admin | Valentin Boullier

Archives de l'auteur : admin

Focus sur le Congressional Artificial Intelligence Caucus avril 10, 2018

« (1) ARTIFICIAL INTELLIGENCE.—The term “artificial intelligence” includes the following: (A) Any artificial systems that perform tasks under varying and unpredictable circumstances, without significant human oversight, or that can learn from their experience and improve their performance. Such systems may be developed in computer software, physical hardware, or other contexts not yet contemplated. They may solve tasks requiring human-like perception, cognition, planning, learning, communication, or physical action. In general, the more human-like the system within the context of its tasks, the more it can be said to use artificial intelligence ». H.R. 4625, Sec. 3, (a), (1), (A).

Actuellement au cœur des débats publics, la thématique de l’intelligence artificielle s’insère durablement dans la sphère politique, comme le montre notamment la présentation du rapport Donner un sens à l’intelligence artificielle – Pour une stratégie nationale et européenne par le député Cédric Villani le 5 avril dernier. Pour autant, l’année précédente avait également été riche pour cette thématique, et, en France, le rapport d’information de la députée Claude de Ganay et de la sénatrice Dominique Gillot (Rapport au nom de l’Office parlementaire d’évaluation des choix scientifique et technologiques – Pour une intelligence artificielle maîtrisée, utile et démystifiée) fut enregistré à la présidence du Sénat en mars 2017.

Aux États-Unis, le député John K. Delaney (Congressman du 6ème district du Maryland, parti démocrate) créa le 24 mai 2017 l’Artificial Intelligence Caucus avec pour objectif de réunir des experts du milieu académique et des secteurs public et privé sur le thème de l’intelligence artificielle afin de renseigner efficacement les députés et sénateurs sur le sujet. Comme le note le débuté Delaney, « … En tant que législateurs, notre choix est soit d’être pris au pied levé, soit d’anticiper de manière proactive comment les choses vont changer et de travailler sur des politiques intelligentes pour s’assurer que le pays en profite autant que possible …(1) ».

L‘AI Caucus est actuellement présidé par les députés John K. Delaney et Pete Olson (Congressman du 22ème district du Texas, parti républicain) et réunit, en plus des deux co-chairs, dix-huit députés, dont Ted Lieu (député membre du parti démocrate, farouche opposant à la surveillance de masse et député à l’origine de l’ENCRYPT Act of 2016 qui visait à empêcher les États de demander ou d’imposer un affaiblissement des mesures de sécurité d’un produit ou d’un service dans le but d’opérer une surveillance).

Outre l’attention du public captée par les promesses d’un monde meilleur grâce à la technologie ou par les avertissements liés à un coup d’État robotique, l’intérêt des législateurs pour la thématique de l’intelligence artificielle peut être démontré par le dépôt récent de plusieurs propositions de loi. La H.R. 4625 (FUTURE of Artificial Intelligence Act of 2017, également dénommée Fundamentally Understanding The Usability and Realistic Evolution of Artificial Intelligence Act of 2017) a ainsi été introduite en décembre 2017 par le député John K. Delaney dans le but de créer une commission qui aurait pour mission de formuler des recommandations et des lignes directrices afin de « promouvoir l’investissement et la compétitivité des États-Unis dans la technologie, à adapter la main-d’œuvre américaine, à empêcher les préjugés … et à protéger le droit à la vie privée des personnes (2) ». La commission serait alors instaurée par le Secretary of Commerce sous le nom de Federal Advisory Committee on the Development and Implementation of Artificial Intelligence.

L’intelligence artificielle fait également l’objet d’autres propositions de lois émanant de parlementaires non-membres du AI Caucus. Ainsi, la proposition de loi H.R. 5356 (National Security Commission Artificial Intelligence Act of 2018), introduite par la députée Elise M. Stefanik (21ème district de New York, parti républicain) vise à établir une commission temporaire, indépendante et rattachée à la branche exécutive : la National Security Commission on Artificial Intelligence. Celle-ci serait chargée d’examiner les avancées, méthodes et moyens en matière d’intelligence artificielle et de machine learning en prenant en compte les besoins en matière de sécurité nationale – laquelle inclut les risques économiques. Les membres de la commission, au nombre de onze, seraient alors nommés par le Secretary of Defense et par les chairmen et les ranking minority members des commissions parlementaires relatives aux forces armées. Enfin, notons la rédaction d’un rapport dans les 180 jours suivant l’entrée en vigueur de la loi.

Parmi les autres propositions de loi, notons l’existence de la H.R. 4829 (Artificial Intelligence Job Opportunities and Background Summary Act of 2018) qui vise à la production d’un rapport relatif à l’intelligence artificielle afin de préparer la main d’œuvre au développement de celle-ci.

Notes :

Artificial Intelligence Caucus, House of Representatives, <https://artificialintelligencecaucus-delaney.house.gov/>
Intelligence artificielle : présentation du rapport de Cédric Villani, consultable à l’adresse <http://www2.assemblee-nationale.fr/15/les-delegations-comite-et-office-parlementaire/office-parlementaire-d-evaluation-des-choix-scientifiques-et-technologiques/secretariat/a-la-une/intelligence-artificielle-presentation-du-rapport-de-cedric-villani>
Intelligence artificielle maîtrisée, utile et démystifiée, <http://www.assemblee-nationale.fr/14/rap-off/i4594-tI.asp#P282_14308>
(1) Communiqué de presse, « Delaney Launches Bipartisan Artifical Intelligence (AI) Caucus for 115th Congress », publié le 24 mai 2017, consulté le 10 avril 2018, consultable à l’adresse <https://artificialintelligencecaucus-delaney.house.gov/media-center/press-releases/delaney-launches-ai-caucus>
(2) ROSS (M.), « U.S. Needs Sharper Focus on Artificial Intelligence Policy: Lawmaker », publié le 23 février 2018, consulté le 10 avril 2018, consultable à l’adresse <https://www.bna.com/us-needs-sharper-b57982089177/>

The House of Representatives and the Internet of Things: full speed ahead! octobre 6, 2016

Last week, the House of Representatives passed a resolution related to the Internet of Things (IoT). Introduced in House on September 7th by Rep. Leonard Lance (Republican) and co-sponsored by one republican and two democrats, it has been referred to the House Committee on Energy and Commerce the same day. This is one year after a similar resolution was passed by the Senate in nearly identical terms by Sen. Deb Fischer (republican). In January 2015, a congresswoman and the Chairman of the Subcommittee on Intellectual Property, Courts and the Internet had launched the Congressional Caucus on the Internet of Things.

The International Telecommunication Union defines the Internet of Things as « a global infrastructure for the information society, enabling advanced services by interconnecting (physical and virtual) things based on existing and evolving interoperable information and communication technologies » (ITU, recommendation ITU-T Y.2060, Overview of the Internet of Things, June 2012). Despite its importance and its growth, the IoT had not received, until now, the proper attention by the representatives and the Administration, as officials were more focused on big data (see Obama’s January, 17th speech and several reports: PODESTA (J)., PRITZKER (P.), et alii, Big Data: Seizing Opportunities, Preserving Values, may 2014, 85p. and MUÑOZ (C.), SMITH (M.), PATIL (DJ), Big Data: A Report on Algorithmic Systems, Opportunity, and Civil Rights, Executive Office of the President, may 2016).

