De la dépêche secrète aux Crypto Wars (brève histoire politique du chiffrement)

Ce texte a été publié dans le numéro 365 de La Chronique, le magazine d’Amnesty International (avril 2017).

L’acuité des débats contemporains autour du droit au chiffrement de nos communications et données numériques pourrait faire oublier qu’il renvoie en réalité d’un droit ancien. Il est en effet indéfectiblement lié au secret des correspondances, lui-même protégé depuis le milieu du XVIIIème siècle. Quant à la cryptologie – la « science du secret » –, elle est un art plus ancien encore. Et contrairement aux idées reçues, il semble qu’elle ait de tout temps fait l’objet d’usages triviaux et populaires. Certes, ces derniers furent longtemps marginaux, puisque l’écriture fut pendant longtemps essentiellement réservée aux élites. Mais l’un des plus vieux documents connus adoptant un système de codage est une tablette en argile datant de l’Antiquité retrouvée en Irak, dans laquelle le potier avait dissimulé ses techniques de fabrication en jouant sur les consonnes.

À partir du XVIème siècle, le développement concomitant de l’imprimerie et des postes aboutit à la prolifération de traités sur l’art du chiffrement, non seulement pour les empereurs, espions et diplomates, mais aussi pour les commerçants et hommes d’affaires, pour les savants ou même pour les correspondances intimes, avec la volonté d’échapper aux « cabinets noirs » chargés de la surveillance royale, ou plus simplement aux regards indélicats. Il est aussi, déjà, un outil prisé des dissidents politiques. On sait par exemple que les « pères fondateurs » des États-Unis comme Benjamin Franklin, James Madison ou Thomas Jefferson codaient leurs correspondances. C’est d’ailleurs dans un courrier partiellement codé que, le 27 mai 1789, Madison exposera à Jefferson son idée d’ajouter un Bill of Rights à la constitution américaine.

C’est avec l’arrivée de la télégraphie, et l’ouverture progressive de son utilisation au grand public dans la seconde moitié du XIXème siècle, que la cryptographie commence réellement à se démocratiser. Pour les usagers du télégraphe, il s’agit notamment de protéger son intimité vis-à-vis des techniciens chargés de la transmission des messages. Que dit alors la loi ? En France, ce qu’on appelle alors les « dépêches secrètes » (ou « inintelligibles ») sont autorisées, à condition d’être rédigées en signes romains ou en chiffres arabes. Ces codes sont supposés être facilement déchiffrables. Surtout, les bureaux gardent trace de toute communication – ce qu’on appellerait aujourd’hui les « métadonnées ». Un directeur des transmissions télégraphiques à Versailles loue ainsi, dans un écrit de 1870, la contribution du télégraphe à l’ordre public : « la télégraphie réalise pour la sécurité publique l’idéal de M. Vidocq, de terrible mémoire ».

À partir des années 1970, avec l’arrivée des premiers réseaux informatiques, la tension entre confidentialité et surveillance des communications monte d’un cran. À l’époque, la NSA lance un appel à projet pour le développement d’un standard en matière de chiffrement, qu’elle cherchera délibérément à affaiblir pour être en mesure de casser plus facilement les codes. Cet épisode suscite alors l’intérêt de chercheurs en mathématiques qui, au gré de leurs travaux, vont sortir la cryptographie moderne de son giron militaire et poser les bases théoriques de sa démocratisation à l’ère numérique.

Le génie est sorti de sa bouteille. À la toute fin des années 1980, au sein de la mouvance des « Cypherpunks », des militants passionnés d’informatique font de la cryptographie un art ouvertement contestataire. Elle n’est plus seulement un moyen de déjouer la surveillance du peuple par les États, mais aussi l’outil par lequel il devient possible de systématiser les fuites de documents classifiés, et donc d’opérer une remise en cause radicale des secrets d’État. La mailing list éponyme des Cypherpunks sera d’ailleurs l’une des matrices intellectuelles du jeune Julian Assange, au début des années 1990.

