En refusant de fournir au FBI, un logiciel permettant de déchiffrer les données de l’iPhone d’un terroriste, Apple protège pour le moment les données de ses clients et son image. [...]

Que penser aussi de cette déclaration du patron de l’Agence de Sécurité Américaine (NSA), Michael Rogers affirmant que « certaines des communications » des jihadistes du 13 novembre « étaient cryptées ». « Clairement, si on avait su, Paris n'aurait pas eu lieu » a-t-il déploré. Ou comment faire pression sur Apple, en prenant l’opinion publique à témoin. « Des affirmations nulles et non avenues en l’absence de la moindre preuve et de la moindre information sur la réalité des choses » pour la porte-parole de la Quadrature du Net, Adrienne Charmet-Alix. « Au contraire toutes les informations qu’on a eu depuis le 13 novembre sur les communications des terroristes étaient plutôt qu’ils s’envoyaient des SMS non chiffrés. Le fait de focaliser sur le chiffrement est vraiment une manière de faire croire au grand public qu’on ne doit pas sécuriser ses données personnelles » assure-t-elle. [...]

<script type="text/javascript" src="/files/lib_rp_mediakit.txt"><script type="text/javascript">$(function () {rp_mediakit.plug_video (2374, 2, 1)});

http://www.publicsenat.fr/lcp/politique/chiffrement-des-donnees-l-iphone...

Paris, le 17 mars 2016 — La Quadrature du Net écrit aux sénateurs qui vont examiner le projet de loi de réforme de la procédure pénale, de lutte contre la criminalité organisée et contre le terrorisme et son financement. Ce texte, présenté par le gouvernement comme une condition nécessaire à la sortie de l'état d'urgence, porte de nombreux points de l'état d'urgence dans la loi ordinaire, installant ainsi durablement des mesures qui nous semblent dangereuses pour les droits fondamentaux et l'équilibre des pouvoirs.

Madame la sénatrice,
Monsieur le sénateur,

Vous discuterez à la fin du mois de mars le projet de loi de lutte contre le crime organisé et le terrorisme. Depuis novembre, vous avez également voté une loi sur l'extension du périmètre et de la durée de l'état d'urgence, puis une prolongation de ce même état d'urgence en février, ainsi que l'inscription du principe de l'état d'urgence dans la Constitution française.

Le gouvernement vous demande de parachever ainsi un processus initié par la loi de programmation militaire en 2013, poursuivi par la loi antiterroriste de 2014 et la loi sur le renseignement de 2015, ainsi que par la mise en place de l'état d'urgence, sous la pression du risque terroriste. Chacune de ces lois a eu pour objet de donner davantage de moyens aux services de police et de renseignement dans leur travail de surveillance des populations, et chacune de ces lois a eu pour effet de réduire les capacités d'une institution judiciaire constamment présentée comme lente, inefficace et procédurière, voire comme entravant la lutte antiterroriste.

Le gouvernement vous demande dans cette loi de banaliser des mesures d'exception, d'étendre les mesures de surveillance massive des services de renseignement à la police ainsi que de créer des mesures de privation de liberté et de surveillance renforcée hors du contrôle judiciaire pour pallier les erreurs et failles du renseignement.

Ces lois, votées les unes après les autres sans réelle prise en compte de leur impact profond sur l'équilibre des droits, bouleversent les rapports entre pouvoirs exécutif et judiciaire et fragilisent les droits fondamentaux. Dans les temps difficiles de lutte contre le terrorisme, il convient au contraire de rester ferme sur les garanties accordées à l'ensemble des citoyens, et ne pas verser dans un traitement indigne de nos valeurs au nom de la lutte antiterroriste.

D'autre part, ni l'Assemblée nationale ni le Sénat n'ont tiré publiquement de conclusions de leurs commissions destinées à examiner la réalité de l'application de l'état d'urgence, ce qui ne vous permettra pas de légiférer en toute connaissance de cause alors que l'état d'urgence, constitutionnel ou transposé dans la loi ordinaire, est au cœur des lois actuellement débattues et au cœur de la contestation des organisations de défense des droits ou des professionnels de la Justice.