By this resolution (H. Res. 847), the House fully recognizes the potential of the IoT, that could « generate trillions of dollars in economic opportunity ». The House calls for a national strategy to encourage the development of the IoT « in a way that maximizes the promise connected technologies hold to empower consumers … ». Beyond consumers, it is the opinion of the House that the IoT shall empower citizens, and may cut « waste, fraud, and abuse … ». According to the House, the Government should also develops its collaboration with the private sector. The main issues about the IoT, privacy and cybersecurity, are also considered and the House encourages businesses to implement « reasonable privacy and cybersecurity practices and protect consumers’ personal information to increase confidence, trust, and acceptance of this emerging market ».

The Center for Data Innovation, which called for a national strategy a year before in its report « Why Countries Need National Strategies for the Internet of Things », congratulated the House.

On a blog post, Intel also congratulated the House and highlighted the importance to adopter the DIGIT Act in a near future. The Developing Innovation and Growing the Internet of Things Act, introduced in Senate by Sen. Deb Fisher (S. 2067; the DIGIT Act has been introduced in House by Rep. Erik Paulsen – H.R. 5117), if passed, would require the Department of Commerce to set up a working group in order to deliver recommendations and report to the Congress about the IoT.

SOURCES:

H. Res. 847-Expressing the sense of the House of Representatives about a national strategy for the Internet of Things to promote economic growth and consumer empowerment, <https://www.congress.gov/bill/114th-congress/house-resolution/847>
Obama’s speech: <https://www.washingtonpost.com/politics/full-text-of-president-obamas-jan-17-speech-on-nsa-reforms/2014/01/17/fa33590a-7f8c-11e3-9556-4a4bf7bcbd84_story.html>
PODESTA (J)., PRITZKER (P.), et alii, Big Data: Seizing Opportunities, Preserving Values, may 2014, 85p.
MUÑOZ (C.), SMITH (M.), PATIL (DJ), Big Data: A Report on Algorithmic Systems, Opportunity, and Civil Rights, Executive Office of the President, may 2016, 29p.
DICKMAN (M.), blogs.intel.com, America’s Path Progresses to a National “Internet of Things” Strategy, September 14th, 2016, <http://blogs.intel.com/policy/2016/09/14/americas-path-progresses-national-internet-things-strategy/>
NEW (J.), www.datainnovation.com, Congress Just Got Serious About a National Strategy for the Internet of Things, September 12th, 2016, <https://www.datainnovation.org/2016/09/congress-just-got-serious-about-a-national-strategy-for-the-internet-of-things/>
NEW (J.), CASTRO (D.), Center for Data Innovation, Why Countries Need National Strategies for the Internet of Things, December 16th, 2016, http://www2.datainnovation.org/2015-national-iot-strategies.pdf>
Press release, U.S. Reps. DelBene and Issa announce Creation of the Congressional Internet of Things Caucus, January 13rd, 2015, <https://delbene.house.gov/media-center/press-releases/us-reps-delbene-and-issa-announce-creation-of-the-congressional-internet>

Oregon v. Nascimento : précision sur la notion d’autorisation en matière de délits informatiques aux USA août 16, 2016

Le 21 juillet 2016, la Cour suprême de l’Oregon a rendu un arrêt permettant de mieux apprécier la notion d' »autorisation » en matière de délits informatiques (computer crime).

Le dirigeant d’un magasin avait constaté des irrégularités , le fond de caisse étant anormalement bas, tandis que la vente de billets de loterie était en hausse de manière inhabituelle. Celui-ci, après avoir mené une enquête, s’aperçut que les irrégularités pouvaient être constatées lors du jour de présence d’une employée. Il vérifia les caméras de surveillance, qui montrèrent ladite employée imprimer des billets de loterie pour son usage personnel tout en omettant de payer pour les tickets. Le manager du magasin affirma avoir autorisé l’employée à utiliser le terminal de loterie, mais confirma l’existence d’une règle du magasin : aucun employé ne pouvait utiliser le terminal pour acheter des billets pour son propre compte durant le temps de travail.

L’employée fut accusée d’avoir violé l‘ORS 164.377 (Oregon Revised Statutes). Le débat se cristallisa autour des sections 2 et 4 des statuts :

(2) Any person commits computer crime who knowingly accesses, attempts to access or uses, or attempts to use, any computer, computer system, computer network or any part thereof for the purpose of:
(a) Devising or executing any scheme or artifice to defraud;
(b) Obtaining money, property or services by means of false or fraudulent pretenses, representations or promises; or
(c) Committing theft, including, but not limited to, theft of proprietary information or theft of an intimate image.

(4) Any person who knowingly and without authorization uses, accesses or attempts to access any computer, computer system, computer network, or any computer software, program, documentation or data contained in such computer, computer system or computer network, commits computer crime.

La section 4 fut longuement débattue, en raison de l’expression « sans autorisation ». En effet, l’employée disposait-elle de l’autorisation nécessaire pour utiliser le terminal ? Celle-ci était certes autorisée à l’utiliser, mais l’utilisation qu’elle en a fait, non autorisée, permettait-elle de la condamner en invoquant la section 4, si l’on détermine que le vol de tickets de loterie n’est pas autorisé ?

En première instance, le tribunal condamna l’employée pour vol – ce qui n’est pas contesté – et pour avoir accéder au terminal sans autorisation. L’employée contesta cela : selon elle, son supérieur hiérarchique lui avait donné l’autorisation d’utiliser le terminal de loterie. La Cour d’appel, dans un arrêt en date du 4 février 2015 (State of Oregon v. Caryn Aline Nascimento, In the Court of Appeals of the State of Oregon) confirma le jugement de première instance. Une petition for review fut déposée, et l‘EFF déposa un amicus curiae. La question posée à la Cour suprême de l’Oregon était simple : « une employée autorisée par son employeur à utiliser un ordinateur viole-t-elle l’ORS 164.377(4) en utilisant celui-ci pour accomplir un objectif non permis ? »

Pour l‘EFF, le danger est simple :

This case is dangerous because it gives employers—and website owners—the power to make behavior illegal just by stating in a written computer use policy that it’s not allowed. For example, a worker could be prosecuted for reading personal email or checking the score of a baseball game if her employer’s policy says that company computers may be used only for work-related purposes.
WILLIAMS (J.), www.eff.org, EFF Urges Oregon Supreme Court To Review Troubling Computer Crime Decision, publié le 13 mai 2015, consultable à l’adresse <https://www.eff.org/deeplinks/2015/05/eff-urges-oregon-supreme-court-review-troubling-computer-crime-decision>

Pour l‘EFF, l’interprétation de l’ORS 164.277(4) par l’Etat de l’Oregon pouvait engendrer des conséquences particulièrement néfastes.

La Cour suprême de l’Oregon reconnaît que l’interprétation par l’Etat de l’Oregon est extensive, et soutient les arguments de l’employée, en affirmant que l’utilisation du terminal de loterie était une utilisation autorisée par l’employeur, l’employée ayant en effet été autorisée à imprimer des tickets via ce terminal. La Cour reprend même l’argument de l‘EFF, en estimant que l’adoption de l’interprétation faite par l’Etat de l’Oregon pourrait permettre l’engagement de poursuites contre des employés ayant envoyé un courriel privé via leur ordinateur de travail, dans l’hypothèse où cette utilisation ne serait pas autorisée par l’employeur. La Cour suprême prend soin de noter qu’en l’espèce, l’employée n’avait pas contourné des mesures de sécurité : le mot de passe était entré chaque matin par un manager, laissant ainsi l’utilisation libre pour les employés devant se servir du terminal. Ainsi, l’utilisation du terminal était illicite, mais l’employée n’avait pas accédé au terminal sans autorisation. La juridiction suprême de l’Oregon souligne également que « l’histoire législative » est en faveur de l’employée.

