bout, la Commission vient d’indiquer « travailler étroitement avec les agences de l’Union Européenne responsables de la coopération des polices, des questions juridiques, de la cybersécurité et des droits fondamentaux ». Parmi celles-ci, on relèvera notamment Europol et l’agence européenne de la sécurité des réseaux et de l’information, l’Enisa.
Le but affiché ? Les faire « collecter les informations nécessaires » à une réflexion éclairée, en incluant le secteur privé « pour apporter toutes les perspectives ». Associations sectorielles, fournisseurs de services et associations de la société civile doivent là être également conviées à « des tables rondes ». Mais pour quels résultats ?
En l’état, les objectifs de l’initiative apparaissent pour le moins nébuleux. De fait, la Commission explique qu’une fois qu’elle et les « agences pertinentes de l’Union Européenne auront collecté les informations appropriées sur les aspects légaux et techniques du chiffrement pour établir une définition du problème et étudier les options, des conclusions seront tirées sur la marche à suivre ».
Partant, la Commission prévoit de rapporter au Conseil de l’Europe et au parlement durant le second semestre. « Là où cela sera pertinent, des recommandations et des actions pourront être suggérées. » Et la Commission de préciser qu’elle « ne prévoit pas pour le moment de proposer de législation, mais examinera toutes les options appropriées ».
En fait, il est tentant de voir là l’adresse hautement diplomatique d’une fin de non-recevoir aux demandes appuyées en faveur de portes dérobées, mises de clés sous séquestre et autres points de clair susceptibles d’affaiblir la confidentialité des communications électroniques chiffrées personnelles.
Car si certains demandaient avec empressement des évolutions législatives pour la fin de l’année, la Commission semble leur intimer de patienter, leur offrant toutefois un os à ronger suffisamment copieux pour qu’ils puissent clamer sur leurs scènes nationales respectives que leurs incantations sont suivies d’effets et que des travaux sont en cours. Et face aux plus chagrins de leurs électeurs qui leur diraient que tout cela va trop lentement, ils auront tout le loisir de blâmer les lourdeurs de la bureaucratie supranationale.
Au surplus, on relèvera que certaines agences et autres associations ont déjà des positions claires et tranchées. On pense bien sûr à celles spécialisées dans la défense des libertés individuelles, mais cela vaut aussi pour l’association de l’industrie de l’informatique et des communications, la CCIA.
Le superviseur européen de la protection des données a également pris position l’an dernier en faveur du chiffrement de bout en bout des communications électroniques, et contre les portes dérobées.
En mai 2016, l’Enisa et Europol reconnaissaient par ailleurs, dans un communiqué commun, que portes dérobées et mises sous séquestre des clés de chiffrement « affaibliraient le chiffrement » et « augmenteraient la surface d’attaque pour les abus malicieux, ce qui aurait des implications bien plus larges pour la société ». Une position que l’agence pour la sécurité des réseaux et de l’information a encore réaffirmé en décembre dernier.