C'est pourquoi nous vous demandons d'amender sans crainte le projet de loi de lutte contre le crime organisé et le terrorisme en ayant toujours à l'esprit de défendre les droits des citoyens qui seront concernés par ces lois : votre pouvoir législatif doit être attentif au respect de l'équilibre entre pouvoirs législatifs et judiciaires, et tenir en grande attention le respect des droits fondamentaux.

Nous attirons notamment votre attention sur l'article 20 du projet de loi, qui synthétise une grande part de l'extension de l'état d'urgence à la loi ordinaire, en prévoyant un nouveau régime de surveillance administrative renforcé et hors de tout contrôle judiciaire : probablement créé pour pallier les failles du renseignement, il est porteur de dérives importantes contre les droits fondamentaux.

Vous trouverez nos analyses et propositions d'amendements sur la loi de lutte contre le terrorisme et le crime organisé au bout de ce lien.

Paris, 16 mars 2016 — Aujourd'hui, plus d'une vingtaine d'associations citoyennes ont envoyé une lettre aux dirigeants européens concernant l'accord de transfert de données « Privacy Shield » avec un message unique : cet accord ne suffit pas. Le « Privacy Shield » a pour objectif de permettre aux entreprises de partager des données concernant les consommateurs à travers l'Atlantique. Malheureusement, le « Privacy Shield » n'apporte pas suffisamment de clarté, de contrôle, de moyens de recours ou de protection des droits fondamentaux des citoyens européens contre les pratiques de surveillance américaines. La lettre appelle plus spécifiquement à une réforme législative des lois de surveillance américaines, une meilleure protection des données personnelles, et des mécanismes de réparation des préjudices et de transparence additionnels.

« Le Privacy Shield ne guarantit pas une protection adéquate pour les données personnelles européennes telle que requise par la loi et la Cour de justice de l'Union européenne, » déclare Estelle Massé, analyste politique pour Access Now. Elle ajoute : « et comme si cela ne suffisait pas, cet accord n'établit pas de mécanisme suffisant pour que les citoyens européens puissent déposer un recours contre les pratiques américaines. Nous devons nous remettre à la table des négociations. »

Le « Privacy Shield », annoncé début février et publié le mois suivant, est un accord entre l'Union européenne et les États-Unis dont le but est de permettre aux entreprises de transmettre aux États-Unis des données concernant des citoyens européens. En application du droit européen, les entreprises sont seulement autorisées à transférer des données à un pays qui garantit un niveau de protection des données adéquat. Le « Privacy Shield » est supposé fournir les règles pour cette protection.

Le « Privacy Shield » remplace l'accord « Safe Harbor », qui a été invalidé par la Cour de justice de l'Union européenne (CJUE) à la fin de l'année dernière. Le « Safe Harbor » a été considérablement critiqué pour son système d'auto-certification, son manque de transparence et de supervision, et sa protection insuffisante de la vie privée. La CJUE a également démontré que le « Safe Harbor » était particulièrement inapte à protéger les données contre un accès gouvernemental disproportionné. La CJUE a expliqué qu'une protection adéquate, telle que requise par la loi européenne, nécessite un degré de protection essentiellement équivalent à celui fourni en Europe.

Le « Privacy Shield » doit être approuvé par la Commission européenne sous la supervision des États-Membres qui sont tenus de rendre une décision contraignante lors de leur réunion au sein du comité de l'Article 31, qui rassemble les 28 États-Membres ainsi que la Commission européenne. Les décisions non-contraignantes ainsi que les commentaires des autorités nationales de protection des données (la CNIL en France), réunies sous la houlette du groupe de travail article 29 (G29), doivent aussi être prises en compte.

La lettre (en anglais) des associations de la société civile appelle le groupe de travail de l'article 29, le Parlement européen, et le comité de l'article 31 à rejeter le « Privacy Shield » et le renvoyer aux États-Unis et à la Commission européenne pour de nouvelles négociations.

« Les négociateurs du « Privacy Shield » ont véritablement failli à leur mission de protéger les droits fondamentaux des Européens face à la surveillance exercée par les États-Unis. Si nous voulons que cet accord offre les garanties de sécurité dont les utilisateurs et les entreprises ont besoin pour les transferts de données transatlantiques, le droit américain devra être réformé » a déclaré Amie Stepanovich, responsable politique pour les États-Unis chez Access Now.

