Lois sur le cryptage : quels gouvernements imposent les restrictions les plus lourdes en matière de cryptage ?
Des conversations privées via WhatsApp aux historiques de navigation confidentiels via les VPN, le cryptage joue un rôle essentiel dans notre liberté d’expression et notre vie privée.
Pourtant, avec les tentatives gouvernementales visant à créer des « portes dérobées » vers les services/produits de chiffrement, de nombreux pays sont confrontés à de sévères restrictions lorsqu’il s’agit d’utiliser des applications et des outils utilisant la cryptographie.
Pour savoir où se situent les restrictions les plus lourdes, notre équipe de chercheurs a analysé la législation de plus de 200 pays pour voir :
- Quels pays exigent que les fabricants/vendeurs obtiennent une licence avant de produire ou de vendre des produits/services de cryptographie ?
- Quels pays ont des restrictions à l'importation et/ou à l'exportation sur les produits/services de cryptographie ?
- Quels pays n'ont pas d'exemption pour usage personnel lors des voyages avec des ordinateurs portables cryptés
- Quels pays imposent aux fournisseurs l'obligation de remettre les clés de chiffrement à des fins répressives (en tenant compte de la nécessité ou non d'un mandat à cet effet)
- Quels pays imposent aux utilisateurs finaux l'obligation de remettre les clés de chiffrement à des fins d'application de la loi (en tenant compte de la nécessité ou non d'un mandat pour cela) ?
Qu'avons-nous trouvé ?
La grande majorité des pays imposent des restrictions sur les technologies de cryptage, qu’il s’agisse de lois sur l’importation/exportation ou de l’accès des forces de l’ordre aux données cryptées. Des restrictions plus sévères sont constatées là où on pourrait s’y attendre, c’est-à-dire en Russie et en Chine, mais de lourdes restrictions sont également en place dans de nombreux autres pays. Et avec l’introduction de plus en plus de lois et de pouvoirs d’enquête, les restrictions ne feront que s’accentuer dans les mois et les années à venir.
Par exemple, même si le Brésil se classe parmi les pays « les plus libres » en raison de sa législation actuelle, cela malgré les tentatives visant à imposer de nouvelles restrictions. Des décisions de justice récentes ont tenté de bloquer WhatsApp, ainsi que Facebook fait face à une bataille juridique avec le pays en raison de son manque de coopération dans une enquête criminelle (qui a même abouti à l'arrestation du vice-président de Facebook).
En bref, de nombreux pays peuvent accorder à leurs citoyens le droit à la liberté d’expression et à la vie privée, mais s’y opposer lorsqu’il s’agit de cryptage, invoquant comme motif la sécurité nationale et des crimes graves.
Quels pays exigent que les fournisseurs de chiffrement déchiffrent les données à des fins répressives ?
L'une des plus grandes préoccupations en matière de cryptage concerne l'accès accordé aux forces de l'ordre, que ce soit au moyen d'une clé de déchiffrement ou de l'obligation pour les fournisseurs de déchiffrer les données à leur place.
Comme le montre la carte ci-dessous, un grand nombre de pays ont au moins un certain accès potentiel aux clés de cryptage des fournisseurs.
Une poignée de pays, dont la Chine et la Russie, disposent d’un accès sans précédent aux données décryptées. En Russie, par exemple, le Sistema Operativno-Rozysknykh Meropriyatii (SORM – Système pour les activités opérationnelles et d’enquête) donne au service fédéral de sécurité russe, le FSB, accès aux messages électroniques et aux clés pour les décrypter sans autorisation judiciaire.
De nombreux pays européens, asiatiques et africains, ainsi que les États-Unis, ont des lois qui permettent aux forces de l'ordre de demander aux fournisseurs de leur remettre les clés de chiffrement et/ou de décrypter les données.
Au Royaume-Uni, un certain nombre de lois accordent aux forces de l'ordre le droit de demander la suppression des technologies de cryptage sur diverses communications. L'article 49 de la loi de 2000 sur la réglementation des pouvoirs d'enquête stipule que lorsque des informations protégées sont en possession des forces de l'ordre, celles-ci peuvent, avec l'autorisation écrite d'un juge, imposer une obligation de divulgation pour que les données soient produites sous une forme intelligible. Les forces de l'ordre doivent avoir des motifs raisonnables de croire que quelqu'un possède la clé des informations protégées, que la divulgation est nécessaire pour la sécurité nationale, la détection/prévention d'un crime, ou que cela est dans l'intérêt du bien-être économique du Royaume-Uni, que la divulgation est proportionnée à ce que l'on cherche à réaliser, et cette divulgation n'est pas possible sans imposer l'ordre.
