Dans son rapport final, le groupe « Going Dark » voit des défis particuliers pour l’accès « légitime » aux données par Signal & Co. et souhaite que les données soient conservées
[image: shutterstock_1907066239-de060052a2488b34.jpeg]
Le controversé groupe de haut niveau de l’UE sur l’accès aux données pour une application efficace de la loi (HLG) a publié son rapport final. Conformément à son document de recommandation distinct, il se concentre sur l’accès « légal » aux données des services de messagerie tels que WhatsApp, Signal, Telegram ou Threema. Selon le rapport, ces fournisseurs « over the top » (OTT), qui offrent aux utilisateurs des services de communication directement sur Internet, « posent des défis supplémentaires aux autorités chargées de l’application de la loi ». Tant au niveau national qu’européen, ils « ont souvent le sentiment de ne pas être liés par les mêmes obligations que les fournisseurs de communications traditionnels ».
Situation juridique difficile
Les fournisseurs OTT entrent effectivement dans le champ d’application du Code des communications électroniques européen, écrit le HLG, également connu sous le nom de groupe de travail « Going Dark », dans sa synthèse . Mais ils sont souvent basés en dehors de l’UE et ne sont donc pas soumis à des sanctions générales. Cela conduit à une incertitude quant à leurs exigences en matière de stockage des données. Alors que les fournisseurs de communications traditionnels stockent dans la plupart des cas certaines informations telles que les adresses IP avec des numéros de port à des fins commerciales permettant d’identifier les utilisateurs, ce n’est pas le cas des fournisseurs OTT.
Dans le même temps, selon les procureurs européens, le volume croissant de demandes reçues par les prestataires contribue à leur retard ou à leur rejet. Cela s’explique notamment par les « décisions spécifiques en matière de modèle économique » prises par les opérateurs, comme la sauvegarde consciente des données. La rareté de la coopération s’explique également par le nombre limité de mécanismes de coopération entre les autorités chargées de l’application des lois et les entreprises privées.
Le HLG a également remarqué que de nombreux nouveaux fournisseurs de technologies et acteurs numériques, tels que les constructeurs automobiles et les systèmes d’IA, généraient et traitaient des métadonnées à l’aide de grands modèles linguistiques. Ceux-ci pourraient également fournir des informations sur des activités criminelles. Malgré leur importance croissante, ils ne sont actuellement pas soumis à l’obligation de conservation des données.
Des sanctions telles que des interdictions sont réclamées
Dans la pratique, les services OTT communs n’ont développé aucun mécanisme technique “pour répondre aux demandes de surveillance légale des autorités des États membres de l’UE”, déplorent les experts. En revanche, la Grande-Bretagne a créé un cadre pour la surveillance légale des communications OTT avec l’ Investigatory Powers Act , qui s’applique également aux services qui y sont basés grâce à l’adoption de l’accord d’accès aux données avec les États-Unis. Selon les autorités britanniques compétentes, cela fait « une différence significative en matière de prévention de la criminalité et d’enquête ».
Le groupe demande donc instamment de garantir que les États membres puissent imposer des sanctions aux fournisseurs peu coopératifs de services de communications électroniques et autres. Les instruments devraient inclure « la restriction de leur capacité à faire des affaires sur le marché de l’UE » – comme un blocage au niveau du réseau ou de l’App Store – ainsi que des peines de prison pour les responsables. La coopération accrue entre les autorités répressives et les prestataires de services, réclamée depuis longtemps par le HLG et les pays de l’UE, « améliorera dans une certaine mesure la situation ». Mais cela doit aussi être ancré dans la loi.
« Accès légal dès la conception »
La Commission européenne a créé le groupe de travail l’année dernière à la demande des États membres . Le point de départ a été la guerre des crypto-monnaies en cours et le débat associé sur le scénario du « devenir sombre » , selon lequel l’augmentation du chiffrement de bout en bout menace de rendre les enquêteurs aveugles et sourds. Les scientifiques considèrent qu’il s’agit d’un mythe , mais la police et la justice veulent voir résolu le « méchant problème » du cryptage qu’ils ont identifié.
Lors d’une réunion avec des représentants de l’UE l’année dernière, des représentants des forces de l’ordre et des autorités judiciaires des États-Unis ont demandé que l’accès aux données de communication non cryptées soit intégré directement dans la technologie selon le principe du « Lawful Access by Design » . Une cyberattaque majeure contre de telles interfaces de surveillance par des fournisseurs américains montre les conséquences négatives que cette approche peut avoir.
Accès en temps réel aux données conservées
L’objectif du rapport final est de « décrire en détail les défis identifiés par les experts et de présenter les options pour poursuivre les travaux et opérationnaliser les recommandations ». En conséquence, « il est nécessaire de mettre en place des lois harmonisées et cohérentes sur la conservation des données ». L’UE devrait également émettre une recommandation sur l’accès en temps réel aux informations de connexion et de localisation stockées sans raison d’ici 2025. En général, « la surveillance légale est essentielle à l’efficacité des enquêtes et des poursuites contre le crime organisé et les groupes terroristes ».
« Le chiffrement par défaut des données sur les appareils constitue un défi majeur », poursuit-il. Les enquêteurs n’ont souvent d’autre choix que d’exploiter les vulnérabilités. Cependant, ces approches devraient être conciliées avec l’objectif de garantir une sécurité matérielle et logicielle plus élevée. En fin de compte, l’intérêt reste d’obliger les prestataires de services à divulguer les données de communication en texte clair. Mais il n’existe pas d’être un peu cryptée, tout comme il n’existe pas d’être un peu enceinte. Le Conseil de l’UE s’est engagé en juillet à rechercher « des solutions juridiquement et techniquement sécurisées pour l’accès aux communications électroniques cryptées dans des cas individuels », sous réserve d’une décision de justice visant à poursuivre les crimes graves.
( mho )
Désolé pour la traduction automatique, source (en German ;-):
https://www.heise.de/news/EU-Strafverfolger-fordern-Datensparsame-Messenger-Dienste-sanktionieren-10179828.html
C’est une news qui date de quelques jours… mais que j’ai pas encore trouvé d’autres sources parlant de ce “rapport”.
Live Long & Prosper.