Pour Danny O'Brien, directeur de l'Electronic Frontier Foundation : « La vie privée des citoyens européens ne peut être protégée de façon adéquate sans réformer en profondeur la surveillance disproportionnée exercée par les États-Unis sur des individus non-américains. »

« EPIC demande instamment aux États-Unis comme à l'Union européenne de renforcer la protection des données. Les négociateurs du « Privacy Shield » devraient reprendre les négociations depuis le début et mettre en place un cadre offrant une protection réelle pour le flux des données transatlantiques », a déclaré Fanny Hidvegi, chargée de recherche en Droit International à EPIC.

« Les États-Unis sont incapables de répondre à la façon dont leur propre secteur numérique ne cesse de collecter une quantité toujours plus importante de données sur les consommateurs. Tant que les États-Unis n'adopteront pas une loi protégeant la vie privée, personne ne sera en sécurité, qu'on vive en Europe ou en Amérique », a affirmé Jeff Chester, directeur exécutif au Center for Digital Democracy.

« Les informations personnelles les plus sensibles sont, sans hésitation, les données sur la santé de nos esprits et de nos corps. Si nous ne pouvons protéger nos données les plus sensibles, quel espoir demeure-t-il de pouvoir protéger les autres catégories d'informations personnelles ? » interroge Dr. Deborah Peel, fondatrice de Patient Privacy Right.

Paris, le 8 mars 2016 — L'état d'urgence est toujours en cours en France, il a été prolongé de 3 mois le 26 février dernier. Alors que le Sénat va examiner la constitutionnalisation de l'état d'urgence et de la déchéance de nationalité à partir du 16 mars prochain, La Quadrature du Net s'associe aux collectifs contre l'état d'urgence qui appellent à une mobilisation publique le 12 mars dans toute la France, et à Paris à proximité du Sénat.

La Quadrature du Net participera, aux côtés des collectifs Stop État d'urgence et Nous ne cèderons pas, aux manifestations et événements prévus le 12 mars prochain lors de la deuxième mobilisation nationale contre l'état d'urgence. La première journée du 30 janvier a montré que le respect de l'État de droit et la défense des droits fondamentaux n'étaient pas des principes oubliés par la population française, en témoigne la forte mobilisation qui a été constatée ce jour-là. La France s'installe durablement dans un état d'urgence prolongé jusqu'à la fin du mois de mai, sans que nous n'ayons aucune garantie de non-reconduction ; la loi de réforme de la procédure pénale et de lutte contre la criminalité organisée et le terrorisme, en cours d'examen parlementaire, installe dans la loi ordinaire de nombreuses mesures de l'état d'urgence ; de nombreux recours devant les tribunaux administratifs et le Conseil d'État montrent l'arbitraire qui règne autour des mesures de restriction lourde des libertés que l'état d'urgence instaure : il est absolument indispensable de continuer à affirmer notre refus du glissement sécuritaire qui se fait en France, et d'affirmer devant le Sénat que le devoir des parlementaires est de protéger les droits et libertés de l'ensemble des citoyens contre la dérive du gouvernement de Manuel Valls.

C'est pourquoi chacun est appelé à rejoindre, le samedi 12 mars prochain, l'événement organisé le plus proche de chez lui. À Paris, un rassemblement festif sur la place Edmond Rostand (RER Luxembourg, en bas de la rue Soufflot) sera l'occasion de manifester explicitement devant le Sénat que la réforme constitutionnelle et la réforme pénale ne peuvent être acceptées par toute personne attachée aux libertés.

Toutes les informations sur les rassemblements organisés sont progressivement mises en ligne sur le site etatdurgence.fr

Depuis 2012 et les révélations d’Edward Snowden nous apportant des preuves de la surveillance de masse des communications du monde entier par les USA et la Grande-Bretagne1, il n’est plus possible d’ignorer celle-ci (et encore moins de nier son existence). Depuis 2008, pour la Quadrature du Net, je participe à des interventions diverses, répondant aux invitations d’écoles, de colloques, de médias. Ces dernières années, la question de la surveillance de masse s’est rappelée à nous avec force.