Aux États-Unis, l'article 103(a) de la loi de 1994 sur l'assistance aux communications pour les forces de l'ordre suggère que les fournisseurs de communications doivent garantir des capacités d'interception lorsqu'ils sont délivrés sur ordonnance d'un tribunal ou autre autorisation légale de ce type. Cependant, « un opérateur de télécommunications ne sera pas responsable du décryptage, ni de garantir la capacité du gouvernement à décrypter, toute communication cryptée par un abonné ou un client, à moins que le cryptage n'ait été fourni par l'opérateur et que l'opérateur ne possède les informations nécessaires pour décrypter la communication. »
La plupart des lois ont le même pouvoir que celle des États-Unis, imposant aux fournisseurs de décrypter toutes les données qu'ils ont eux-mêmes chiffrées, mais pas les données chiffrées par d'autres fournisseurs ou par les utilisateurs eux-mêmes.
Un certain nombre d’autres pays imposent des lois ambiguës qui permettent aux forces de l’ordre de demander la divulgation d’informations cryptées – ou les lois ont été interprétées de cette manière. Par exemple, dans l'Union européenne, la résolution du Conseil du 17 janvier 1995 sur l'interception licite des télécommunications offre des orientations sur les lois qui auraient dû être mises en œuvre dans les pays de l'UE.
La résolution stipule que « si les opérateurs de réseau/fournisseurs de services entreprennent le codage, la compression ou le cryptage du trafic de télécommunications, les forces de l’ordre exigent que les opérateurs de réseau/fournisseurs de services fournissent en clair les communications interceptées. » En clair signifie « en langage clair » et peut donc être interprété comme signifiant décrypté.
Quels pays exigent que les utilisateurs du chiffrement déchiffrent les données à des fins répressives ?
La situation est similaire lorsque nous examinons les pouvoirs des forces de l’ordre pour demander des clés de décryptage ou des données décryptées aux utilisateurs de services/produits cryptés.
Les lois ont tendance à couvrir les communications ou l'accès aux ordinateurs, exigeant que les personnes en possession d'une clé la remettent aux forces de l'ordre sur demande ou les aident dans le processus de décryptage.
Encore une fois, certains pays n’ont pas de lois spécifiques mais ont mis en place des lois ambiguës. Dans d’autres cas, les pays peuvent s’appuyer davantage sur les fournisseurs de services pour transmettre les données, par exemple aux États-Unis où aucune loi ne donne explicitement aux forces de l’ordre le pouvoir de demander aux utilisateurs de remettre les données/clés décryptées.
En fin de compte, l’accès par « porte dérobée » aux données des fournisseurs de chiffrement constitue le moyen le plus simple d’accéder aux données chiffrées. C’est pourquoi un nombre inquiétant de pays tentent de mettre en œuvre de telles mesures. Ceci comprend:
- La bataille continue de l’Inde avec WhatsApp
- Les récentes ordonnances du tribunal du Brésil pour tenter de bloquer WhatsApp et actuel Facture de Fake News qui tente de briser le cryptage de bout en bout
- La facture américaine pour accès par porte dérobée aux données cryptées (soumis au Congrès en juin 2020).
Quels pays exigent des licences pour produire ou fabriquer des services/produits de chiffrement ?
Un grand nombre de pays d’Afrique, du Moyen-Orient et d’Asie ont des exigences strictes en matière de licences. Cela signifie que la majorité des vendeurs ou fabricants de produits de cryptographie doivent obtenir une licence avant de les distribuer. La France impose également une telle exigence : toute personne souhaitant fournir des services de cryptographie doit le déclarer au Premier ministre.
Certains pays, par ex. La Turquie, l’Éthiopie, la Tunisie et le Mali ont certaines exigences en matière de licence, mais n’exigent pas que tous les fournisseurs de services de cryptographie obtiennent une licence. Par exemple, en Tunisie, toute entreprise important des produits de cryptographie pour son usage personnel (ou temporaire) n’a pas besoin de licence.
Un certain nombre de pays ont également adopté des lois qui permettent aux ministères concernés de créer des exigences en matière de licence pour les services de cryptographie, mais ne semblent pas encore avoir mis quoi que ce soit en place. Cela inclut les Bahamas et la Barbade.
Quels pays ont des limitations d’importation/exportation pour les services/produits de cryptographie ?
