Sans aller jusqu'à opposer un « non » ferme et définitif, la Cnil s'est montrée très hostile, vendredi, à toute idée de donner à l'État le pouvoir d'accéder aux données chiffrées des citoyens grâce à des backdoors ou à un double des clés de chiffrement.

À l’occasion de la présentation de son rapport d’activité 2016, la Cnil a résumé vendredi sa position concernant l’arbitrage à effectuer entre le chiffrement et la sécurité publique. Rappelant que « le chiffrement est un élément vital de notre sécurité », et qu’il est nécessaire à la protection des données personnelles garantie par la Charte des droits fondamentaux de l’Union européenne, l’autorité administrative met en garde contre la tentation d’imposer des backdoors qui assureraient à l’État d’avoir toujours une voie d’accès en clair aux données chiffrées.

« Il est primordial de protéger les personnes et leur vie privée afin de garantir leurs droits fondamentaux », explique la Cnil. Si elle ne va pas jusqu’à énoncer l’existence d’un véritable « droit au chiffrement » en tant que tel, l’autorité dessine tout de même des contours qui en font un droit par nécessité. « Protéger les données personnelles dans l’univers numérique, à l’aide notamment du chiffrement, c’est aussi protéger un droit fondamental et, au-delà, l’exercice des libertés individuelles dans cet univers », explique-t-elle.

Pas de « non » ferme et définitif

On ne peut pas être vraiment libre si l’on se sait surveillé — y compris s’il s’agit de réaliser des actes légaux mais immoraux aux yeux de certains, et donc le chiffrement est par exemple une nécessité pour la personne qui souhaite jouir de son droit fondamental de communiquer avec un tiers.

Or, toute exigence d’un backdoor créerait nécessairement une fragilité pour le chiffrement, et donc induirait un risque pour l’exercice des libertés. C’est ce que rappelle la Cnil qui, sans aller jusqu’à opposer un « non » très ferme aux backdoors, note qu’ils affaibliraient le niveau de sécurité pour tout le monde, seraient peu robustes, et faciles à contourner dans un univers numérique mondialisé.

Évoquant en creux la question des iPhone et des téléphones Android chiffrés localement, l’autorité estime que « les solutions de chiffrement robustes, sous la maîtrise complète de l’utilisateur, contribuent à l’équilibre et à la sécurité de l’écosystème numérique ».

Quant aux pouvoirs publics, « il existe déjà de nombreuses voies permettant aux autorités d’accéder et d’analyser les contenus intéressant l’enquête ou utiles à la manifestation de la vérité ». Et la Cnil d’en faire un résumé implacable :

En outre, le droit pénal contient des incitations concernant la remise des clés de déchiffrement, s’agissant des personnes mises en cause ou des tiers tels que les prestataires de services de cryptographie s’ils ont connaissance de la convention secrète de déchiffrement.

En effet, le droit permet d’exiger de toute personne la communication de toute donnée, informatique ou non, quel que soit son support (logiciel, fichier, traitement, cloud, etc.). Il en est de même pour la fourniture des clés de déchiffrement ou des informations déchiffrées aux autorités judiciaires, par les personnes concernées ou par des tiers, et des peines renforcées sont prévues pour les personnes refusant de les remettre.

Toutefois ces dispositions ne peuvent pas conduire à obliger les personnes mises en cause à fournir les informations utiles à l’enquête. En effet, le droit de ne pas s’auto-incriminer est un droit fondamental qui trouve son origine dans la Convention européenne des droits de l’homme et dans la jurisprudence de la Cour européenne.