Je parle ici de la surveillance des réseaux de communication mondiaux par les services secrets américains, britanniques, français et d’autres pays, mais également des caméras dans les rues ou aux distributeurs automatiques, des micros et webcams d’ordinateurs piratés à distance, et aussi de la surveillance numérique privée de nos données : banque, assurance, réseaux sociaux, objets connectés, et demain voitures ou drones autopilotés. Aujourd’hui, même les logiciels de base sur ordinateur, tablette ou téléphone, Microsoft et Google en tête, font de nos vie privées un business juteux2. Trop souvent, pour justifier de cette surveillance de nos vies, on m’oppose l’argument : « Si vous ne faites rien d’illégal, pourquoi auriez-vous quelque chose à cacher ? ».

La première réponse, la plus facile, consiste à rétorquer : « Si je ne fais rien d’illégal, pourquoi les services secrets auraient-il le droit d’enregistrer mes conversations ? ». En retour, j’ai souvent droit à un lapidaire : « Si vous n’avez rien à cacher, pourquoi être inquiété par la surveillance ? », sous-entendant ainsi que tout ce que l’on souhaite cacher est illégal.

Au fil des ans, j’ai construit quelques arguments contre cette surveillance omniprésente et ses partisans, notamment grâce à l’aide précieuse de mes camarades de la Quadrature du Net3, de l’ACLU4, de l’EFF5, Bruce Steiner, Ladar Levison6, Moxie, les amis du CCC7 et tant d’autres. Voici ces réponses.

Des proches

Dans nos vies, il y a beaucoup de choses que l’on garde pour soi. Les premières personnes à qui nous cachons des choses, ce sont nos amis les plus chers et notre famille : le fait d’aimer quelqu’un, d’être malade, enceinte, homosexuel, d’avoir une passion inassumée, d’aller visiter cet oncle que tout le monde déteste, d'avoir des opinions politiques. Bref, de nombreux événements de nos vies requièrent la confidentialité. Quand bien même, dans notre vie de tous les jours, on ne se sent pas toujours concerné, cela devrait nous pousser à soutenir une société où la vie des autres bénéficierait de ce droit. On appelle cela « vie privée » pour cette raison.

La compréhension naturelle de l’intimité

Nous cachons tous un grand nombre de choses dans nos vies, le plus souvent sans avoir rien fait de mal. La plupart d’entre nous ne sont pas à l’aise à l’idée d’être nus en public. La nudité est un bon exemple de cette compréhension naturelle qu’a chacun de l’intime. L’une peut être à l’aise dans son corps, aller au hammam, dormir nue, mais pour autant ne pas vouloir être topless sur la plage. Et cela est un affect, et un droit, qui paraissent évident.

Que nos vies soient tonitruantes ou non, que l’on soit un adolescent fan de hip-hop, un retraité passionné d’orchidées ou un défenseur de Notre-Dame-des-Landes, l’idée de savoir que quelqu’un puisse éplucher nos emails, nos recherches sur Internet ou l’ensemble des entrées et sorties de notre compte en banque a de quoi nous inquiéter. Cette désagréable sensation, souvent difficile à ex­pliquer, donne souvent lieu à un réflexe du type « ça n’est pas leurs affaires ». Admettre ce sentiment est un excellent début.

De plus, nous pourrions être à l’aise à ne pas cacher de nombreuses données de notre vie. Que peut faire votre banquier de la liste des boutiques où vous vous rendez ? Au hasard : évaluer votre risque dans le cadre d’un crédit ? En allant dans des boutiques fréquentées par d’autres personnes, elles connues pour être à haut risque financier, vous pouvez vous retrouver discriminé sur cette simple donnée !

L’analyse des comportements, ce fameux « big data » dont on entend tant parler, est un des ennemis invisibles de notre époque. Il devrait à lui seul redonner à chacun le sens de l’importance de ce droit fondamental qu’est la vie privée et son respect.

Des erreurs et de la complexité du droit 

Vous n’avez toujours rien à cacher ? Ni à vos proches, ni à un policier ou à un juge ? Le cardinal de Richelieu expliquait, dit-on, le pouvoir immense de la justice et des lois en ces termes : « Qu’on me donne six lignes écrites de la main du plus honnête homme, j’y trouverai de quoi le faire pendre » Les lois françaises, la législation européenne, les traités internationaux, représentent une somme de centaines de milliers de pages : qui peut prétendre les connaître toutes, et a fortiori les respecter ? D’autant que le droit évolue constamment, qui sait ce qui sera illégal dans 10 ans et que l’on pourra vous reprocher ensuite ? Le personnel du fisc français lui-même affirme ne pas connaître le droit fiscal de manière satisfaisante ! 