SOURCES :

L’arrêt du 21 juillet 2016 est librement consultable sur Justia US Law à l’adresse <http://law.justia.com/cases/oregon/supreme-court/2016/s063197.html>
L’arrêt de la Cour d’appel est consultable à l’adresse <https://www.eff.org/document/nascimento-court-appeals-decision>
FARIVAR (C.), www.arstechnica.com, Clerk printed lottery tockets she didn’t pay for but didn’t break hacking law, publié le 2 août 2016, consultable à l’adresse <http://arstechnica.com/tech-policy/2016/08/court-store-clerk-who-stole-lottery-tickets-didnt-violate-state-hacking-law/>
WILLIAMS (J.), www.eff.org, EFF Urges Oregon Supreme Court To Review Troubling Computer Crime Decision, publié le 13 mai 2015, consultable à l’adresse <https://www.eff.org/deeplinks/2015/05/eff-urges-oregon-supreme-court-review-troubling-computer-crime-decision>
WILLIAMS (J.), www.eff.orf, Victory! Oregon Supreme Court Agrees that Violating a Company Rule is Not a Computer Crime, publié le 2 août 2016, consultable à l’adresse <https://www.eff.org/deeplinks/2016/08/victory-oregon-supreme-court-agrees-violating-company-rule-not-computer-crime>

ICANN et transition : les dernières actualités mai 4, 2016

Le 10 mars 2016, l‘ICANN adressait au gouvernement américain une proposition de plan de transition. Celui-ci nourrit deux ambitions : d’une part, opérer la transition des fonctions IANA, pour l’instant sous contrôle américain, et, d’autre part, doter l‘ICANN d’une plus grande indépendance. L’objectif primaire est donc d’opérer une transition entre un modèle sous contrôle américain et un modèle « multistakeholder » affranchi de tout contrôle gouvernemental. Cet objectif de transition est présent depuis la création de l‘ICANN, en 1998. Malheureusement, celui-ci a sans cesse été repoussé, le gouvernement américain privilégiant la conclusion d’accord entre l‘ICANN – société américaine – et la NTIA (National Telecommunication and Information Administration).

Cependant, la position du gouvernement américain était de plus en plus inconfortable, notamment suite aux événements de 2013 et aux pressions en découlant. L’essentiel de ces pressions proviennent notamment de l’Union européen, qui cherche à doter l‘ICANN d’une plus grande indépendance. C’est ainsi que le 14 mars 2014, la NTIA a annoncé sa volonté d’engager, de manière concrète, la transition tant convoitée. L‘ICANN a donc été chargée d’élaborer un plan de transition, basé notamment sur les opinions de plusieurs groupes ou communities. L’objectif de cette task force est simple : proposer un plan permettant à l‘ICANN d’assurer la gestion des fonctions IANA, afin que la NTIA ne soit plus en charge de celles-ci. Le groupe à l’origine de la proposition de plan est constitué de trois communities : la Domain Names Community, l‘Internet Number Community, et la Protocol Parameters Registries Community. Ces trois groupes forment l‘ICG (IANA Stewardship Transition Coordination Group). Le plan devant être soumis devait satisfaire à plusieurs exigences provenant de l‘IANA. L‘ICG devait ainsi :

être composé de communities bénéficiant d’un support communautaire;
élaborer un plan basé sur un modèle multiparties;
assurer, dans son plan, la « sécurité, la stabilité et la résilience » du DNS;
respecter les besoins et attentes des clients globaux et des partenaires des services IANA;
maintenir un Internet « ouvert »;
« ne pas remplacer le rôle de la NTIA par un gouvernement ou une organisation gouvernementale ».

Ces exigences sont similaires aux exigences formulées antérieurement par la NTIA, et ont toujours servi de « fil rouge » dans la conduite de la transition.

Le plan proposé par l‘ICANN et l‘ICG est complexe -plus de 210 pages- et est librement consultable sur le site de l‘ICANN, à cette adresse (fichier .pdf).

L’enjeu est de taille, mais l’échéance approche rapidement, la fin du contrat liant l‘ICANN et la NTIA étant fixée au mois de septembre 2016.

Les réactions à ce plan de transition ont été nombreuses. La réaction la plus importante est sans doute celle de Lawrence E. Strickling (Assistant Secretary of Commerce for Communications and Information), qui souligne l’importance du travail effectué par la communauté Internet et estime que le Department of Commerce étudiera, dans un délai de 90 jours, le plan de transition. Lawrence E. Strickling rappelle également, dans sa déclaration, que l’Inde s’est prononcée en faveur du modèle multiparties. Cependant, il souligne également la place de la Chine dans le débat, qui « fait partie des pays qui ont envoyés des messages contradictoires quant à sa position sur ledit modèle.

La réaction française est tout autre, le Monde faisant état d’une réticence française au nouveau plan de transition : « Le Quai d’Orsay se dit aujourd’hui déçu par les modalités de la future organisation et dénonce notamment la mainmise des géants américains du Net » (l’article est à lire à cette adresse).

Le Communiqué de Moscou aborde également le sujet de la gouvernance de l’Internet. En son point 12, les Ministres des affaires étrangères de la Russie, de l’Inde et de la Chine notent notamment qu’ils sont convaincus « que tous les États devraient participer à son de l’Internet évolution et à son fonctionnement, sur un pied d’égalité ». Ils soulignent également, ce à quoi les États-Unis se sont toujours opposés, la nécessité d’internationaliser l’Internet et de développer le rôle de l’ITU (International Telecommunication Union).

L’avis du Congrès américain sur le plan de transition est donc particulièrement attendu.

Sources :

ANONYME, communiqué de presse de l’ICANN, www.icann.org, « Plan to Transition Stewardship of Key Internet Functions Sent to the U.S. Government », mis en ligne le 10 mars 2016, consulté le 4 mai 2016, consultable à l’adresse <https://www.icann.org/news/announcement-2016-03-10-en>

CHAFFIN (Z.), www.lemonde.com, « Paris dénonce une « privatisation » de la gouvernance d’Internet », mis en ligne le 24 mars 2016, consulté le 4 mai 2016, consultable à l’adresse <http://www.lemonde.fr/economie/article/2016/03/24/icann-paris-denonce-une-privatisation-de-la-gouvernance-d-internet_4889567_3234.html>

DANIELS (M.), www.thehill.com, « This summer, Congress must take sure the internet stays free », mis en ligne le 27 avril 2016, consulté le 4 mai 2016, consultable à l’adresse <http://thehill.com/blogs/pundits-blog/technology/277806-this-summer-congress-must-make-sure-the-internet-stays-free>

GROSS (A.), www.circleid.com, « Internet Governance in Transition: The ITU as a Battleground for Rival Visions », mis en ligne le 29 avril 2016, consulté le 4 mai 2016, consultable à l’adresse <http://www.circleid.com/posts/20160429_internet_governance_in_transition_itu_battleground_rival_visions/>

Joint Communiqué of the 14th Meeting of the Foreign Ministers of the Russian Federation, the Republic of India and the People’s Republic of China, www.mea.gov.in, mis en ligne le 18 avril 2016, consulté le 4 mai 2016, consultable à l’adresse <http://www.mea.gov.in/bilateral-documents.htm?dtl/26628/Joint+Communiqu+of+the+14th+Meeting+of+the+Foreign+Ministers+of+the+Russian+Federation+the+Republic+of+India+and+the+Peoples+Republic+of+China>

