- Texte visé : Proposition de loi, adoptée par le Sénat, après engagement de la procédure accélérée, visant à sortir la France du piège du narcotrafic, n° 907
- Stade de lecture : 1ère lecture (2ème assemblée saisie)
- Examiné par : Commission des lois constitutionnelles, de la législation et de l'administration générale de la République
Supprimer cet article.
L’amendement vise à supprimer l’article 8 ter introduit au Sénat, qui impose aux opérateurs de messageries chiffrées de mettre en œuvre « les mesures techniques nécessaires afin de permettre d’accéder au contenu intelligible » des communications. Une telle disposition méconnaît les risques majeurs qu’elle fait peser sur la sécurité des communications numériques et ignore les récentes évolutions technologiques qui rendent inopérantes les obligations de résultat ainsi imposées.
L’exigence d’un affaiblissement des mécanismes de chiffrement va à l’encontre des principes fondamentaux de sécurité informatique et expose l’ensemble des utilisateurs à des menaces accrues. Guillaume Poupard, ancien directeur général de l’ANSSI, rappelait déjà en 2016 que « les moyens de cryptographie et notamment les technologies de chiffrement de l’information sont indispensables à la sécurité des échanges numériques », soulignant que toute obligation visant à imposer un accès garanti aux messages chiffrés aurait « pour effet désastreux d'affaiblir les mécanismes cryptographiques employés ». Cette position, partagée par l’ensemble des experts en cybersécurité, repose sur une réalité technique incontournable : il est impossible de créer une porte dérobée réservée aux autorités sans ouvrir cette même faille à des acteurs malveillants, qu’il s’agisse de cybercriminels ou d’entités étrangères.
Au-delà des risques en matière de sécurité, l’exigence posée par l’article 8 ter est techniquement irréalisable. L’évolution récente des protocoles de messagerie, en particulier l’introduction du chiffrement de bout en bout (E2EE, pour End-to-End Encryption) sur le standard RCS par Apple et Google, illustre cette impossibilité.
Le standard RCS (Rich Communication Services) a été adopté par Apple et Google afin de moderniser l’échange de messages entre les terminaux Android et iOS. Contrairement au SMS, qui repose sur les infrastructures des opérateurs télécoms, le RCS fonctionne exclusivement via la connexion internet de l’utilisateur. Sa gestion technique relève entièrement de Google, ce qui limite déjà considérablement le contrôle des opérateurs sur ce protocole.
Conscients des enjeux de sécurité et de régulation, les opérateurs ont engagé des discussions avec Google pour mettre en place un dispositif d’interception des flux et de conservation des métadonnées des échanges RCS. Toutefois, ces efforts se heurtent à une contrainte majeure : ils ne permettent en aucun cas de contourner un chiffrement de bout en bout (E2EE) si celui-ci est déployé. En effet, avec cette technologie, toutes les opérations de chiffrement et de déchiffrement, ainsi que la gestion des clés de sécurité, sont réalisées directement sur les terminaux des utilisateurs. Contrairement aux solutions classiques, où le chiffrement s’opère entre le terminal et l’infrastructure de l’opérateur, l'E2EE empêche toute interception intermédiaire. Autrement dit, ni Google, ni les opérateurs, ni aucune autorité tierce ne détient les clés permettant d’accéder aux messages échangés via RCS. Or, Apple et Google ont d’ores et déjà annoncé leur intention de déployer cette technologie, ce qui rendra le contenu des messages totalement inaccessible à tout tiers, y compris aux opérateurs et aux fournisseurs de services.
Dans ces conditions, l’obligation imposée par l’article 8 ter, ne tenant pas compte des réalités technologiques, s’avère techniquement inapplicable. Elle ferait peser sur les opérateurs une responsabilité qu’ils ne peuvent assumer, sous peine de sanctions sévères, alors même qu’ils n’ont aucun moyen technique d’intervenir sur ces communications.
Cette obligation disproportionnée entre alors également en contradiction avec le principe d’irresponsabilité des fournisseurs de services de transport, consacré par la directive européenne 2000/31 du 8 juin 2000 et repris à l’article 4-1 du Digital Services Act (DSA). Elle crée une insécurité juridique majeure pour les opérateurs tout en s’avérant inapplicable en pratique.
Il est donc impératif de supprimer cet article, qui ressuscite une fois de plus des propositions déjà rejetées à maintes reprises en raison de leurs implications dangereuses et inopérantes.