La CJUE condamne la « conservation générale et sans discrimination » des données
La CJUE condamne la « conservation générale et sans discrimination » des données
de trafic et de localisation des utilisateurs
En novembre dernier, le Royaume-Uni a adopté une loi en vue d'élargir ses moyens de surveillance de masse. Décrit par des opposants comme « une loi de surveillance extrême jamais adoptée dans un pays démocratique », l'Investigatory Powers Act, ou encore « la charte des snoopers », a été initialement proposé en 2012 par l’actuel premier ministre Theresa May, qui était en ce moment secrétaire d'État à l'Intérieur. Quatre ans plus tard, le projet de loi a été finalisé et voté par les deux chambres parlementaires le mois passé.
Pour les défenseurs des libertés, la charte des snoopers va permettre au gouvernement britannique de « documenter » tout ce que les utilisateurs font en ligne. Entre autres mesures, elle prévoit par exemple de contraindre les fournisseurs d'accès Internet à enregistrer l'historique Web de chaque utilisateur en temps réel pour une durée maximale d'un an, historique auquel peuvent accéder de nombreux ministères. Les données des utilisateurs seront en effet accessibles à un grand nombre d'agences : le renseignement, la police et bien d’autres.
Une récente décision de la Cour de justice de l’Union européenne vient toutefois remettre en cause la nouvelle loi de surveillance de masse du Royaume-Uni. Cette décision fait suite à un mouvement de contestation conduit par les députés David Davis et Tom Watson, soutenus par les défenseurs de la vie privée.
Il y a un an et demi, la Haute Cour d'Angleterre avait déjà tranché l’affaire en faveur du groupe de David Davis, mais le gouvernement britannique a décidé de faire appel, en portant l’affaire devant la Cour européenne de justice, la plus haute juridiction de l'UE. Cette dernière va toutefois s’aligner sur le premier verdict rendu au Royaume-Uni.
La CJUE estime que la législation britannique qui prévoit la conversation des données de trafic et des données de localisation doit « être considérée comme particulièrement grave ». En effet, « le fait que les données soient conservées sans que les utilisateurs des services de communications électroniques en soient informés est susceptible de donner aux personnes concernées l'impression que leur vie privée fait l'objet d'une surveillance constante », a déclaré la Cour européenne de justice. « Par conséquent, seul l'objectif de la lutte contre la criminalité grave est de nature à justifier une telle ingérence. »
Pour en venir au contenu de la charte des Snoopers, le tribunal poursuit en disant qu’elle va bien au-delà de ce qui pourrait être considéré comme justifiable : « La législation prescrivant une conservation générale et aveugle des données n'exige pas qu'il y ait une relation entre les données qui doivent être conservées et une menace pour la sécurité publique et ne se limite pas, entre autres, à la conservation des données relatives à une période et/ou une zone géographique et/ou un groupe de personnes susceptibles d'être impliqués dans un crime grave. Une telle législation nationale dépasse donc les limites de ce qui est strictement nécessaire et ne peut être considérée comme justifiée au sein d'une société démocratique. »
Suite à la décision de la CJUE, le gouvernement britannique envisage de faire appel une fois de plus. Un porte-parole du ministère de l'Intérieur a exprimé la déception du gouvernement après le jugement rendu par la Cour de justice européenne. Nous « envisagerons ses implications potentielles », dit-il. « Ce sera à la cour d'appel de statuer sur l'affaire. Le gouvernement présentera des arguments solides à la cour d'appel au sujet de la force de notre régime actuel de conservation et d'accès aux données de communication. Étant donné l'importance des données de communication pour la prévention et la détection de la criminalité, nous veillerons à ce que des plans soient en place pour que la police et les autres autorités puissent continuer à acquérir ces données d'une manière conforme au droit communautaire et à notre obligation de protéger le public », a-t-il ajouté.
Avec la sortie du Royaume-Uni de l’Union européenne, il n’est pas sûr que cette décision ait une incidence importante sur l’application de la nouvelle de surveillance de masse britannique. Toutefois, c’est un signal envoyé aux différents pays de l’Union européenne pour leur dire que les États ne peuvent pas imposer aux fournisseurs d'accès Internet une obligation générale de conservation des données.