SCHAEFER (B. D.), ROSENZWEIG (P.), www.heritage.org, « ICANN Transition Proposal: The U.S. Should Proceed with Caution », mis en ligne le 4 avril 2016, consulte le 4 mai 2016, consultable à l’adresse <http://www.heritage.org/research/reports/2016/04/icann-transition-proposal-the-us-should-proceed-with-caution>

STRICKLING (L. E.) – déclaration, www.ntia.doc.gov, « Remarks of Assistant Secretary Strickling at the Information Technology and Innovation Foundation 03/17/2016 », mis en ligne le 17 mars 2016, consulté le 4 mai 2016, consultable à l’adresse <https://www.ntia.doc.gov/speechtestimony/2016/remarks-assistant-secretary-strickling-information-technology-and-innovation-fo>

SUKUMAR (A.M.), SARAN (S.), www.thewire.in, « What the Moscow Communique on Internet Governance Says About India’s Role in the Global Order », mis en ligne le 19 avril 2016, consulté le 4 mai 2016, consultable à l’adresse <http://thewire.in/2016/04/19/what-the-moscow-communique-says-about-indias-role-in-the-global-order-30364/>

TAYLOR (D.), MIKUL (C.), « ICANN sets course for change of Internet stewardship », mis en ligne le 7 avril 2016, consulté le 4 mai 2016, consultable à l’adresse <http://www.lexology.com/library/detail.aspx?g=b8f5da45-7169-4e39-9834-f84b9f318518>

Des nouvelles de Californie : l’AB-1681 avril 6, 2016

Mise à jour du 14 avril 2016 : l’AB-1681 a été rejetée en comité. L’EFF note cependant que le député à l’origine du texte souhaite redéposer une proposition de loi similaire à la prochaine session.

Si le litige entre Apple et le FBI est actuellement au centre de toutes les attentions, il serait regrettable de détourner le regard de propositions de lois relatives au chiffrage des téléphones. En effet, l’actualité législative fédérée est particulièrement soutenue ces derniers temps. Ainsi, un représentant à l’Assemblée de Californie a récemment introduit une proposition de loi, l’AB-1681.

La législation de la Californie, terre de la Silicon Valley et bastion des géants du numérique, est souvent mise en avant pour son habilité à comprendre les enjeux du numérique tout en sauvegardant les droits et libertés fondamentaux. Ainsi, la Californie a récemment adopté plusieurs propositions de lois permettant une meilleure protection de ceux-ci, comme la SB-74 (interception des communications électroniques d’un téléphone possible seulement après l’obtention d’un mandat), l’AB-856 (interdiction de la captation d’images à partir d’un drone), l’AB-1116 (prohibition des enregistrements de conversations privées par une smart TV), la SB-34 (plaques d’immatriculation), la SB-249 (consultation des permis de conduire), ou encore la SB-178. Cette dernière est la plus ambitieuse : elle impose notamment l’obtention d’un mandat avant toute interception de communications électroniques. Appelée « CALECPA », pour « California Electronic Communications Protection Act », en référence au célèbre Electronic Communications Protection Act de 1986, cette loi a été largement saluée par les associations de défense des libertés, comme l’ACLU ou l’EFF. Celle-ci a en effet restreint les possibilités d’interception de communications par les agences gouvernementales. Elle est cependant critiquée pour son inefficacité et a été sérieusement amendée par le US Patriot Act. Devant un panorama californien aussi favorable aux droits et libertés fondamentaux, il est intéressant de noter que l’État de Californie a parfois été le laboratoire de nouvelles technologies pouvant gravement attenter aux libertés.

Cette proposition de loi tente, au nom de la lutte contre le trafic d’êtres humains, d’empêcher les constructeurs et les développeurs de système d’exploitation de téléphones de mettre en œuvre des capacités de chiffrage trop élaborées. En effet, lorsque cette proposition de loi a été déposée, celle-ci prévoyait une forte amende (2500 dollars pour chaque smartphone vendu ou mis en leasing) lorsque les deux acteurs mentionnés étaient dans l’impossibilité de décrypter ou de débloquer les smartphones. Au vu des actualités impliquant Apple et le FBI, l’enjeu est de taille. Très vite, les associations de défense des libertés, comme l’EFF, se sont inquiétées des dérives possibles.

Au cours du processus législatif, la proposition a été profondément remaniée. Par des amendements en date du 8 et du 28 mars, les constructeurs et les développeurs du système d’exploitation ne s’exposent plus qu’à 2500 dollars d’amende à chaque instance engagée lorsque ceux-ci ont été dans l’incapacité de débloquer ou décrypter le smartphone malgré l’existence d’une ordonnance judiciaire – ce qui réduit très nettement l’impact de la proposition. La proposition prend soin de préciser qu’en cas de condamnation, le constructeur ou le développeur du système d’exploitation ne pourront pas répercuter l’amende sur le consommateur.

Une proposition de loi similaire a été déposée dans l’État de New York. L’AB-8093 prévoit que « tout smartphone assemblé après le premier janvier 2016 [la date n’a pas été modifié depuis le dépôt de la proposition à l’Assemblée de l’État de New York, ndlr] devra pouvoir être décrypté ou débloqué par son fabricant ou le développeur du système d’exploitation ». La sanction à cette obligation consisterait au paiement d’une amende de 5000 dollars par téléphone vendu ou proposé en leasing, si le vendeur savait au moment de la vente (ou du leasing) que le téléphone ne pouvait pas être débloqué ou déchiffrer. En revanche, une « immunité » serait instituée, dans l’hypothèse où le téléphone ne peut être débloqué ou déchiffré en raison du comportement de l’acheteur : ainsi, si ce dernier rend son téléphone indéchiffrable (par exemple, en rajoutant des programmes permettant d’assurer un chiffrage incassable par le développeur ou le fabricant), la responsabilité du fabricant ou du développeur du système d’exploitation ne pourrait être engagée. Cette immunité ne serait valable que si ces « actions » n’ont pas été autorisées par ces derniers.

Une autre proposition de loi rassure cependant les associations de défense des libertés : le Encrypt Act of 2016 (Ensuring National Constitutional Rights for Your Private Telecommunications Act of 2016 – il est intéressant de noter que le nom de la proposition mentionne le terme constitutional : ainsi, les auteurs semblent considérer que la surveillance porte atteinte aux amendements de la Constitution impactant la privacy comme le quatrième amendement). Cette proposition de loi, déposée à la Chambre des représentants par plusieurs députés – dont un californien – vise à empêcher, entre autres, les États fédérés d’imposer aux constructeurs/développeurs de systèmes d’exploitation l’altération ou le développement de fonctionnalités de sécurité afin de permettre la surveillance des utilisateurs ou une fouille physique de l’appareil. De même, cette loi pourrait empêcher les agences gouvernementales de décrypter ou de « rendre intelligibles » des informations chiffrées. Enfin, un État fédéré ne pourrait interdire la vente d’un produit possédant des capacités de chiffrage.