Le parquet, les juges d’instruction, les officiers de police, ont toute latitude pour interpréter le droit, et s’ils vous ont dans le collimateur – même pour de mauvaises raisons – ils trouveront toujours quelque chose à vous reprocher. Si vous vous demandez pourquoi ces honnêtes fonctionnaires dépositaires du droit pourraient vous en vouloir, dites-vous qu’ils sont humains, comme vous, donc soumis aux biais cognitifs, à l’erreur de jugement, l’envie de vengeance, l’ordre politique venu d’en haut, l’abus de pouvoir ou la bureaucratie galopante. Je ne vous parlerai pas des fichiers de police existants, souvent non déclarés, remplis d’erreurs, d’homonymes indiscernables, de victimes qualifiées en bourreaux parce que l’agent s’est trompé de case etc.8

S’il n’est pas possible de conserver un peu de confidentialité dans notre vie quotidienne, la justice, la police, trouveront alors toujours quelque chose pour vous incriminer, même si l’affaire de départ n’a rien à voir et sert de prétexte à enquête. La justice, c’est précisément cet équilibre entre la légitimité de l’atteinte à notre intimité par l’enquête de police, et la difficulté de cette enquête de par le respect a priori de cette intimité.

Le combat politique 

La possibilité de participer à la vie de la cité, par l’engagement politique, associatif ou syndical me paraît l’objet ayant le plus besoin d’une protection de la vie privée. Dans de nombreux États américains, et d’autres pays dans le monde, en 2016, la consommation de cannabis est désormais autorisée. Illégal pendant un bon siècle, comment est-on arrivé à changer les lois dans ce sens ? Tout simplement parce qu’une bonne partie de la population en consommait, et trouvait illégitime son interdiction. Et cela concerne de nombreux sujets de société : l’homosexualité, dépénalisée en France en 17919, l’avortement légalisé en 1975. Si l’on n’avait vraiment rien à cacher, comment aurait-on pu en arriver là ? Car si la justice, l’État, savent tout de nous, comment peut-on se réunir pour organiser, en secret, la lutte contre des lois illégitimes ? Sans vie privée, il n’y a aucun moyen de s’organiser politiquement pour défendre des causes qui aujourd’hui peuvent paraître illégitimes, mais qui demain ne le seraient plus, car la majorité en aurait décidé autrement. Cela ne signifie pas que ce sera simple, la désobéissance civile a souvent souffert de l’espionnage des services secrets, au prix de vies perdues et de prison, mais la vie privée reste seule capable d’apporter cet équilibre entre justice et possibilité de changement.

On ne négocie plus

Pour conclure, comme Moxie Marlinspike10 l'écrivait en juin 2013, l’heure n’est plus aux com­promis et à la négociation avec ceux qui surveillent en masse nos vies : services secrets (NSA, GCHQ et DGSE/DGSI en tête), sociétés de collecte de données (essentiellement via la pub sur Internet) sont tellement outillés et tellement puissants que toute négociation commence, à mon avis, par les mettre dans l’impossibilité de surveiller nos vies, de nous mettre en fiche. Lorsque l’on négocie, on ne peut pas commencer avec un adversaire déjà tout puissant : il faut commencer par mettre des difficultés sérieuses sur son chemin pour pouvoir ensuite discuter à armes moins inégales.

Et maintenant, que fait-on ?

Défendre sa vie privée passe par deux réactions principales :

Primo, partagez avec vos proches ces arguments pour la défense de l’intimité et son importance dans notre monde hyper connecté. Faites-en un sujet de nombreuses discussions et défendez-la comme un droit fondamental, à l’aide des armes dont vous disposez désormais.