Source : The Guardian
Et vous ?
:fleche: Qu’en pensez-vous ?
1 pièce(s) jointe(s)
Sans consultation publique, le Royaume-Uni prévoit d'exiger des FAI l'installation de portes dérobées
Sans consultation publique, le Royaume-Uni prévoit d'exiger des FAI l'installation de portes dérobées
afin d'accroître sa capacité de surveillance
Une ébauche de projet de loi sur les surveillances de masse en Grande-Bretagne a fuité. Elle fait partie intégrante de la loi qui a été adoptée l’année dernière, baptisée Investigatory Powers Bill (IPB), que les critiques n’ont pas hésité à qualifier de « loi de surveillance la plus extrême jamais adoptée dans une démocratie ».
Dans les dispositions prévues par cette ébauche, les élus demandent des pouvoirs pour contraindre les fournisseurs d’accès Internet à transmettre les communications en temps quasi réel d'une personne « sous une forme intelligible », y compris le contenu crypté, dans un délai d'un jour ouvrable.
À cette fin, les FAI seront forcés d'introduire une porte dérobée sur leurs réseaux pour permettre aux agences de renseignement de lire les communications de n'importe qui. L’année dernière, cette disposition a été fortement critiquée lorsqu’elle avait été proposée dans le cadre des débats sur IPB.
Parmi les entités qui s’opposent fermement à ce genre de pratique figure le PDG d’Apple, Tim Cook. Ce dernier a averti des « conséquences désastreuses » si la législation exigeait que les FAI ou les entreprises mettent des portes dérobées sur leurs systèmes.
La disposition espère interdire aux entreprises opérant au Royaume-Uni de se servir d’un chiffrement de bout en bout, une fonctionnalité désormais courante dans de nombreuses applications de messagerie parmi lesquelles Facebook Messenger, WhatsApp, mais aussi la plateforme de messagerie iMessage d'Apple.
Cependant, l’ébauche n’indique pas clairement comment la disposition serait appliquée, encore moins si cela affecterait seulement les entreprises opérant au Royaume-Uni ou se limiterait aux entreprises basées au Royaume-Uni.
Jim Killock, directeur exécutif d'Open Rights Group, qui a obtenu le document, a déclaré dans un courrier électronique que les propositions, si elles venaient à être adoptées, « rendraient les produits de sécurité beaucoup plus faciles à contourner et cela signifierait que les entreprises pourraient être obligées de mentir à leurs clients au sujet de la vie privée et la sécurité qui sont appliquées à leurs communications ».
Le projet de loi prévoit également la possibilité d'intercepter en temps réel des données sur un citoyen sur 10 000 à un moment donné, ce qui permettrait au gouvernement d'écouter plus de 6500 citoyens à un moment donné.
« Le gouvernement ne pense pas qu'il y ait une obligation légale ou morale de consulter quiconque en dehors des partenaires industriels et des services de sécurité » , a regretté Killock.
Jusqu'à présent, cette ébauche n'a été diffusée qu'au sein du conseil consultatif technique du gouvernement du Royaume-Uni, composé de six poids lourds des télécommunications, dont O2, BT, BSkyB et Vodafone, ainsi que des agences gouvernementales qui utiliseraient les pouvoirs envisagés pour inclure au moins le MI5 et le GCHQ.
Notons que le document n'a pas été rendu disponible sur le site Web du gouvernement, encore moins chez ses partenaires de l'industrie de la technologie, qui seraient directement touchés par les dispositions si elles devenaient la loi.
Killock a expliqué que la consultation est ouverte jusqu'au 19 mai.
Source : pièce jointe
UK : la Cour d'appel se range à l'avis de la CJUE et condamne la surveillance de masse
UK : la Cour d'appel se range à l'avis de la CJUE et condamne la surveillance de masse,
élargie par une loi dans le pays
Le leader adjoint du parti travailliste et député Tom Watson avait contesté la loi sur la conservation des données et les pouvoirs d'investigation (Dripa - Data Retention and Investigatory Powers Act), une loi antérieure couvrant la surveillance de l'État. Les juges de la Cour d'appel ont statué que certaines parties de Dripa étaient illégales parce que les données recueillies n'étaient pas utilisées pour lutter contre les crimes graves et parce qu'il n'y avait pas d'entité indépendante pour savoir qui pouvait y accéder.