Alors qu’Internet est en passe de se démocratiser, les agences de renseignement et de police tentent toutefois de préserver leur mainmise sur ces techniques, déclenchant un conflit politique et juridique resté dans les mémoires comme la première « Crypto War ». En 1993, le New York Times révèle ainsi que la NSA veut s’octroyer la capacité de lire l’ensemble des données et communications informatiques, au travers d’une puce de chiffrement dotée d’une porte dérobée. Aux États-Unis tout comme en France, le droit est également mobilisé pour empêcher la diffusion sur les réseaux de logiciels de chiffrement, au travers du régime applicable à l’exportation des « biens à double usage » (aux applications à la fois civiles et militaires). C’est grâce à la mobilisation des premiers mouvements de défense des libertés publiques dans l’environnement numérique – mais aussi en raison de l’influence du secteur privé qui a besoin du chiffrement pour développer le commerce électronique – que ces projets seront tenus en échec. Le droit applicable sera d’ailleurs progressivement libéralisé dans la deuxième moitié des années 1990.

Pourtant, en dépit de ces avancées juridiques, la problématique du chiffrement est longtemps restée l’apanage d’une poignée d’experts. Il a fallu les révélations d’Edward Snowden pour que s’opère une véritable prise de conscience quant à l’importance de ces pratiques. Depuis 2013, de nombreux déploiements techniques ont en effet permis de démocratiser l’exercice de ce droit essentiel à la défense de la vie privée et de la liberté de communication. Un droit aujourd’hui menacé par ceux de nos gouvernants qui voudraient continuer de se livrer à une surveillance massive d’Internet.

Internet Is a Fundamental Right, French Constitutional Court Says

Yesterday at 5P.M, the French Constitutional Council – in charge of checking the conformity of legislation with the Constitution – rendered a groundbreaking decision regarding the highly controversial “three strikes law” (or graduated response), passed last month by Parliament to fight illegal downloading.

The Declaration of the Rights of Man and of the Citizen

The law established a penalty amounting to the suspension of downloaders’ internet connection without appropriate judicial safeguards. Yet, the Constitutional Council affirmed in very strong words that under no circumstance should people’s freedom of expression and communication be denied by a non-judiciary authority (in this case, and independent administrative agency, which does not guarantee a fair trial). According to Article 66 of the French Constitution, the judiciary authority is the “guardian of individual liberty” and as such is the only one authorized to pronounce sentences infringing on fundamental liberties, which are at stake in this law as the Council asserts.

It based its legal argument on one of the first Declaration of Human Rights in history (the Declaration of the Rights of Man and of the Citizen, pronounced in 1789 at the beginning of the French revolution). In the decision, the ten justices stress that the Declaration’s Article 11 provides that “the free communication of thoughts and opinions is of one of man’s most precious rights”, and they declare that the internet now plays an instrumental role in guaranteeing the effectivity of that right – free speech. To be even clearer, they emphasize its importance for citizens’ “participation to the democratic life and the expression of ideas and opinions”.

A year ago, when this law was only a bill on the verge of being introduced in Parliament, I wrote that given some of the Council’s past landmark decisions, the so-called “graduated response” would be condemned as unconstitutional. I based my reasoning on a 1989 decision on a law regulating the audiovisual sector. This law basically proclaimed the media’s independence from the State, which has exerted a monopoly over TV and radio broadcast until the early 1980 in most liberal democracies, on the ground of freedom of expression. To protect the latter, the Council imposed significant limits on the sanction powers of the administrative agency in charge of regulating the media. Yesterday’s decision follows the same logic, on the ground that suspending people’s internet connection patently undermines their freedom of expression and communication, and that only a judge in accordance with due process can do so.

But this is not all. Since 1989, due to a lack of transparent regulation along with the emergence of new forms of collusion between media companies and political personnel, the traditional media landscape has failed to deliver on its promises. The Council’s decision underlines the opening of  new era, recognizing the internet’s key contribution to offering new spaces for democratic participation.

During both French and European debates, proponents of the bill abusively referred to a European Court of Justice decision that argued for some balance between the rights of copyright-holders and people’s privacy in the fight against illegal downloading (I wrote about it in a analysis for La Quadrature du Net, a digital rights organization I have worked with these past few months). Misinterpreting the Court’s ruling, the government’s allies used this decision to back up the “graduated response”, simply saying that the Court had deemed necessary to conciliaite both freedom of communication and copyright. In fact, by no mean did this case touch on freedom of expression and communication. Had the Court called upon member states to better protect copyright, the European Parliament would never have been able to massively oppose the graduated response, as it did on three occasions since April 2008.