Un nombre bien plus grand de pays ont des limites en matière d’importation et/ou d’exportation de produits cryptographiques (ou de produits contenant de la cryptographie mais qui ne sont pas uniquement destinés à des fins de chiffrement). Dans la plupart des cas, cela nécessite qu'une entreprise enregistre son entreprise et ses produits auprès de l'agence désignée dans le pays vers lequel elle importe ou exporte. Cela peut également inclure certaines spécifications techniques.
De nombreux pays ayant des exigences à grande échelle en matière de licences de cryptographie imposent également de sévères restrictions à l'importation et à l'exportation de ces produits.
Par exemple, pour les pays de l’Union économique eurasienne (EAEU) – Arménie, Biélorussie, Kazakhstan, Kirghizistan et Russie – une licence d’importation/exportation, un permis et un enregistrement de notification sont requis et divers éléments sont également analysés, notamment une liste de les algorithmes cryptographiques, la longueur maximale de la clé, une liste des protocoles de mise en œuvre, la manière dont le cryptage est utilisé, le type de données cryptées et la manière dont les données sont cryptées.
La grande majorité des pays dotés de lois douanières restreignent les exportations de produits de cryptographie et/ou limitent les importations en provenance de pays désignés. Un grand nombre d’entre elles font partie de l’accord de Wassenaar (pour une liste complète, voir la section méthodologie) et/ou sont régies par le droit de l’UE. Ceux qui se sont inscrits au Accord de Wassenaar :
- Ont accepté de maintenir des contrôles nationaux à l'exportation sur certains produits, à savoir les services de cryptographie
- Ont accepté de rendre compte des transferts et des refus d'articles contrôlés spécifiés vers des destinations extérieures à l'Arrangement.
- Échanger des informations sur les biens et technologies sensibles à double usage
Encore une fois, un certain nombre de pays ont mis en place des lois qui leur permettront de créer des exigences d’importation/exportation pour les produits de cryptographie, mais ne semblent pas encore avoir mis quoi que ce soit en place.
Quels pays n’ont pas d’« exemption pour usage personnel » pour ceux qui voyagent avec des ordinateurs portables cryptés ?
En plus d'imposer des restrictions d'importation/exportation aux entreprises proposant des services de cryptage, certains pays imposent également des restrictions claires pour ceux qui voyagent avec des ordinateurs portables cryptés. En revanche, certains des pays signataires de l’Accord de Wassenaar offrent aux voyageurs une « exemption pour usage personnel ».
Veuillez noter : bien que des restrictions/exemptions claires soient proposées dans les pays ci-dessus, les voyages vers d'autres pays peuvent ou non être restreints. Il est toujours préférable de vérifier au préalable auprès du pays dans lequel vous voyagez, qu’il fasse ou non partie d’un accord.
Méthodologie
Pour déterminer les lois en vigueur dans chaque catégorie, nous avons analysé différents textes législatifs dans chaque pays. Cela comprend les codes de procédure pénale, les lois sur la cybercriminalité, les lois sur les communications/télécommunications, les lois sur l'interception/surveillance et tout autre décret, acte, loi ou résolution pertinent.
Nous nous sommes concentrés uniquement sur les pouvoirs/ordonnances législatives et sur ceux qui affectent principalement les fournisseurs de communications, les fournisseurs de services Internet ou les données stockées sur/accessibles via des ordinateurs.
Un pays peut ne pas avoir une telle législation ou sembler avoir mis en place des protections, mais la situation peut être différente dans la pratique. Cependant, pour éviter d’être subjectifs dans nos résultats, nous n’avons utilisé que ce qui est « légalement » autorisé dans chaque pays. Comme mentionné, nous avons également examiné la législation qui peut être interprétée comme couvrant le cryptage, même si elle ne le mentionne pas spécifiquement. Dans ces cas, nous avons recherché des formulations ambiguës, telles que l’exigence de rendre les données « intelligibles », ou nous avons trouvé des exemples de fournisseurs de télécommunications, par exemple Vodafone, interprétant la loi comme suggérant qu’ils croient que les forces de l’ordre pourraient leur demander de décrypter les données dans le pays.
Là où rien n’a été trouvé, nous avons omis le pays des résultats. L’absence de législation pourrait suggérer qu’il n’y a pas de restrictions/pouvoirs d’application de la loi, mais par souci de précision, nous n’avons pas inclus ces pays.
Sources
Pour une liste complète des sources, veuillez consulter notre feuille de calcul : https://docs.google.com/spreadsheets/d/1dcPIqWYJ5fe0HY6pCbWixTi6B9U9yX7FLURBbko5d1g/edit?usp=sharing