Liberty, le groupe de défense des droits de l'homme qui représentait Watson dans l'affaire, a déclaré que la décision signifiait que des parties importantes de la Loi sur les puissances consultatives 2016, connue sous le nom de « snooper’s charter » (charte du fouineur), sont effectivement illégales et doivent être modifiées de toute urgence.
Martha Spurrier, directrice de Liberty, a déclaré : « Encore une fois, un tribunal britannique a déclaré illégal l'extrême régime de surveillance de masse du gouvernement, ce qui indique clairement aux ministres qu'ils enfreignent les droits de l'homme de la population. La dernière incarnation de la charte du fouineur, qui est la loi sur les pouvoirs d'investigation, doit être modifiée. »
C’est en 2014 que Watson (assisté au départ par le député conservateur David Davis qui s’est désisté par la suite) a lancé les procédures contre Dripa, soutenant que la législation permettait aux agences gouvernementales de se donner l’accès à ces données très personnelles et révélatrices pour une grande variété de raisons qui n’avaient rien à voir avec l'enquête sur les crimes graves qui était brandie comme un laissez-passer.
Alors que Dripa a expiré à la fin de 2016, le gouvernement a ensuite ajouté ces pouvoirs à la Loi sur les pouvoirs d'enquête, qui a commencé à entrer en vigueur en 2017.
La Cour d'appel a déclaré mardi que les pouvoirs prévus par la loi de 2014 sur la conservation des données et les pouvoirs d'investigation, qui ouvraient la voie à la législation sur la charte du fouineur, ont manqué de limiter l'accès aux données personnelles (comme les numéros de téléphone ou l’historique de navigation d’un individu). De plus, la police et d’autres organismes publics étaient en mesure d’accéder aux données personnelles des individus sans qu’il y ait de surveillance adéquate.
Les trois juges ont déclaré que Dripa était « incompatible avec le droit de l'UE » en raison de ce manque de garanties, y compris l'absence de « contrôle préalable par un tribunal ou une autorité administrative indépendante ».
En réponse à la décision, Watson a déclaré : « Cette législation était défectueuse dès le départ. Elle a été adoptée rapidement par le Parlement juste avant les vacances parlementaires sans examen parlementaire approprié. »
« Le gouvernement doit maintenant proposer des modifications à la Loi sur les pouvoirs d'enquête pour s'assurer que des centaines de milliers de personnes, dont beaucoup sont des victimes innocentes ou témoins d'actes criminels, soient protégées par un système indépendant d'accès aux données de communication. Je suis fier d'avoir joué mon rôle dans la sauvegarde des droits fondamentaux des citoyens. »
Le Bureau de l'Intérieur (département exécutif du gouvernement britannique chargé des compétences de politiques intérieures comme la sécurité publique) a annoncé une série de garanties en novembre en prévision de la décision. Elles comprennent la suppression du pouvoir d'auto-autorisation des officiers supérieurs de la police et la nécessité de faire approuver des demandes de données de communications confidentielles par le nouveau commissaire aux pouvoirs d'enquête. Watson et d'autres militants ont déclaré que les garanties étaient « à moitié travaillées » et ne vont pas suffisamment loin.