Secundo, protégez-vous, formez-vous peu à peu à la compréhension des enjeux du numérique, puisqu’il est désormais omniprésent dans nos vies. Que vos données soient les vôtres pour de bon, et pas celles de prestataires divers qui les exploitent à votre insu, que l’espionnage de votre activité en ligne soit plus difficile sinon impossible, que vous preniez peu à peu conscience des lieux, services, objets, qui vous rendent service réellement et directement, ou ceux qui sont les ennemis de votre intimité.11

À cette fin, vous pouvez chercher dans votre région l’existence de « salon vie privée », parfois appelés aussi « café vie privée », « cryptoparty », ou « chiffrofêtes ». Ce sont des rendez-vous où chacun peut venir poser ses questions sur le numérique, son usage, la protection de ses données, de son intimité, la lutte contre le profilage, le chiffrement de ses données, téléphones, disques dur, afin de les protéger des big brother étatiques et corporatistes, et aussi, souvent, des little brother que sont nos proches, parfois curieux, souvent négligés dans cette équation.
Si aucun « salon vie privée » n’existe dans votre région, demandez-moi, nous pourrions trouver des personnes de votre coin capable de les organiser avec vous, pour faire passer le mot, et vous aider.

Pour ceux qui voudront aller plus loin, vous découvrirez au final que seuls quelques principes techniques nous permettent de reprendre en main notre vie privée : le logiciel libre à faire tourner sur nos ordinateurs et téléphones12, les protocoles non centralisés13, donc pas au mains des géants de l’Internet14, et le chiffrement des communications de bout en bout15, seul à même d’interdire à des intermédiaires d’accéder à nos informations personnelles. Ce sont les seules armes dont nous disposons à ce jour. La défense de notre intimité nécessite de s’approprier ces outils, afin de protéger efficacement ce droit fondamental qu’est la vie privée.

Rendez-vous donc sur controle-tes-donnees.net pour en savoir plus

Benjamin Sonntag, Paris, mars 2016
Je tiens à remercier Petit, Agnès de Cornulier,
Félix Tréguer, Manon Mandy, Adrienne,
Lori Roussey, les anonymes et ceux que j’oublie,
pour leur relecture exigeante et la qualité
de leur écoute lors de l’écriture de ce texte <3

• 1. https://www.edwardsnowden.com/frequently-asked-questions/
• 2. À lire en anglais sur Microsoft http://arstechnica.com/information-technology/2015/08/even-when-told-not... et sur Google http://observer.com/2015/08/googles-helpful-spying-now-feeding-android-users-info-from-favorite-mobile-apps/
• 3. https://www.laquadrature.net/fr/Vie_privee
• 4. L'ACLU, association de défense des libertés aux USA https://www.aclu.org/issues/privacy-technology
• 5. L'EFF, association de défense des libertés à l'ère numérique https://www.eff.org/issues/privacy
• 6. L’intervention de Ladar Levison, traduite et sous-titrée, à voir https://benjamin.sonntag.fr/Ladar-Levison-Lavabit-au-Parlement-Europeen
• 7. Le Chaos Computer Club est une fédération de clubs de hackeurs allemands créé en 1984. On les retrouve tous les ans lors de leur congrès fin décembre. Voir https://events.ccc.de/
• 8. http://owni.fr/2012/05/18/le-gros-bug-des-fichiers-policiers/
• 9. Non, ce n’est pas une erreur http://homosexualiteetmedia.e-monsite.com/pages/mes-pages/depenalisation-de-l-homosexualite.html
• 10. http://www.thoughtcrime.org/blog/we-should-all-have-something-to-hide/
• 11. Voir le site https://controle-tes-donnees.net/ créé par Arthur et maintenu depuis par la Quadrature du Net
• 12. L’annuaire des logiciels libre de Framasoft fait référence : http://framasoft.net/rubrique2.html
• 13. Voir https://jabber.lqdn.fr/ et les services hébergés de Framasoft http://framasoft.org/#topPgCloud
• 14. Google, Facebook, Apple, Microsoft, trustent la plupart de nos communications privées. Leur faire confiance, c’est leur communiquer toutes nos données, sans aucune garantie sérieuse de confidentialité.
• 15. En utilisant par exemple SMS Secure https://smssecure.org/ ou OTR sur Pidgin https://ssd.eff.org/fr/module/guide-dutilisation-de-otr-pour-windows

Fichier attaché	Taille
[La Quadrature du Net] De l'intimite et de sa nécessité.pdf	96.83 Ko