Grace aux procédures engagées par La Quadrature du Net, FFDN, Igwan et FDN, la Cour de justice de l’Union européenne doit évaluer la validité du régime de surveillance français. Il nous reste encore une semaine pour lui envoyer nos arguments : aidez-nous à finaliser notre dossier !

Le 26 juillet dernier, après trois ans de procédure (en lire notre résumé), le Conseil d’État avait enfin accepté de poser à la Cour de justice de l’Union européenne cinq questions susceptibles de remettre en cause la compatibilité du droit français au droit de l’Union. Ces questions concernent deux pans majeurs de la surveillance française :

• les activités de renseignement réalisées par l’État (voir la décision du Conseil d’État, qui pose trois questions à ce sujet) ;
• l’obligation pour les acteurs de l’Internet de conserver pendant un an les données de connexion concernant l’ensemble de la population (voir la seconde décision du Conseil d’État, qui pose deux questions).

Le 26 septembre dernier, la Cour de justice nous a indiqué qu’elle répondrait à l’ensemble de ces questions au sein d’une même procédure, nous laissant jusqu’au 6 décembre pour présenter nos arguments sur la façon dont elle devrait y répondre. Nous avons rédigé ces arguments au cours des deux derniers mois et nous vous invitons aujourd’hui à y participer à votre tour, avant de les envoyer la semaine prochaine. Nous avons divisé notre dossier en deux parties :

• La Quadrature du Net attaque la loi renseignement dans un document « loi renseignement » (PDF, 20 pages) ;
• FFDN et Igwan attaquent la conservation généralisée des données de connexion dans un document « conservation généralisée » (PDF, 16 pages).

Chaque paragraphe de ces documents est numéroté : si une phrase vous semble peu claire ou pas assez incisive, ou qu’un mot est mal orthographié, indiquez le numéro du paragraphe que vous souhaitez modifier sur ce document collaboratif en ligne, prévu à cet effet. Vous pouvez aussi nous faire vos retours par email à contact@laquadrature.net (même si c’est plus sympa de travailler à plusieurs !).

Vous nous aviez déjà grandement aidé à finaliser notre dossier contre la loi renseignement devant le Conseil constitutionnel il y a trois ans, notre procédure contre le fichier TES il y a deux ans, ainsi que nos plaintes contre les GAFAM en mai dernier. Donc merci encore pour l’aide que vous apporterez aujourd’hui ! Nous reviendrons la semaine prochaine plus en détail sur les arguments que nous aurons envoyés.

Merci !

Contribuez ici

La Quadrature a donné jeudi 15 novembre le coup d’envoi à sa campagne annuelle de collecte de dons. L’association entend revenir à une organisation plus horizontale et entame « un nouveau chapitre » pour marquer les dix ans de son existence.

La Quadrature du net a 10 ans et entend bien poursuivre sur sa lancée. L’association donnait jeudi dernier le coup d’envoi de sa collecte de dons annuels à la maison du libre et des communs, située à Strasbourg Saint-Denis, et en profitait pour faire le point sur l’évolution de l’association de défense des libertés numériques qui avait émergé à l’époque des combats autour de la loi Hadopi. Depuis ces premiers pas remarqués, la Quadrature s’est illustrée à travers de nombreux combats sur des sujets variés touchant aux libertés à l’heure du numérique et à la protection des données personnelles. […]

« L’assemblée générale a été l’occasion de revoir notre organisation et d’adopter une structure plus horizontale et moins hiérarchique » explique Arthur Messaud, membre de la Quadrature, qui se défend d’être porte-parole de l’association, mais qui a tout de même accepté de répondre à nos questions. Si jusqu’alors, l’organisation avait choisi de réserver certains postes spécifiques à ses membres, les sujets abordés par la Quadrature sont aujourd’hui plus vastes et l’association espère que cette nouvelle organisation lui permettra d’être plus en phase avec ces sujets. […]

https://www.zdnet.fr/actualites/10-ans-au-compteur-mais-la-quadrature-a-toujours-besoin-de-vos-dons-39876641.htm

Il y a deux semaines, nous faisions le point sur le projet de règlement européen de censure antiterroriste. Pour rappel, ce texte imposera à l’ensemble des acteurs de l’Internet des obligations de censure irréalistes : retrait en une heure des contenus signalés par la police, surveillance de tous les contenus conduisant à une censure automatisée…

Aujourd’hui, nous revenons sur un autre danger de ce texte : en visant non seulement les contenus diffusés au public, mais également ceux échangés dans un cadre privé (comme les mails et les messageries instantanées), ce texte risque de mettre fin à la possibilité de protéger nos échanges par le chiffrement de bout en bout.

Une lecture attentive des dispositions du règlement révèle en effet que ce dernier ne se limite pas aux contenus diffusés au public.

L’article 2 précise que les acteurs soumis aux obligations de censure sont les « fournisseur de services de la société de l’information qui consistent à stocker des informations fournies par le fournisseur de contenus à la demande de celui-ci et à mettre ces informations à la disposition de tiers ». Le considérant 10 du même texte donne comme exemple, outre les réseaux sociaux, « les services de partage de fichiers vidéo, audio et images, les services de partage de fichiers et autres services en nuage, dans la mesure où ils mettent ces informations à la disposition de tiers […] ».

Cette notion de « mise à disposition de tiers » est bien différente de la notion plus habituelle de « mise à disposition du public » qui apparait, par exemple, dans la LCEN de 2004 où les hébergeurs sont définis comme ceux « qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature » (article 6, 2). Les contenus hébergés sur les « services en nuage » (qu’on comprend renvoyer à des services comme Nextcloud ou Dropbox) ne sont généralement pas « mis à disposition du public » mais uniquement accessibles par un nombre restreint d’utilisateurs. Le nouveau règlement européen les vise pourtant.

