Dans un arrêt du 13 février 2024, les juges de la Cour européenne des droits de l’homme (CEDH) ont estimé qu’une législation nationale destinée à affaiblir le chiffrement d’une communication électronique n’était pas compatible avec une société démocratique.

Ce jugement a eu lieu dans une procédure opposant la Russie et un utilisateur de l’application de messagerie Telegram.

En tant qu’« éditeur de communications électroniques », Telegram avait l’obligation, selon la législation russe, de conserver les communications de ses utilisateurs pendant un an, de converser le contenu de ces communications pendant six mois et de les communiquer aux autorités avec la clé de déchiffrement, si les données étaient chiffrées.

Suite à une demande des services de sécurité russes (FSB) concernant le contenu des communications d’utilisateurs soupçonnés d’« activités terroristes », Telegram avait toutefois répondu qu’il était « techniquement impossible de répondre favorablement à cette demande sans créer une backdoor qui affaiblirait le chiffrement de tous les utilisateurs », car les personnes concernées avaient utilisé l’option « secret chat » de Telegram qui avait pour conséquence d’activer un chiffrement de bout-en-bout.

Si cette procédure n’aura qu’une conséquence limitée pour la Russie, car le pays s’est désolidarisé de la Convention européenne des droits de l’homme en septembre 2022, elle a permis à la Cour de rappeler l’importance et la nécessité du chiffrement dans le fonctionnement d’une société contemporaine :

« À l’ère du numérique, les solutions techniques permettant de sécuriser et de protéger la confidentialité des communications électroniques, y compris les mesures de chiffrement, contribuent à garantir la jouissance d’autres droits fondamentaux, tels que la liberté d’expression.

« En outre, le chiffrement semble aider les citoyens et les entreprises à se défendre contre les abus des technologies de l’information, tels que le piratage, le vol d’identité et de données personnelles, la fraude et la divulgation indue d’informations confidentielles. Il convient d’en tenir dûment compte lors de l’évaluation des mesures susceptibles d’affaiblir le chiffrement. »

— CEDH, Pordchasov v Russia, §76, traduit

Cette procédure a également permis à la Cour de rappeler que le chiffrement permet aux utilisateurs de jouir de leur droit fondamental à la vie privée :

« la Cour rappelle que la confidentialité des communications est un élément essentiel du droit au respect de la vie privée et de la correspondance, tel que consacré à l’article 8. Les utilisateurs des services de télécommunications et d’Internet doivent avoir la garantie que leur propre vie privée et leur liberté d’expression seront respectées, même si cette garantie ne peut être absolue et doit parfois céder le pas à d’autres impératifs légitimes, tels que la défense de l’ordre et la prévention des infractions pénales ou la protection des droits et libertés d’autrui. »

— CEDH, Pordchasov v Russia, §65, traduit

Si des mesures ciblées et encadrées peuvent être prises par les États, la Cour considère toutefois qu’un affaiblissement généralisé du chiffrement des communications, via l’implémentation d’une backdoor par exemple, « affecterait tous les utilisateurs de communications Internet, même en l’absence de soupçon raisonnable de participation à des activités criminelles ou à des activités mettant en danger la sécurité nationale », ce qui serait une atteinte disproportionnée aux droits fondamentaux des utilisateurs, dans la mesure où cela « rendrait techniquement possible une surveillance routinière, générale et indiscriminée des communications électroniques personnelles ».

Ce raisonnement est semblable à ceux apportés par d’autres organismes, notamment :

  • l’ONU, qui considère que « le chiffrement est un élément clé de la protection de la vie privée et de la sécurité en ligne et il est essentiel à la sauvegarde des droits, notamment les droits à la liberté d’opinion et d’expression, à la liberté d’association et de réunion pacifique, à la sécurité, à la santé et à la non-discrimination » ;
  • la CJUE, qui considère qu’ « une législation permettant aux autorités publiques d’accéder de manière généralisée au contenu des communications électroniques doit être considérée comme compromettant l’essence du droit fondamental au respect de la vie privée, tel qu’il est garanti par l’article 7 de la Charte » ;
  • l’EDPB et l’EDPS, qui considèrent que « les technologies de chiffrement contribuent de manière fondamentale au respect de la vie privée et à la confidentialité des communications, à la liberté d’expression ainsi qu’à l’innovation et à la croissance de l’économie numérique, qui repose sur le niveau élevé de confiance que ces technologies procurent ».

Lire :

Sigles et acronymes
  • EDPB : European Data Protection Board
  • EDPS : European Data Protection Supervisor