Sources :

-Texte de l’AB-1681 : https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201520160AB1681

-Texte de l’AB-8093 : http://legislation.nysenate.gov/pdf/bills/2015/A8093

-Texte du H.R. 4528 : https://www.congress.gov/bill/114th-congress/house-bill/4528/text

-ANONYME, www.asmdc.org, Cooper Introduces Human Trafficking Evidentiary Access Legislation, mis en ligne le 20 janvier 2016, consulté le 31 mars 2016, accessible à l’adresse <http://asmdc.org/members/a09/news-room/press-releases/cooper-introduces-human-trafficking-evidentiary-access-legislation>

-ANONYME, eastcountytoday.net, AB 1681 : Assemblyman Wants to Ban Encrypted Phones, mis en ligne le 24 janvier 2016, consulté le 31 mars 2016, accessible à l’adresse <http://eastcountytoday.net/ab-1681-assemblyman-wants-to-ban-encrypted-phones/>

-BARRETT (B.), www.wired.com, New Bill Aims to Stop State-Level Decryption Before its Starts, mis en ligne le 10 février 2016, consulté le 31 mars 2016, accessible à l’adresse <http://www.wired.com/2016/02/encrypt-act-2016/>

-CROCKER (A.), www.eff.org, Worried about Apple ? California Has a Bill That Would Disable Encryption on all Smartphones, publié le 9 mars 2016, consulté le 31 mars 2016, accessible à l’adresse <https://www.eff.org/deeplinks/2016/03/worried-about-apple-california-has-bill-would-disable-encryption-all-phones>

-FARIVAR (C.), arstechnica.com, Yet another bill seeks to weaken encryption-by-default on smartphones, publié le 21 janvier 2016, consulté le 31 mars 2016, accessible à l’adresse <http://arstechnica.com/tech-policy/2016/01/yet-another-bill-seeks-to-weaken-encryption-by-default-on-smartphones/>

-KEATING (L.), www.techtimes.com, California Proposes A Bill That Would Ban The Sale Of Encrypted Smartphones, mis en ligne le 21 janvier 2016, consulté le 31 mars 20146, accessible à l’adresse <http://www.techtimes.com/articles/126659/20160121/california-proposes-bill-ban-sale-encrypted-smartphones.htm>

Le renforcement de la vie privée des étudiants aux États-Unis février 3, 2016

Si la France rêve d’une école connectée où les nouvelles technologies seraient les reines de l’apprentissage et où les élèves apprendraient à coder, les États-Unis s’inquiètent des possibles violations de la vie privée des étudiants par les appareils électroniques mis à leur disposition.

NB : Nous n’aborderons pas ici les bases de données étudiantes, malgré l’attrait du sujet. Celui-ci mériterait en effet un autre article.

Un constat alarmant

Avec la mise à disposition de Chromebooks, l’utilisation possible de spywares, la multiplication des publicités ou encore les possibilités pour certaines écoles de procéder à des « inspections » – un terme plus correct pourrait être « fouilles »-, de nombreux parents d’élèves et associations se sont inquiétés de possibles abus.

À titre d’exemple, l’ACLU mentionne – dans un rapport rendu public le 28 octobre 2015, disponible ici – une école ayant utilisé un spyware sur les ordinateurs mis à la disposition des étudiants afin de récupérer les correspondances et des captures d’écran. Les parents de deux étudiants poursuivirent l’école et obtinrent un dédommagement conséquent. Une autre école utilisa une application afin de connaître – en temps réel – l’historique web, la localisation, et la frappe clavier des étudiants (certaines fonctionnalités furent désinstallées par la suite). Ce même rapport souligne l’inquiétude des parents face à des technologies non maîtrisées, en citant une étude menée par le Future of Privacy Forum, indiquant que 87 % des parents interrogés « s’inquiètent que des données soient piratées ou volées ». Un parent d’élève, dans une tribune publiée par The Oregonian, n’hésitait pas à invoquer la Convention relative aux droits de l’enfant, dont l’article 16 dispose que :

1. Nul enfant ne fera l’objet d’immixtions arbitraires ou illégales dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d’atteintes illégales à son honneur et à sa réputation. 2. L’enfant a droit à la protection de la loi contre de telles immixtions ou de telles atteintes.

Les exemples de violations de la vie privée sont nombreux : ainsi, en 2011, le principal d’une école du Minnesota avait réclamé le mot de passe du compte Facebook d’une élève en raison de la plainte d’un parent ayant pris connaissance des conversations privées de leur fils avec une élève de l’établissement. L’intéressée et ses parents, en invoquant le quatrième amendement, parvinrent à pousser l’école à la négociation. Pour rappel, le quatrième amendement protège notamment les citoyens américains contre les fouilles arbitraires :

Il ne sera pas porté atteinte au droit des citoyens d’être exempts de toute perquisition ou saisie déraisonnable concernant leur personne, leur domicile, les documents et biens leur appartenant ; aucun mandat de perquisition ne pourra être délivré s’il ne se fonde sur des motifs plausibles, s’il ne s’appuie sur des déclarations ou des affirmations sous serment et s’il ne mentionne de façon détaillée les lieux qui doivent faire l’objet de la perquisition et les personnes ou objets dont il faut s’assurer (traduction présente sur le site de la Documentation française, consultable à cette adresse).

Il est intéressant de noter que si le quatrième amendement ne contient pas explicitement le terme privacy, la Cour suprême reconnaît qu’il la protège, comme le montre l’arrêt Katz v. United States, (389 U.S. 347, 1967) : dans cet arrêt, Justice Stewart, chargé de communiquer l’opinion de la Cour, écrit ainsi que si le quatrième amendement ne peut consacrer un « droit constitutionnel général à la vie privée », il protège les « personnes, pas les lieux » : Justice Stewart conclut ainsi que ce que la personne « cherche à garder privé, même dans un lieu accessible au public, peut être protégé constitutionnellement » (l’arrêt peut être consulté ici). L’ACLU, dans une notice à destination des étudiants, relève que « le droit à la vie privée n’est pas mentionné par la Constitution [la privacy est par contre mentionnée dans les Constitutions de plusieurs États fédérés, comme la Californie ou la Floride, ndlr], mais la Cour suprême a affirmé que plusieurs amendements créaient ce droit ». En effet, la privacy est « diffusée » par plusieurs amendements. Certains auteurs relèvent ainsi que les premier, troisième, quatrième cinquième, neuvième et quatorzième amendements permettent une protection de la privacy. Cependant, ces amendements protègent plus que la vie privée : le quatrième protège en effet les citoyens des fouilles et saisies arbitraires (on parle de la nécessité d’une « probable cause » – en français, « motifs plausibles »). Au-delà de l’application du droit à la vie privée à des problématiques « numériques », et à titre anecdotique, il est intéressant de relever que les étudiants américains disposent de moins de protection contre les fouilles que les étudiants français : ainsi, l’ACLU, dans sa notice, souligne que « vous avez moins de vie privée dans l’école qu’à l’extérieur de l’école » : la lutte contre les stupéfiants justifierait ainsi la diminution des droits. Mais revenons au sujet de cet article.

Une étude du Pittsburgh Post-Gazette révèle que sur 31 « systèmes éducatifs » de Pennsylvanie, seuls 11 avaient mis en place des procédures permettant de s’assurer que les logiciels ou applications ne violaient pas la vie privée des étudiants. Sur son site, le journal publie également un tableau relatif aux pratiques des districts. Un de ces districts est salué par le journal, celui-ci imposant aux enseignants, avant toute utilisation d’un logiciel ou d’une application, de remplir un document qui sera transmis au district, qui procédera à l’examen du software et du respect de celui-ci de la vie privée et des lois fédérales. Le journal précise également que le district procède à l’envoi « de lettres à destination des parents, en réclamant la permission des parents afin d’utiliser les données de l’étudiant en vue de l’enregistrement de celui-ci sur des sites webs, comme Google, Dropbox ou ThinkCentral ». Enfin, ce district aurait banni « dans les écoles élémentaires » les Google Apps for Education, en raison d’un procès intenté à Google, la plainte indiquant que Google aurait procédé à l’analyse des e-mails des étudiants.