Or, si le texte du règlement ne se limite pas aux contenus diffusés au public, mais englobe ceux qui sont transmis à tout tiers, cela signifie qu’il peut s’appliquer à des services de courriers électroniques, comme les mails et les messageries instantanées (Whatsapp, Signal, Telegram…). Ces derniers, au moins jusqu’à la consultation du message, stockent en effet un contenu fourni par un utilisateur afin de le mettre à disposition d’un ou plusieurs tiers¹Voir par exemple les conditions d’utilisation de Signal, qui indiquent bien conserver les messages le temps de leur réception.<script type="text/javascript"> jQuery("#footnote_plugin_tooltip_1").tooltip({ tip: "#footnote_plugin_tooltip_text_1", tipClass: "footnote_tooltip", effect: "fade", fadeOutSpeed: 100, predelay: 400, position: "top right", relative: true, offset: [10, 10] });.

Ils seront alors, comme les autres acteurs de l’Internet (forums, réseaux sociaux, blogs…), soumis aux obligations de retrait et de censure automatisée prévues par le règlement.

Des obligations incompatibles avec le chiffrement de bout en bout

Pourtant, certains de ces services protègent nos échanges privés grâce à des technologies de chiffrement de bout en bout, c’est-à-dire des systèmes de communications « où seules les personnes qui communiquent peuvent lire les messages échangés », l’objectif étant de « résister à toute tentative de surveillance ou de falsification ».

Comme nous l’expliquions dans nos positions communes avec l’Observatoire de Libertés et du Numérique (OLN), cette capacité de chiffrement « est une condition indispensable à la préservation des droits et libertés fondamentales, et l’un des derniers remparts, individuels et collectifs, aux intrusions arbitraires et illégales de nombreux acteurs, étatiques, privés, ou criminels ».

Comment alors les services de messageries et de mails qui prévoient ce type de protection (Signal, ProtonMail…) pourront respecter les obligations de surveillance et de censure prévues dans le texte si l’ensemble des messages stockés sont chiffrés et leur sont donc indisponibles ?

Le silence du règlement laisse entrevoir le pire : le chiffrement de bout en bout, c’est-à-dire la protection de nos échanges privés, serait contraire aux obligations prévues par ce texte et ne pourrait donc que disparaitre.

En effet, il est difficile d’imaginer comment ces services, comme tous les autres acteurs de l’Internet, pourront survivre à ces nouvelles obligations : il est peu probable qu’ils acceptent d’abandonner ce chiffrement de bout en bout et de sous-traiter la surveillance de leurs services à un géant du Web – ce qui est la solution que le gouvernement français semble espérer déjà au moins en matière d’hébergement de contenus publics.

Quant à Facebook lui-même, il est étonnant qu’il ait laissé passer ce texte sans voir ni comprendre le danger qu’il pourrait comporter pour son service de messagerie Whatsapp, lui aussi protégé par le chiffrement. La pire des situations serait que Facebook soit en train de renoncer à cette technologie pour s’allier, avec les gouvernements, à la surveillance de l’ensemble de nos échanges, qu’ils soient privés et publics. Il y a quelques semaines, Mark Zuckerberg expliquait d’ailleurs que le chiffrement compliquait l’automatisation de la censure.

Par ce texte, le gouvernement pourrait trouver une manière détournée de gagner un combat qu’il mène depuis longtemps et qui le frustre particulièrement : celui de la lutte contre le chiffrement de nos conversations.

Le règlement, en cours d’examen devant le Parlement européen, remettrait ainsi en cause un droit pourtant essentiel pour garantir nos libertés fondamentales face aux possibilités d’arbitraire de l’État et de la surveillance généralisée d’acteurs privés.

De nouveau, nous en demandons le rejet.

Rappelons que les délais pour agir sont extrêmement brefs : les gouvernements européens (en tête, la France) veulent faire adopter le texte le plus rapidement possible, au détriment de tout débat démocratique. Le Conseil de l’Union européenne se réunit ainsi à Bruxelles dès les 6 et 7 décembre en vue de parvenir à une position commune.

<script type="text/javascript"> function footnote_expand_reference_container() { jQuery("#footnote_references_container").show(); jQuery("#footnote_reference_container_collapse_button").text("-"); } function footnote_collapse_reference_container() { jQuery("#footnote_references_container").hide(); jQuery("#footnote_reference_container_collapse_button").text("+"); } function footnote_expand_collapse_reference_container() { if (jQuery("#footnote_references_container").is(":hidden")) { footnote_expand_reference_container(); } else { footnote_collapse_reference_container(); } } function footnote_moveToAnchor(p_str_TargetID) { footnote_expand_reference_container(); var l_obj_Target = jQuery("#" + p_str_TargetID); if(l_obj_Target.length) { jQuery('html, body').animate({ scrollTop: l_obj_Target.offset().top - window.innerHeight/2 }, 1000); } }

Suivez en direct Le débat sur le statut des hébergeurs, à la Paillasse, Paris

<script src="https://radio.octopuce.fr/player1/hls.min.js">

<script> if(Hls.isSupported()) { var video = document.getElementById('video'); var hls = new Hls(); hls.loadSource('https://radio.octopuce.fr/ts1/stream.m3u8'); hls.attachMedia(video); hls.on(Hls.Events.MANIFEST_PARSED,function() { video.play(); }); }

Si vous n’avez pas de navigateur compatible HTML5, vous pouvez aussi voir directement le flux live en faisant pointer votre player habituel (tel VLC ou MPlayer) à l’adresse suivante :

https://radio.octopuce.fr/ts1/stream.m3u8

<style type="text/css"> video, img {
width: 95%  !important;
height: auto  !important;
}