Le ministre de la Sécurité, Ben Wallace, a commenté cette décision en déclarant que : « Les données sur les communications sont utilisées dans la grande majorité des poursuites criminelles et des crimes organisés et ont été utilisées dans toutes les grandes enquêtes antiterroristes des services de sécurité au cours de la dernière décennie. C'est souvent le seul moyen d'identifier les pédophiles impliqués dans la maltraitance des enfants en ligne, car elles peuvent être utilisées pour trouver où et quand ces crimes horribles ont eu lieu. »
Matthew Rice, de l'Open Rights Group, a déclaré : « Encore une fois, un autre tribunal britannique a jugé illégale une autre loi sur la surveillance du gouvernement. Le gouvernement doit admettre que sa législation est défectueuse et apporter les modifications nécessaires à la loi afin de protéger les droits fondamentaux du public. »
« La Loi sur les pouvoirs d'investigation creuse un trou béant dans les droits du public : les organismes publics peuvent accéder aux données sans surveillance adéquate et accéder à ces données pour des raisons autres que la lutte contre les crimes graves. »
Source : The Guardian
Voir aussi :
:fleche: La CJUE condamne la « conservation générale et sans discrimination » des données de trafic et de localisation des utilisateurs
2 pièce(s) jointe(s)
Facebook et WhatApp seront obligés de divulguer le contenu des messages chiffrés de leurs utilisateurs
Facebook et WhatApp seront obligés de divulguer le contenu des messages chiffrés de leurs utilisateurs
À la police britannique en vertu d'un nouvel accord signé avec les États-Unis
Les plateformes de réseaux sociaux basées aux États-Unis, y compris Facebook et WhatsApp, seront très bientôt obligées de divulguer le contenu des messages chiffrés ou non de leurs utilisateurs à la police britannique en vertu d’un nouvel accord entre les États-Unis et le Royaume-Uni, a récemment révélé The Times.
L’accord qui devrait être parafé d’ici le mois prochain obligera les entreprises des réseaux sociaux à communiquer, dans le cadre d’une enquête, les données échangées par les personnes soupçonnées d’infractions criminelles graves, y compris le terrorisme et la pédophilie, a indiqué une source proche de ce dossier.
Le gouvernement britannique et les autres membres des Five Eyes se sont, à plusieurs reprises déjà, montrés sceptiques à l’égard des initiatives des entreprises d’Internet en matière de chiffrement. Les Five Eyes forment un réseau complexe qui met en relation étroite les organismes de renseignement respectifs des différents pays membres (NSA, MI5, SCRS...) pour satisfaire un intérêt commun. Cette organisation milite notamment contre la prolifération des outils et des applications de chiffrement qui permettraient aux personnes malveillantes de communiquer facilement sans que leurs échanges puissent être interceptés.
Invoquant des impératifs liés à la sécurité nationale et emboitant le pas à son partenaire australien, le gouvernement britannique a suggéré au géant des réseaux sociaux de mettre en place des portes dérobées qui permettraient à ses services de renseignement d’avoir accès, en coulisse, aux diverses plateformes de messagerie du groupe ainsi qu’au contenu des messages échangés.
Le Royaume-Uni et les États-Unis ont convenu de ne pas enquêter sur leurs citoyens respectifs dans le cadre de cet accord qui prévoit également que les États-Unis ne pourront pas utiliser les données obtenues auprès d’entreprises britanniques dans les cas où la peine de mort a été prononcée.
Facebook fait actuellement l’objet d’enquêtes de la part de nombreux États pour atteintes graves à la vie privée et violation de la confidentialité. L’annonce de cet accord entre les États-Unis et le Royaume-Uni va certainement relancer le débat sur l’efficacité du chiffrement de bout en bout lorsqu’il est mis en œuvre par de grandes entreprises d'Internet et de l’industrie technologique, en général. Elle tend également à remettre en question l’idée selon laquelle le chiffrement peut constituer une protection fiable et efficace au service de la confidentialité des données pour lutter contre la censure.
Source : The Times
Et vous ?
:fleche: Que pensez-vous de cet accord ?
Voir aussi
:fleche: La vague loi anti-chiffrement de l'Australie établit un terrible précédent mondial et représente « un risque énorme pour notre sécurité numérique »
:fleche: Les Five Eyes seraient désormais favorables à l'installation obligatoire de portes dérobées dans les services de messagerie utilisant le chiffrement
:fleche: Theresa May appelle les entreprises d'Internet à installer des portes dérobées magiques que seuls les services de sécurité pourront exploiter
:fleche: La loi anti-chiffrement d'Australie ridiculisée sur la scène mondiale par des experts internationaux en cryptographie, la loi ne serait pas productive