Now, with great solemnity, France’s highest Court brings some clarity to the debate. Endorsing the European Parliament, it distinctly acknowledges that accessing the internet has become a core component of people’s fundamental rights. The Council’s decision is undoubtedly one of the most eloquent and authoritative ever rendered on digital rights and a represents a milestone for the internet’s nascent history.


I selected the most important excerpts of the decision:

Suspension of internet access

12. Considérant qu’aux termes de l’article 11 de la Déclaration des droits de l’homme et du citoyen de 1789 : ” La libre communication des pensées et des opinions est un des droits les plus précieux de l’homme : tout citoyen peut donc parler, écrire, imprimer librement, sauf à répondre de l’abus de cette liberté dans les cas déterminés par la loi ” ; qu’en l’état actuel des moyens de communication et eu égard au développement généralisé des services de communication au public en ligne ainsi qu’à l’importance prise par ces services pour la participation à la vie démocratique et l’expression des idées et des opinions, ce droit implique la liberté d’accéder à ces services [internet].
13. (…) Les conditions d’exercice du droit de propriété ont connu depuis 1789 une évolution caractérisée par une extension de son champ d’application à des domaines nouveaux ; que, parmi ces derniers, figure le droit, pour les titulaires du droit d’auteur et de droits voisins, de jouir de leurs droits de propriété intellectuelle et de les protéger dans le cadre défini par la loi et les engagements internationaux de la France.

15. (…) La liberté d’expression et de communication est d’autant plus précieuse que son exercice est une condition de la démocratie et l’une des garanties du respect des autres droits et libertés ; que les atteintes portées à l’exercice de cette liberté doivent être nécessaires, adaptées et proportionnées à l’objectif poursuivi.

16. (…) Ses pouvoirs peuvent conduire à restreindre l’exercice, par toute personne, de son droit de s’exprimer et de communiquer librement, notamment depuis son domicile ; que, dans ces conditions, eu égard à la nature de la liberté garantie par l’article 11 de la Déclaration de 1789, le législateur ne pouvait, quelles que soient les garanties encadrant le prononcé des sanctions, confier de tels pouvoirs à une autorité administrative dans le but de protéger les droits des titulaires du droit d’auteur et de droits voisins.


Respect of privacy

26.Considérant que les dispositions combinées de l’article L. 34-1 du code des postes et des communications électroniques, tel qu’il est modifié par l’article 14 de la loi déférée, des troisième et cinquième alinéas de l’article L. 331-21 du code de la propriété intellectuelle et de son article L. 331-24 ont pour effet de modifier les finalités en vue desquelles ces personnes peuvent mettre en oeuvre des traitements portant sur des données relatives à des infractions ; qu’elles permettent en effet que, désormais, les données ainsi recueillies acquièrent un caractère nominatif également dans le cadre de la procédure conduite devant la commission de protection des droits.

27. Considérant que la lutte contre les pratiques de contrefaçon sur internet répond à l’objectif de sauvegarde de la propriété intellectuelle et de la création culturelle ; que, toutefois, l’autorisation donnée à des personnes privées de collecter les données permettant indirectement d’identifier les titulaires de l’accès à des services de communication au public en ligne conduit à la mise en oeuvre, par ces personnes privées, d’un traitement de données à caractère personnel relatives à des infractions ; qu’une telle autorisation ne saurait, sans porter une atteinte disproportionnée au droit au respect de la vie privée, avoir d’autres finalités que de permettre aux titulaires du droit d’auteur et de droits voisins d’exercer les recours juridictionnels dont dispose toute personne physique ou morale s’agissant des infractions dont elle a été victime.

28. Considérant qu’à la suite de la censure résultant des considérants 19 et 20, la commission de protection des droits ne peut prononcer les sanctions prévues par la loi déférée ; que seul un rôle préalable à une procédure judiciaire lui est confié ; que son intervention est justifiée par l’ampleur des contrefaçons commises au moyen d’internet et l’utilité, dans l’intérêt d’une bonne administration de la justice, de limiter le nombre d’infractions dont l’autorité judiciaire sera saisie ; qu’il en résulte que les traitements de données à caractère personnel mis en oeuvre par les sociétés et organismes précités ainsi que la transmission de ces données à la commission de protection des droits pour l’exercice de ses missions s’inscrivent dans un processus de saisine des juridictions compétentes.