La contre-attaque des associations

De nombreuses associations ont ainsi décidé d’enquêter plus en profondeur : outre la fameuse ACLU, l’EPIC (Electronic Privacy Information Center, notamment auteur du Student Privacy Bill of Rights), l’EFF (Electronic Frontier Fondation), ou la Data Quality Campaign ont mené des enquêtes approfondies, parfois en réclamant des écoles les documents publics relatifs à la vie privée des étudiants. Une étude de la Data Quality Campaign relève ainsi qu’en 2014, 110 propositions de lois furent déposées dans 36 États ; à la fin de l’année, 24 propositions de lois furent votées dans 21 États. En 2015, 182 propositions furent déposées auprès de 46 assemblées fédérées. Sur ces 182 propositions, 28 furent adoptées. 15 États renforcèrent ainsi la vie privée des étudiants. L’association fournit également un tableau complet, permettant de mieux appréhender les problématiques prises en compte par les États fédérés (opt-out, guidelines, etc.).

En 2015, l’EFF a lancé une campagne nationale permettant aux étudiants et aux parents de contacter l’association afin d’alerter les pratiques des écoles. Cette enquête permet également à des lanceurs d’alerte d’attirer l’attention de l’EFF : ainsi, les directeurs d’établissement et les professeurs peuvent également contacter l’association. Cette dernière est même allée plus loin, en introduisant auprès de la FTC (Federal Trade Commission) une plainte contre Google, accusée de violer le Student Privacy Pledge, une charte développée par le Future of Privacy Forum par laquelle les signataires (les distributeurs d’appareils électroniques) s’engagent à respecter la vie privée des étudiants. Ainsi, 227 entreprises – comme Google (celle-ci ayant, au départ, refusé de signer le Pledge en raison de la conformité existante des produits développés par Google ; cf. l’article du Wall Street Journal cité en fin d’article), Apple, KhanAcademy – se sont engagées, par exemple, à ne pas vendre de données personnelles ou à ne pas utiliser un profil (crée à partir de données récoltées grâce à un service éducatif) pour de la publicité ciblée. Si, en France, la loi 78-17 instaure un cadre strict, la conception américaine est toute différente : ce Pledge est donc nécessaire afin de préserver la vie privée des étudiants. Par cette plainte, l’EFF réclame à la FTC l’application stricte du FTCA (Federal Trade Commission Act), dont la section 5 prévoit que :

The Commission is herevy empowered and directed to prevent persons, partnerships, or corporations […] from using unfait methodes of competition in or affecting commerce and unfait or deceptive acts or pratices in or affecting commerce.

Dans sa plainte, l’EFF vise tout particulièrement la collecte de données au-delà de ce qui est autorisé par le Pledge, collecte notamment opérée par Chrome Sync (Chrome étant le navigateur par défaut des Chromebooks). L’association parle ainsi de pratiques déloyales et de pratiques déceptives, et réclame, d’une part, la destruction de l’ensemble des données récoltées sans autorisation et non nécessaires au service éducatif, et, d’autre part, que Google avertisse les étudiants (« et, dans la mesure du possible, les parents ») de la collecte de données. Enfin, l’EFF estime que la FTC doit enjoindre Google à ne plus opérer de collecte, ou, à défaut, de se retirer du Pledge.

Google, dans un post de blog en date du 2 décembre 2015, a réagi, en rappelant « la manière dont nos produits fonctionnent, et comment nous protégeons les données des étudiants ». La firme souligne ainsi que les Google Apps for Education Core Services récoltent des données uniquement afin de permettre le fonctionnement de ces applications : « il n’y a donc pas de publicité dans ces Core Services, et les données des étudiants ne sont donc pas utilisées dans des buts publicitaires ». Enfin, Google se défend en affirmant que Chrome Sync « n’est pas connecté à une personne spécifique et n’est pas utilisé dans le but d’analyser le comportement des étudiants » ; les données de Chrome Sync ne permettraient ainsi pas « d’effectuer de la publicité ciblée ».

L’Université de Berkeley a également indiqué, le 1er février 2016, poursuivre Google, qui procéderait, selon l’université, à l’analyse des e-mails des étudiants.

Des réactions fédérales et fédérées

Le pouvoir législatif, qu’il soit fédéral ou fédéré, s’organise actuellement afin de renforcer la protection de la vie privée. Au niveau fédéral, nous pouvons citer le Student Digital Privacy and Parental Rights Act of 2015 (H.R. 2092 – « To require operators that provide online and similar services to educational agencies or institutions to protect the privacy and security of personally identifiable information, and for other purposes »), introduit le 29 avril 2015.

Cette loi, si elle était votée, interdirait la publicité ciblée, la vente de données à une tierce-partie, la collecte ou l’utilisation de données en-dehors de buts pédagogiques. La loi imposerait également la mise en place de procédures de sécurité, la suppression de données dans certaines hypothèses (par exemple si l’école le réclame) ou encore une notification en cas de « fuite » de données.

Toujours au niveau fédéral, nous pouvons citer le FERPA (Family Educational Rights and Privacy Act) de 1974 relatif à la confidentialité des données, ou encore le Student Privacy Protection Act (S. 1341) introduit au Sénat le 14 mai 2015.

Au niveau fédéré, nous pouvons signaler les actions de M. Duane Hall, membre de la Chambre des représentants de la Caroline du Nord, qui serait en train de rédiger une loi « empêchant le personnel d’une école de réclamer aux étudiants les noms d’utilisateurs et les mots de passe des réseaux sociaux tels que Facebook ou Twitter ». M. Duane Hall avait déjà tenté, avec plusieurs de ses collègues, de faire adopter par l’Assemblée de Caroline du Nord une loi (HB846 – Job and Education Privacy Act) visant à empêcher les employeurs et les universités de réclamer les noms d’utilisateurs et les mots de passe des réseaux sociaux et des comptes de messagerie électronique. De nombreux État s’intéressent actuellement au sujet (citons, en dernier exemple, l’État de Hawai : HB2513, « Protects student privacy with respect to electronic data », consultable ici).

Des personnalités politiques ont également réagi : l’EFF cite ainsi le sénateur Al Franken, qui, suite à la plainte déposée auprès de la FTC, a procédé à l’envoi d’une lettre à Google. Celle-ci traduit notamment l’inquiétude du sénateur tout en réclamant à Google des explications sur plusieurs points. L’Assemblée du Minnesota (État du sénateur Franken) aurait également introduit plusieurs propositions de lois afin de renforcer la vie privée.

Des voix s’élèvent cependant contre une trop grande protection de la vie privée. La privacy est en effet souvent confrontée à d’autres droits (par exemple, le droit de propriété) et accusée de freiner l’innovation. Un article publié dans The Hill expose ainsi que « si nous sommes tous d’accord sur les objectifs, il est ardu de développer une législation protégeant la vie privée des étudiants tout en maximisant l’efficacité éducative et l’encouragement à l’innovation ». Le journal, afin d’illustrer ses propos, cite l’exemple de la Louisiane, qui a adopté une loi « tellement restrictive que les écoles ne peuvent plus afficher les noms de leurs joueurs de football sur le grand écran durant un match », et cite également l’exemple « d’un intendant inquiet de publier le livre de l’école depuis que la loi interdit aux écoles de dévoiler le nom et les photos sans autorisation parentale ». Le journal estime ainsi que « nous n’avons pas à couper nos enfants du monde pour les protéger ». La lecture de l’article complet est vivement conseillé.

