Michel Séjean
Professeur agrégé en droit privé et sciences criminelles, Université Bretagne Sud (laboratoire Lab-LEX)
et
Émilie Pouffier-Thompson
Doctorante en droit
Cabinet Alema Avocats et Université Bretagne-Sud (laboratoire Lab-LEX)
L’Union Européenne au soutien du chiffrement. – Le RGPD a instauré des dispositions qui encouragent le chiffrement de bout en bout au lieu d’en réprimer l’utilisation (articles 6, 32 et 34, et considérant 83 du préambule). Souhaitons que cet élan aille jusqu’à interdire aux États membres de forcer les fournisseurs de solutions de chiffrement à l’insertion de portes dérobées au sein de ces outils. La jurisprudence de la Cour de Justice de l’Union Européenne laisse espérer cette évolution, si l’on considère que la CJUE est défavorable aux moyens de contrôle des conversations privées des individus. Bien que la Cour ne se soit pas exprimée sur le chiffrement, elle s’est prononcée de manière remarquée sur les échanges privés, en invalidant la directive 2006/24/CE du 15 mars 2006 sur la conservation des données des services de communications électroniques (CJUE, gr. ch., 8 avr. 2014, aff. C-293/12 et aff. C-594/12, Digital Rights Ireland). Dans cette affaire, la Cour avait jugé que ce texte contrevenait tant au droit à la vie privée qu’au droit à la protection des données personnelles. En effet, la directive invalidée permettait aux États membres de contraindre les fournisseurs de services de communications électroniques à conserver systématiquement certaines données relatives aux échanges de leurs clients et surtout, à permettre aux autorités d’y accéder. Ce genre de mesure n’est-il pas assimilable à une disposition qui autoriserait les autorités à contraindre les fournisseurs de solutions de chiffrement à y introduire des portes dérobées ? L’analogie est permise : à moins qu’elle ne modifie radicalement sa position, la Cour devrait continuer à préserver et sécuriser la liberté de ses ressortissants. S’en réjouiront les responsables de traitement des données confidentielles, et en particulier les professionnels qui détiennent des informations confidentielles que leur confient un client ou un patient, en un mot : les confidents. Débarrassé des portes dérobées, le chiffrement de bout en bout demeure à ce jour la solution idoine qui protège les échanges d’informations intimes entre un client ou un patient et le professionnel à qui ils se confient.
Au-delà de la vie privée : l’intimité. – Qu’ils soient avocats ou médecins, les professionnels tenus au secret sont les confidents des individus dont ils traitent les données intimes. Parce que ce secret touche à l’intimité de la personne et à ses droits fondamentaux, il mérite une protection absolue, qui dépasse encore celle du secret des affaires. Mais qu’est-ce que l’intimité ? Cette notion est un concept qui va au-delà de celui de la vie privée. En témoigne le législateur français lorsqu’il emploie l’expression « intimité de la vie privée » (V. entre autres C. civ., art. 9 ; C. pén., art. 226-1), dont on comprend que l’intimité est une abstraction qui se loge au sein de la vie privée, mais qui est plus sacrée que son hôte. Est-il pour autant utile de rechercher les signes de cette dissociation entre intimité et vie privée ? Certainement, car à notre avis elle justifie le recours au chiffrement de bout en bout pour les échanges d’informations intimes, et permet d’écarter la suspicion dont le chiffrement fait l’objet. En d’autres termes, le recours à des moyens techniques permettant d’assurer la confidentialité dans la relation particulière unissant le confié et le confident est essentiel et ne saurait être bridé.
Le chiffrement, allié de la confidentialité. – Les portes dérobées qui s’ouvrent sur les conversations chiffrées sont particulièrement néfastes pour les individus. En ce sens, le considérant 75 en préambule du RGPD attire l’attention sur les « risques pour les droits et libertés des personnes physiques » qu’entraînerait une « perte de confidentialité des données protégées par le secret professionnel ». Toute autant cruciale que les droits et libertés des individus, c’est l’efficacité de la médecine et de la justice qui serait affectée par une trop faible sécurisation des données traitées par les professionnels tenus au secret. Comment, en effet, soigner un patient lorsqu’on ne peut être certain que la confidentialité de ses données est assurée par son médecin ? Comment un justiciable peut-il se croire défendu s’il ne peut se confier sans crainte à son avocat ? Pour ces raisons, les professionnels tenus au secret doivent recourir à un contrefort technique au moins aussi infaillible que leur devoir, une muraille sans porte dérobée.