Difference between revisions of "Directive Terrorisme"

From La Quadrature du Net
Jump to navigationJump to search
Line 76: Line 76:
  
 
Or le fait de donner aux pouvoirs publics un accès aux appareils et aux données chiffrés pose de tels problèmes de sécurité en affaiblissant considérablement le système de chiffrement que les spécialistes de la cryptologie sont extrêmement opposés à la création de portes dérobées dans les systèmes de chiffrement. Très récemment, dans une [https://www.contexte.com/documents/7844/declaration-commune-enisaeuropol.html déclaration jointe], l'[https://www.enisa.europa.eu/ ENISA]<ref>European Union Agency for Network & Information Security (ENISA)</ref> et [https://www.europol.europa.eu/content/page/about-us Europol]<ref>European Union’s law enforcement agency</ref> prennent clairement position contre les portes dérobées qui affaibliront de manière intrinsèque la protection contre les criminels.
 
Or le fait de donner aux pouvoirs publics un accès aux appareils et aux données chiffrés pose de tels problèmes de sécurité en affaiblissant considérablement le système de chiffrement que les spécialistes de la cryptologie sont extrêmement opposés à la création de portes dérobées dans les systèmes de chiffrement. Très récemment, dans une [https://www.contexte.com/documents/7844/declaration-commune-enisaeuropol.html déclaration jointe], l'[https://www.enisa.europa.eu/ ENISA]<ref>European Union Agency for Network & Information Security (ENISA)</ref> et [https://www.europol.europa.eu/content/page/about-us Europol]<ref>European Union’s law enforcement agency</ref> prennent clairement position contre les portes dérobées qui affaibliront de manière intrinsèque la protection contre les criminels.
 +
 +
La tendance de certains États est de contourner le problème du chiffrement par des moyens législatifs dissuasifs. En France, le code pénal et le code de procédure pénale permettent notamment&nbsp;:
 +
* d'[ https://www.legifrance.gouv.fr/affichCodeArticle.do;jsessionid=04DF7D11D043AC512BCC01162358C0A9.tpdila17v_2?idArticle=LEGIARTI000006417506&cidTexte=LEGITEXT000006070719&dateTexte=20160408 augmenter drastiquement les peines] en cas d'infraction commise à l'aide d'un outil de chiffrement&nbsp;
 +
* d'autoriser la police de [https://www.legifrance.gouv.fr/affichCodeArticle.do;jsessionid=E4BB800F88C1BED38D3671DCDDB8AC66.tpdila17v_2?idArticle=LEGIARTI000029759857&cidTexte=LEGITEXT000006071154&dateTexte=20160523 requérir] de toute personne ayant «&nbsp;<em>connaissance des mesures appliquées pour protéger les  données</em>&nbsp;» les informations permettant d'accéder aux données&nbsp;
 +
* de [https://www.legifrance.gouv.fr/affichCode.do;jsessionid=262E8D67622A3F88D894B461AE3EEE97.tpdila18v_3?idSectionTA=LEGISCTA000023712010&cidTexte=LEGITEXT000006071154&dateTexte=20160523 désigner lors d'une enquête ou d'une instruction] «&nbsp;<em>toute personne physique ou morale qualifiée, en vue d'effectuer les opérations techniques permettant d'obtenir l'accès à ces informations, leur version en clair ainsi que, dans le cas où un moyen de cryptologie a été utilisé, la convention secrète de déchiffrement, si cela apparaît nécessaire</em>&nbsp»&nbsp;;
 +
* de punir de trois ans d'emprisonnement
  
 
===Pouvoir d'investigation de la police=== <!--T:19-->
 
===Pouvoir d'investigation de la police=== <!--T:19-->

Revision as of 09:03, 23 May 2016


Ambox warning red construction.png
⚠ Travail en cours

Cette page présente un contenu en cours de réalisation.

Si vous souhaitez participer, n'hésitez pas à laisser votre avis sur la page de discussion en suivant au mieux ces recommandations.


Other languages:
English • ‎français

Voir le dossier législatif sur le site du Parlement européen.

Introduction

La directive relative à la lutte contre le terrorisme a été proposée par la Commission européenne en réponse aux attentats qui ont eu lieu en Europe en 2015 et 2016 et notamment aux attentats de Paris du 13 novembre 2015. Cette directive a vocation à remplacer la décision-cadre du 13 juin 2002 relative à la lutte contre le terrorisme. Cependant le projet de directive ne présente pas de grandes nouveautés hormis la pénalisation de voyages dans des théâtres d'opération terroristes et l'apologie du terrorisme.