Ainsi, si certaines personnes rêvent d’une école connectée, d’autres rêvent d’une école connectée et protégeant la vie privée des étudiants – que ceux-ci soient mineurs ou majeurs. Aux États-Unis, le sujet est très régulièrement abordé par les médias. Dans tous les cas, les défendeurs de la privacy sont souvent confrontés aux défenseurs de l’innovation… même si la privacy et l’innovation peuvent habilement se combiner pour l’intérêt général.

Sources & Références :
*ANONYME, « OUR VIEW : Protect student privacy from school snoopers », www.yourdailyjournal.com, publié le 23 janvier 2016, consulté le 2 février 2016, disponible à l’adresse : <http://yourdailyjournal.com/opinion/editorials/21228/our-view-protect-student-privacy-from-school-snoopers>

*BARR (A.), « Google Changes Course, Signs Student Data Privacy Pledge », publié le 20 janvier 2016, consulté le 2 février 2016, disponible à l’adresse : <http://blogs.wsj.com/digits/2015/01/20/google-changes-course-signs-student-data-privacy-pledge/>

*BAUER-WOLF (J.), « Chromebooks in the clasroom : Student data privacy issues », www.fredericknewspost.com, publié le 31 janvier 2016, consulté le 2 février 2016, disponible à l’adresse : <http://www.fredericknewspost.com/news/education/funding/chromebooks-in-the-classroom-student-data-privacy-issues/article_e2caa052-191a-52e4-9d98-d058ce74330a.html>

*BROWN (E.) « UC-Berkeley students sue Google, alleging their emails were illegally scanned », www.washingtonpost.com, publié le 1er février 2016, consulté le 2 février 2016, disponible à l’adresse : <https://www.washingtonpost.com/news/grade-point/wp/2016/02/01/uc-berkeley-students-sue-google-alleging-their-emails-were-illegally-scanned/>

*BUTTAR (S.), GULLO (K.), « Senator Franken Concerned Over Google’s Treatment of Student Privacy », www.eff.org, publié le 16 janvier 2016, consulté le 2 février 2016, disponible à l’adresse : <https://www.eff.org/deeplinks/2016/01/senator-franken-concerned-over-googles-treatment-student-privacy>

*CONOLLY (K.), Public school students have a right to privacy (OPINION) », www.oregonlive.com, publié le 12 janvier 2016, consulté le 2 février 2016, disponible à l’adresse : <http://www.oregonlive.com/opinion/index.ssf/2016/01/public_school_students_have_a.html>

*GELMAN (A.), « Report From the Student Privacy Frontlines: 2015 in Review », www.eff.org, publié le 3 janvier 2016, consulté le 2 février 2016, disponible à l’adresse : https://www.eff.org/deeplinks/2015/12/report-student-privacy-frontlines-2015-review>

*GILLULA (J.), « Google’s Student Tracking Isn’t Limited to Chrome Sync », publié le 2 décembre 201, consulté le 2 février 2016, disponible à l’adresse : <https://www.eff.org/deeplinks/2015/12/googles-student-tracking-isnt-limited-chrome-sync?from=student-privacy>

*HENNEY (M.), LORD (R.), Surveillance Society: Review shows few safeguards against student privacy leaks », www.post-gazette.com, publié le 24 août 2015, consutlé le 2 février 2016, disponible à l’adresse : <http://www.post-gazette.com/news/surveillance-society/2015/08/24/Surveillance-Society-Review-shows-few-safeguards-against-student-privacy-leaks/stories/201508240003>

*LAMBERT (B.), « Minnesota lawmakers introduce legislation to protect student privacy », www.minnpost.com, publié l 21 janvier 2016, consulté le 2 février 2016, disponible à l’adresse : <https://www.minnpost.com/glean/2016/01/minnesota-lawmakers-introduce-legislation-protect-student-privacy>

*ROCHELLE (J.), « The fact about student data privacy in Google Apps for Education and Chromebooks », www.googleforeducation.blogspot.fr, posté le 2 décembre 2015, consulté le 2 février 2016, disponible à l’adresse : <http://googleforeducation.blogspot.fr/2015/12/the-facts-about-student-data-privacy-in.html>

*SZABO (C.), « Student Privacy legislation requires a surgical approach », www.the hill.com, publié le 21 janvier 2016, consulté le 2 février 2016, disponible à l’adresse : <http://thehill.com/blogs/congress-blog/technology/266455-student-privacy-legislation-requires-a-surgical-approach>

WORF (L.), « NC lawmaker part of push to protect student privacy online », www.charlotteobserver.com, publié le 25 janvier 2016, consulté le 2 février 2016, disponible à l’adresse : <http://www.charlotteobserver.com/news/local/community/news-alliance/article56432400.html>

SItes Web :

*Congress.gov

*Data Quality Campaign : http://dataqualitycampaign.org/find-resources/student-data-privacy-legislation-2015/

*govtrack.us/

*Student Privacy Pledge, disponible à l’adresse : <https://studentprivacypledge.org/>

Pour consulter la -longue- liste des lois relatives aux interdictions de réclamer les mots de passe des étudiants, c’est par ici.

Fin de la collecte de masse des métadonnées téléphoniques aux Etats-Unis : un #epicwin ? décembre 2, 2015

Les agences de renseignements américaines ne peuvent plus, depuis le 29 novembre 2015, opérer la collecte et le stockage des métadonnées téléphoniques. Conséquence du US Freedom Act, entré en vigueur le 2 juin 2015, cet arrêt ne signifie pas pour autant la fin de la collecte massive de données par les agences de renseignements.

La collecte massive des métadonnées téléphoniques opérée par les agences américaines trouve son origine dans le FISA (Foreign Intelligence Surveillance Act of 1978, consultable ici), qui établit un régime de surveillance. Cette loi visait à mettre en oeuvre un système permettant de placer sous surveillance des personnes travaillant pour le compte d’une puissance étrangère (« agent of foreign power »). Cette expression recouvrait deux types de personnes : d’une part, un citoyen non-américain, agissant sur le territoire des Etats-Unis, et, d’autre part, toute personne (et donc, les citoyens non-américains et les citoyens américains) agissant pour le compte d’une puissance étrangère ou engagée dans une activité de sabotage ou de terrorisme. Cette loi présentait l’avantage d’éviter l’engagement d’une procédure judiciaire (sect. 102, (a), (1)).

Peu après les attaques du 11 septembre 2001, le US Patriot Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism) fut adopté. Celui-ci amenda le FISA. La section 215 du US Patriot Act inséra dans le FISA les sections 501 et 502. La section 501 indiquait notamment :

The Director of the Federal Bureau of Investigation or a designee of the Director (whose rank shall be no lower than Assistant Special Agent in Charge) may make an application for an order requiring the production of any tangible things (including books, records, papers, documents, and other items) for an investigation to protect against international terrorism or clandestine intelligence activities, provided that such investigation of a United States person is not conducted solely upon the basis of activities protected by the first amendment to the Constitution.

