Aller au contenu principal

Présenté à la 29e Session du Conseil des droits de l’homme de l’ONU
17 juin 2015

Les organisations de la société civile et les experts indépendants signataires de cette déclaration œuvrent pour promouvoir les droits humais et la liberté de la presse en ligne. Nous nous félicitons du rapport du Rapporteur spécial sur la liberté d’opinion et d’expression sur l’utilisation du cryptage et de l’anonymat dans les communication numériques qui a été présenté au Conseil des droits de l’homme de l’ONU le 17 juin.

Nous exhortons tous les gouvernements à promouvoir l’utilisation de technologies de cryptage fortes et à protéger le droit de chercher, de recevoir et de communiquer des informations en ligne de façon anonyme. Les lois ou règlements qui limitent l’utilisation du cryptage ou l’anonymat en ligne devraient être réexaminées pour satisfaire au critère rigoureux en trois parties que le Rapporteur spécial expose dans le rapport. Nous demandons également aux entreprises de technologies de l’information et des communications (TIC) d’adopter le cryptage et d’autres mesures de protection de la confidentialité pour garantir la sécurité des utilisateurs.

L’internet a eu un effet extrêmement bénéfique sur le mouvement des droits humains et le travail des journalistes et de la société civile indépendante dans le monde entier. Mais il a également créé de nouveaux risques pour tous les utilisateurs. Comme l’indique le rapport de 2014 du Haut Commissariat des Nations Unies pour les droits de l’homme sur la vie privée à l‘ère numérique, les technologies numériques ont permis une surveillance intrusive d’une ampleur sans précédent. Cette surveillance permet aux gouvernements de violer le secret professionnel et d’identifier les sources journalistiques, les détracteurs du gouvernement, les dénonciateurs ou des membres de groupes minoritaires persécutés (tels que les personnes LGBT) et de les exposer à des représailles. Les utilisateurs ordinaires sont également confrontés à diverses menaces en ligne : surveillance excessive de l‘État, voleurs d’identité acteurs malveillants.

Comme le Rapporteur spécial le reconnaît dans son rapport, le cryptage et l’anonymat sont essentiels à la protection de la cybersécurité et des droits humains à l‘ère numérique. Le cryptage et l’anonymat, séparément ou ensemble, « créent une zone de confidentialité pour protéger les opinions et les croyances » (par. 12). Les deux sont essentiels à la liberté d’opinion, d’expression et d’association, à la liberté de la presse, au droit à la vie privée et d’autres droits.

Souvent sans le savoir, les internautes comptent sur les pratiques de sécurité des entreprises de TIC, y compris les mesures de cryptage , pour protéger leurs données contre les menaces en ligne. Les défenseurs des droits humains, les avocats et les journalistes utilisent des outils pour crypter leurs données et leurs communications et protéger leurs sources et contacts contre des représailles. En fait, la plupart des organisations et personnes signataires se fient au cryptage dans leur travail quotidien pour assurer la sécurité de leur personnel et de leurs associés. Les États ont le devoir de protéger le droit à la vie privée, et tous les internautes devraient pouvoir tester et adopter des outils de cryptage et d’anonymisation de client à client sans obstruction par une réglementation des pouvoirs publics ou des politiques d’entreprise.

Les gouvernements ont l’obligation d’enquêter sur les crimes, de poursuivre leurs auteurs et de prévenir les attaques terroristes. Mais ces dernières années, certains ont cherché à restreindre l’accès à un cryptage fiable ou à limiter l’anonymat en ligne au nom de la sécurité nationale ou de l’ordre public. Dans son rapport, le Rapporteur spécial a réaffirmé que les « restrictions appliquées au codage et à l’anonymat doivent être strictement limitées conformément aux principes de légalité, de nécessité, de proportionnalité et de légitimité de l’objectif » (par. 56). Le débat public sur la légitimité de certaines restrictions individualisées au cryptage doivent tenir compte du rôle essentiel que jouent le cryptage et l’anonymat pour protéger et promouvoir les droits humains, la liberté de la presse et la sécurité en ligne. Le Rapporteur spécial indique en outre que « les interdictions générales » du cryptage et de l’anonymat « ne sont ni nécessaires ni proportionnées ». Les États devraient également « éviter toutes les mesures qui affaiblissent la sécurité dont les personnes peuvent jouir en ligne, tels que les portes dérobées, les normes de cryptage peu fiables et les autorités de séquestre » (par. 60).

Les restrictions générales à l’utilisation du cryptage et de l’anonymat ne répondront pas à ces critères. Par exemple, la classe politique et les fonctionnaires des États-Unis et du Royaume-Uni ont dit craindre que l’utilisation accrue du cryptage dans les services de médias sociaux ou sur les appareils mobiles rendraient plus difficiles les enquêtes sur les menaces terroristes. Certains ont demandé que les entreprises insèrent des « portes dérobées » ou d’autres vulnérabilités qui permettraient aux autorités policières de contourner ces protections.

Pourtant, comme le confirme le Rapporteur spécial, « dans le contexte technologique contemporain, compromettre le cryptage de façon intentionnelle, même à des fins sans doute légitimes, affaiblit la sécurité de tous en ligne » (par. 8). L’introduction de faiblesses dans l’architecture numérique à des fins de surveillance affaiblit la sécurité de l’internet dans son ensemble, porte atteinte à la sécurité plutôt que de l’améliorer et est contraire à la mission de l‘État qui est de protéger le droit à la vie privée ».