Outre la définition des infractions terroristes, le projet comporte un certain nombre de mesures, et notamment les activités terroristes qui pourront être considérées comme des infractions pénales.

  • L'incitation au terrorisme et, « lorsqu’elle est commise de manière intentionnelle, la diffusion ou toute autre forme de mise à la disposition du public d’un message, avec l’intention d’inciter à la commission » d'actes terroristes (article 5). Or cette disposition s'avère extrêmement floue et le critère d'intention ne permet pas de protéger suffisamment toute personne qui, pour des raisons d'information ou de liberté, diffuserait des messages considérés comme incitant à la commission d'actes terroristes.
  • Les voyages à l'étranger à des fins de terrorisme, « lorsqu’il est commis de manière intentionnelle, le fait de se rendre dans un autre pays afin de commettre une infraction terroriste ». De nouveau, cette nouvelle infraction est extrêmement large et floue.

Ce projet de directive devra être voté en commission LIBE du Parlement européen le 30 mai 2016, et ensuite en séance plénière[1].

Rapport Hohlmeier

La rapporteure, Monika Hohlmeier (PPE[2], Allemagne) a présenté le 9 mars son rapport comportant de nombreux amendements, dont certains sont très clairement orientés vers la censure sur Internet.

Censure et blocage de sites

Monika Hohlmeier propose plusieurs amendements visant à augmenter la répression et la censure sur Internet, en se focalisant sur l'utilisation d'Internet par les « fanatiques du monde entier » [Amendement 3] et la difficulté de traçabilité de leurs activités sur Internet, justifiant ainsi la coopération des États membres dans la détection et la suppression des contenus illégaux dont ceux qui font « la glorification et l'apologie du terrorisme, ou la diffusion de messages ou d'images, y compris concernant les victimes du terrorisme, utilisés pour propager la cause terroriste » [Amendement 6].

L'amendement 6 modifiant le considérant 7 et l'amendement 40 introduisant un article 14 bis portent sur les « mesures contre les sites web incitant publiquement à commettre une infraction terroriste », pour retirer le contenu ou bloquer « les pages web incitant publiquement à commettre des infractions terroristes » [Amendement 6]. Or ces amendements laissent totalement libres les États membres de mettre en place toutes les mesures qu'ils jugeront efficaces, si ce n'est que les procédures devront être « transparentes et fournir des garanties suffisantes, en particulier pour veiller à ce que les restrictions soient limitées à ce qui est nécessaire et proportionnées » [Amendements 6 et 40].

Les garanties que semble vouloir apporter Monika Hohlmeier ne permettent cependant pas d'interdire une extra-judiciarisation de la répression des contenus en ligne. Ces dispositions poussées par la rapporteure allemande semblent taillées pour la France qui obtiendrait ainsi la validation par l'Union européenne des mesures de censure qu'elle a mises en place et notamment :

  • d'une part la possibilité d'imposer aux services en ligne, tels que les réseaux sociaux et autres hébergeurs, une obligation de surveillance des communications de leurs utilisateurs en vue de censurer ces contenus ;
  • d'autre part, la possibilité pour les gouvernements d'exiger des fournisseurs d'accès Internet le blocage des sites diffusant de tels contenus.

Cette mesure permettrait, à l'instar de la France, d'étendre la censure privée et banaliser la censure administrative, en contournant le contrôle judiciaire au prétexte d'éviter la supposée lenteur des procédures judiciaires. Or, compte tenu de la difficulté de juger de ce qui relève ou non de la glorification ou de l'apologie du terrorisme, la délégation des fonctions judiciaires à des acteurs privés ou administratifs va à l'encontre de la protection des droits fondamentaux.

Le blocage de sites Internet - proposé sans aucune étude d'impact - apparaît comme une mesure restreignant la liberté de communication de manière disproportionnée. Compte tenu du fait que le blocage de sites peut très facilement être contourné, ce type de mesures n'apporte pas de solution pérenne à la lutte contre la glorification et l'apologie du terrorisme. Plusieurs moyens techniques peuvent en effet être déployés pour rendre possible la distribution et la diffusion de ces sites, abstraction faite de l’impact plus au moins réel qu’ils ont sur la provocation aux actes terroristes. Une méthode bien connue consiste à mettre en place un tunnel chiffré, dit proxy, c'est-à-dire un logiciel qui s’interpose entre un client et un serveur permettant la communication entre deux ordinateurs hôtes, sans que la communication n’arrive jamais au serveur et puisse être repérée. Le caractère disproportionné du blocage de site tient en outre à l'inévitable risque de sur-blocage de contenus parfaitement licites.