Nous exhortons les États à adopter et à mettre en œuvre les principales recommandations du rapport :

1. Les États devraient promouvoir et protéger un cryptage et un anonymat forts. Les lois nationales devraient reconnaître que les individus sont libres de protéger la confidentialité de leurs communications numériques en utilisant la technologie et les outils de cryptage qui permettent l’anonymat en ligne (par. 57-59).

2. Les États devraient éviter les mesures qui affaiblissent la sécurité dont les personnes peuvent jouir en ligne. Ces mesures comprennent les « portes dérobées », les normes de cryptage peu fiables, les autorités de séquestre ou l’obligation imposée aux développeurs de concevoir des systèmes qui leur permettent de déchiffrer les communications. L’obligation imposée aux entreprises de construire des vulnérabilités dans des produits sécurisés porte atteinte inévitablement et de manière disproportionnée à la sécurité de tous les utilisateurs de ces produits (par. 42, 60).

3. Les restrictions devraient être ciblées au cas par cas et limitées à ce qui est nécessaire et proportionné pour atteindre un but légitime. Le décryptage ordonné par un tribunal ne peut être autorisé qu’en application de lois transparentes et accessibles au public, appliquée uniquement au cas par cas aux personnes (et non à une groupe de gens) et sous réserve d’un mandat judiciaire et de la protection des droits à une procédure régulière (par. 57, 60).

4. Les États ne devraient pas imposer d’interdictions générales du cryptage et de l’anonymat qui ne sont pas nécessaires ni proportionnées. Ces interdictions privent tous les utilisateurs en ligne du droit de créer un espace privé pour s’exprimer, sans établir que le cryptage est utilisé à des fins illégales. Certaines formes de régulation peuvent en réalité constituer une interdiction générale, par exemple en exigeant des licences pour le cryptage, en imposant des normes techniques insuffisantes de cryptage ou en contrôlant l’importation ou l’exportation d’outils de cryptage (par. 40-41).

5. Les États devraient s’abstenir de demander une identification comme condition d’accès aux services en ligne ou d’enregistrement de la carte SIM aux utilisateurs des services mobiles (nom réel d’enregistrement). Les États devraient également s’abstenir de limiter l’accès aux outils d’anonymisation. L’anonymat facilite largement l’exercice des droits à la vie privée, d’opinion et d’expression en ligne et les États devraient les protéger et ne pas restreindre les technologies qui le permettent. Dans certains cas, les outils d’anonymisation sont le seul mécanisme qui permet d’exercer un éventail de droits en toute sécurité (par. 47-52).

Le Rapporteur spécial a également appelé le secteur privé à examiner la pertinence de ses pratiques par rapport à la responsabilité des entreprises de respecter les droits de l’homme. Pour faire preuve de diligence raisonnable en matière de droits de l’homme, les entreprises de TIC devraient évaluer les menaces pour la sécurité des internautes, notamment la surveillance excessive de l‘État, et élaborer des stratégies pour atténuer les atteintes aux droits de l’homme. Les pratiques de sécurité des entreprises de TIC peuvent favoriser ou compromettre considérablement le cryptage et l’anonymat (ainsi que les droits de l’homme) en ligne. L’intégration du cryptage dans les services et produits internet quotidiens, pour qu’il devienne omniprésent et automatique, améliorerait sensiblement la sécurité des communications de tous ceux qui utilisent l’internet.

Par conséquent, nous demandons également aux entreprises de TIC :

1. D‘éviter de bloquer ou de limiter la transmission de communications cryptées;
2. De permettre les communications et l’utilisation des services en ligne de façon anonyme et de s’abstenir d’imposer des exigences d’enregistrement avec le nom réel;
3. D’appliquer un cryptage de bout en bout par défaut pour tous les services et produits en ligne;
4. De soutenir le développement d’autres technologies sécurisées pour les sites web fondées sur des protocoles rigoureux et ouverts;
5. De résister aux tentatives des gouvernements de les obliger à compromettre l’anonymat et le cryptage et également de résister aux demandes des gouvernements de décrypter des communications ou des données particulières sauf si elles sont conformes à une décision judiciaire en application de lois transparentes et accessibles au public et appliquées au cas par cas;
6. De sécuriser les données des utilisateurs stockées par des moyens vérifiables comme le cryptage;
7. D’assurer la sécurité des références et d’appliquer de solides garanties d’authentification;
8. D’appliquer un système de notification des violations et de correctifs pour les vulnérabilités connues et exploitables;
9. De sensibiliser les utilisateurs à l’importance des pratiques exemplaires en matière de sécurité électronique.

Présenté par : Human Rights Watch

Signataires :

  • Access
  • Amnesty International
  • Article 19
  • Association for Progressive Communications (APC)
  • Australian Privacy Foundation
  • Bolo Bhi
  • Bytes for All, Pakistan
  • Center for Democracy & Technology (CDT)
  • Chaos Computer Club (CCC) e.V.
  • Committee to Protect Journalists
  • Digital Rights Foundation
  • Electronic Frontier Foundation
  • FIDH
  • Foundation for Internet and Civic Culture, Thailand
  • Global Voices Advocacy
  • Human Rights Watch
  • International Modern Media Institute (Iceland)
  • La Quadrature du Net
  • Media Matters for Democracy, Pakistan
  • OpenMedia.org
  • Panoptykon
  • PEN International
  • Privacy International
  • Reporters sans frontières (RSF)
  • SFLC.in
  • WITNESS
  • World Wide Web Foundation