En outre, l'expérience française montre les limites de ce système. La personnalité qualifiée nommée par la CNIL pour contrôler les mesures de blocage a publié son premier rapport d'activité en avril 2016.

  • L'article 6-1 de la LCEN prévoit que les hébergeurs et éditeurs doivent préalablement être notifiés de la demande de retrait de contenu, avec un délai de 24h pour retirer le contenu litigieux. Or la personnalité qualifiée indique clairement que cette mesure est contournée sans justification systématique au prétexte que « dans la pratique, les éditeurs et hébergeurs ne sont presque jamais identifiés ». Il s'agit donc d'une entorse à la loi qui porte atteinte aux droits des hébergeurs et éditeurs qui auraient pu être notifiés mais ne l'auraient pas été sans justification.
  • La personnalité qualifiée insiste sur la plus grande difficulté à juger de l'illégalité de propos « faisant l'apologie d'actes de terrorisme ou provoquant à de tels actes », ce qui renforce considérablement la nécessité absolue de préconiser une procédure judiciaire.
  • Le nombre de demandes de blocage de sites à caractère terroriste est de 68 pour l'année 2015, c'est-à-dire très faible.
  • La loi sur l'état d'urgence modifiée par la loi du 20 novembre 2015 permet au ministre de l'intérieur de prendre « toute mesure pour assurer l’interruption de tout service de communication au public en ligne provoquant à la commission d’actes de terrorisme ou en faisant l’apologie » pendant l'état d'urgence. Or au moment de la publication du rapport, le ministre de l'intérieur n'avait jamais eu recours à ce dispositif.

D'autre part, l'exemple français est intéressant sur le manque flagrant de transparence sur la procédure de blocage. La loi ne prévoit que le blocage stricto sensu. Or le Gouvernement français a mis en place une redirection des requêtes vers les pages bloquées vers une page hébergée par le ministère de l'intérieur, expliquant les raisons du blocage. Or, comme le soulignent les « Exégètes amateurs » dans leur recours au Conseil d'État contre cette mesure, cette « redirection automatique des internautes vers une page du ministère de l’intérieur constitue une atteinte à la liberté de communication et au secret des correspondances non prévue par la loi ainsi qu’une violation des dispositions de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. » Ainsi, l'absence de procédure judiciaire pour garantir la transparence et le respect des libertés fondamentales a permis au Gouvernement de mettre en place une procédure opaque et non respectueuse des libertés :

  • L'absence de transparence est flagrante, dans la mesure où :
    • ni l’auteur du site, ni son hébergeur, ni le lecteur de la page d’information ne savent ce qui est reproché à quel contenu relevant du site bloqué et ne peuvent en aucune manière connaître ni les motifs du blocage ou l’état de la procédure conduisant l’administration vers sa décision de blocage ;
    • la liste des adresses bloquées est tenue secrète et ni les internautes ni les personnes directement concernée par le blocage ne sont informées ;
    • la procédure de blocage et les motivations pouvant conduire au blocage d'un site ne sont indiquées nulle part.
  • Le Gouvernement met en place de façon illégale un traitement des données personnelles puisque parmi les données qui lui sont transmises via la redirection, on trouve notamment l'adresse IP[3], des informations concernant le navigateur web utilisé (et notamment la version du navigateur et celle du système d'exploitation), la liste des fonctionnalités et « plugins » activés, les cookies d'authentification ou de session, etc.[4]

Compte tenu de l'ensemble de ces remarques, ces amendements apparaissent comme une remise en cause inacceptable de la liberté d'expression et d'information consacrée à l'article 11 de la Charte des droits fondamentaux de l'Union européenne. Au minimum, il doit être amendé pour replacer le juge judiciaire au cœur du dispositif et barrer la route à la censure privée ou administrative.

Recherche de preuves électroniques

La question des preuves électroniques est amenée de façon relativement vague dans le rapport par la rapporteure Monika Hohlmeier, via notamment les amendements 19 et 20, créant les considérants 15 sexties et 15 septies. Il s'agit de faciliter la coordination des État, via Eurojust notamment, dans « le rassemblement, le partage et la recevabilité des preuves électronique ». Or l'amendement 20 vise très clairement les « anonymiseurs, serveurs proxy, réseau Tor, liaisons par satellite et réseaux 3G étrangers », ainsi que le stockage sur des serveurs distants (« dans le nuage »). L'amendement précise que les États membres « devraient donc coopérer entre eux, notamment dans le cadre d'Eurojust, afin de déceler et d'éliminer les éventuels obstacles concernant les preuves électroniques dans les demandes d'entraide judiciaire. »

Si l'on lit entre les lignes, la volonté de la rapporteure et des États comme la France qui soutiennent cette mesure est double. Il s'agit d'une part de s'attaquer au chiffrement et d'autre part d'augmenter drastiquement les moyens d'investigation de la police.

Le chiffrement

Les moyens de chiffrement et le développement des technologies selon le concept du « privacy by design » sont des outils qui permettent aux individus et entreprises de de protéger leurs communications. Il s'agit tout d'abord de l'appropriation par les individus du droit au respect de la vie privée ainsi que du droit au secret des correspondances. Ces droits ont une résonance toute particulière face à la surveillance de masse opérée par certains États, et face à la collecte et au traitement des données personnelles par les entreprises. Il s'agit aussi pour les entreprises de sécuriser leurs activités, communications et transactions. Fragiliser les technologies de chiffrement et de « privacy by design » en imposant par exemple aux fabricants d'appareils et logiciels des failles (ou « portes dérobées », porte une atteinte non nécessaire et non proportionnée au droit à la vie privée, rompt la confiance des utilisateurs de logiciels et de matériels, et réduit les capacités d'innovation des entreprises.

De nombreux acteurs, qu'ils soient issus des télécoms, du gouvernement, de la police [5] ou du monde judiciaire en Europe et aux États-Unis notamment, ont pris position pour permettre aux pouvoirs publics d'accéder aux informations, même lorsque celles-ci sont chiffrées.

Or le fait de donner aux pouvoirs publics un accès aux appareils et aux données chiffrés pose de tels problèmes de sécurité en affaiblissant considérablement le système de chiffrement que les spécialistes de la cryptologie sont extrêmement opposés à la création de portes dérobées dans les systèmes de chiffrement. Très récemment, dans une déclaration jointe, l'ENISA[6] et Europol[7] prennent clairement position contre les portes dérobées qui affaibliront de manière intrinsèque la protection contre les criminels.

La tendance de certains États est de contourner le problème du chiffrement par des moyens législatifs dissuasifs. En France, le code pénal et le code de procédure pénale permettent notamment :

Pouvoir d'investigation de la police

Responsabilité pénale des entreprises

Étude d'impact

La Commission européenne prévoit que des études d'impact doivent être élaborées, afin d'étudier la nécessité d'une action au niveau de l'Union européenne, ainsi que les conséquences économiques, sociales et environnementales d'une telle action, lorsque les initiatives de la Commission sont susceptibles d'avoir d'importantes incidences sur le plan économique, social ou environnemental.

La Commission donne même des lignes directrices pour l'élaboration des études d'impact avec notamment :

  • une consultation publique de 12 semaines
  • une description claire de qui sera affecté par l'initiative

Une directive pour combattre le terrorisme aura des incidences très fortes sur les droits et libertés des européens et pourtant la Commission européenne n'a pas jugé nécessaire de prendre le temps de réfléchir à l'impact d'une telle réglementation, alors que dans plusieurs pays de l'Union européenne des lois extrêmement attentatoires aux droits et libertés sont adoptées ou sont en voie d'adoption, au nom de la lutte contre le terrorisme.

Il est plus qu'urgent qu'une réflexion profonde soit menées non seulement par les États membres, mais aussi par les institutions européennes sur les conséquences de l'élaboration de lois sécuritaires, avec des bilans et analyses des lois existantes, de leur nécessité, proportionnalité et de leur efficacité.

Notes

  1. Le vote en plénière pourrait avoir lieu au mois de juin 2016
  2. Parti Populaire européen qui regroupe notamment les députés « Les Républicains » français
  3. L'adresse IP peut et doit-elle être considérée comme une donnée à caractère personnel ? Cette question n'a jamais encore été tranchée et a été posée à la Cour de justice de l'Union européenne dans le cadre de l'affaire C-582/14 Breyer c. Bundesrepublik Deutschland. L'avocat général a conclu que l'adresse IP est une donnée à caractère personnel, « dans la mesure où un fournisseur d’accès au réseau possède des informations supplémentaires qui, combinées à l’adresse IP dynamique, permettraient d’identifier l’utilisateur&nbsp;». La Cour devra se prononcer bientôt.
  4. Pour plus d'informations, lire le mémoire en réplique envoyé au Conseil d'État par Exégètes amateurs dans le cadre du recours contre le blocage administratif de sites.
  5. Voir notamment dans Le Monde et ZdNet
  6. European Union Agency for Network & Information Security (ENISA)
  7. European Union’s law enforcement agency