Section 501, (a), (1)

Pour les agences gouvernementales, la section 215 du US Patriot Act autorisait la collecte et le stockage des métadonnées téléphoniques des citoyens américains, l’objectif étant de lutter contre le terrorisme. La section 215 fut remise en question à de nombreuses reprises depuis la révélation des programmes de surveillance en 2013. Un membre de la Chambre des représentants, M. Jim Sensenbrenner – à l’origine du US Patriot Act -, élabora le US Freedom Act. Ce dernier fut adopté, malgré l’opposition de certaines personnalités civiles regrettant la suppression de ses dispositions les plus ambitieuses. Cette loi amende la section 501, supprimant la collecte et le stockage de masse :

(i) there are reasonable grounds to believe that
the call detail records sought to be produced based
on the specific selection term required under subpara-
graph (A) are relevant to such investigation; and
(ii) there is a reasonable, articulable suspicion
that such specific selection term is associated with
a foreign power engaged in international terrorism or
activities in preparation therefor, or an agent of a
foreign power engaged in international terrorism or
activities in preparation therefor; and.

US Freedom Act, Section 101 Additional requirements for call detail records, consultable ici (souligné par nos soins).

Il est également intéressant de noter que les métadonnées pouvant être réclamées aux opérateurs devront être « ciblées » : ainsi, toute surveillance de masse est exclue :

« a specific selection term to be used as the basis for the production of the tangible things sought ».

SEC. 103., (a).

La surveillance de masse relative aux métadonnées téléphoniques a donc cessé le 29 novembre. En effet, malgré l’entrée en vigueur du US Freedom Act, une période de transition avait été aménagée.

Cependant, la NSA bénéficie toujours d’un accès limité aux métadonnées téléphoniques, accès qui sera révoqué le 29 février 2016. A cette date, l’agence sera dans l’obligation de procéder à la suppression des métadonnées téléphoniques en sa possession.

Il convient de noter que l’arrêt de ce programme, s’il concerne aussi bien les citoyens américains que les citoyens non-américains, ne signifie pas pour autant la fin de la surveillance de masse : en effet, ces dispositions visent uniquement les métadonnées téléphoniques : ainsi, la NSA peut toujours opérer ses programmes de surveillance relatifs au web.

La collecte et le stockage des métadonnées téléphoniques avaient déjà été remis en cause par un arrêt en date du 7 mai 2015. Les juges avaient en effet estimé que le programme de surveillance outrepassait les dispositions prévues par la section 215 :

For the forgoing reasons, we conclude that the district court erred in ruling that § 215 authorizes the telephone metadata collection program, and instead hold that the telephone metadata program exceeds the scope of what Congree has authorized and therefore violates § 215. Accordingly, we VACATE the district court’s judgment dismissing the complaint and REMAND the case to the district court for further proceedings consistent with this opinion

United States Court of Appeals for the Second Circuit, Docket No. 14-42-cv, 7 mai 2015, consultable ici (fichier .pdf, consultable sur le site de l’EPIC).

Les appelants avaient par ailleurs soulevé les problématiques constitutionnelles posées par le programme de la NSA. Par cet arrêt, les juges avaient reconnu que les dispositions constitutionnelles étaient en effet impactées. Cependant, ils avaient également relevé qu’il ne leur appartenait pas de juger de la constitutionnalité du programme américain. Les juges renvoyaient alors au pouvoir législatif, et mentionnait explicitement le US Freedom Act.

Ideally, such issues should be resolved by the courts only after such debate, with due respect for any conclusions reached by the coordinate branches of government.

Pour aller plus loin :

ANONYME, Office of the Director of National Intelligence, « ODNI Announces Transition to New Telephone Metadata Program », www.icontherecord.tumblr.com, IC on the record, publié le 27 novembre 2015, consulté le 2 décembre 2015, consultable ici.
GREEN (D.), « Bulk Call Details Records Collection Ends : What that Means », www.eff.org, publié le 30 novembre 2015, consulté le 2 décembre 2015, consultable ici.
GULIANI (N. S.), « Renewed Calls for More Surveillance Aren’t Based in Reality », www.aclu.org, publié le 19 novembre 2015, consulté le 2 décembre 2015, consultable ici.
ANONYME, « Freedom Act Goes Into Effect, NSA Bulk Data Collection Ends », www.epic.org, publié le 30 novembre 2015, consulté le 2 décembre 2015, consultable ici.

Publication des orientations de la Commission européenne relatives aux transferts de données à caractère personnel novembre 10, 2015

La Commission européenne a publié, le 6 novembre, des orientations relatives aux transferts de données à caractère personnel entre les États membres de l’Union européenne et les États-Unis. En effet, suite à l’arrêt Schrems (C362-14) invalidant le Safe Harbor (« Sphère de sécurité »), de nombreuses questions avaient été soulevées au regard des transfert de données à caractère personnel. La Commission européenne délivre donc ses orientations afin que les entreprises utilisant la sphère de sécurité puissent continuer à exercer leur activité sereinement, en attendant la fin des négociations entre l’Union européenne et les États-Unis.

Dans cette communication, la Commission européenne rappelle que les négociations avec les États-Unis ont débuté dès janvier 2014. L’intérêt pour ces négociations a été rapidement ravivé après l’arrêt Schrems, le groupe de l’article 29 ayant, par le biais d’une déclaration en date du 16 octobre (disponible ici), rappelé que les autorités nationales de protection des données à caractère personnel seraient susceptibles de « prendre toutes les actions nécessaires et adéquates », dans l’hypothèse où une solution n’aurait pas été trouvée d’ici fin janvier 2016. Le communiqué indique également, de manière explicite, que des actions coercitives pourraient être menées dans cette hypothèse. Enfin, le groupe de travail de l’article 29 souligne la nécessité de relancer les négociations avec les États-Unis, en indiquant que « dans tous les cas, les transferts opérés sous l’égide du Safe Harbour après le jugement de la CUJE sont illégaux ».

La protection des intérêts économiques étant l’une des priorités de la Commission européenne, celle-ci indique que les transferts peuvent être opérés en attendant la conclusion d’un accord, dans le cadre des SCC (« Standard Contractual Clauses ») et des BCR (« Binding Corporate Rules »). Enfin, la Commission rappelle les hypothèses pour lesquelles des dérogations peuvent s’appliquer.

Les SCC peuvent être introduites « dans le but de compenser, de manière satisfaisante, l’absence d’un niveau adéquat de protection, en incluant les éléments essentiels de protection manquants dans une situation particulière donnée ». Des modèles de clauses sont disponibles dans la décision 2001/497/EC du 15 juin 2001 de la Commission européenne (disponible ici). L’intérêt des SCC est simple : en effet, celles-ci doivent être acceptées par les autorités nationales de protection. La Commission note cependant que ces autorités peuvent examiner à nouveau les SCC à la lumière de l’arrêt Schrems et porter une affaire devant la juridiction compétente. De même, elle précise que certains États dispose d’un stratagème de notification ou de pré-autorisation pour l’utilisation des SCC : « si les clauses ont été utilisées sans amendement, l’autorisation est en principe accordée automatiquement ».

Toujours au niveau contractuel, la Commission rappelle, dans sa communication, que les entreprises peuvent user d’arrangements contractuels ad hoc, afin de démontrer que les transferts sont opérés avec des garanties suffisantes au sens de l’article 26 de la directive 95/46/EC ». Cependant, dans cette hypothèse, ces clauses devront être examinées par l’autorité nationale de protection.

Outre les SCC, la Commission mentionne les BCR pouvant être mises en place par les sociétés d’un même groupe. Les citoyens peuvent aisément utiliser ces BCR pour assurer la protection de leurs données à caractère personnel : en effet, ceux-ci peuvent déposer un recours devant la juridiction compétente (ou devant l’autorité de protection nationale, comme la CNIL pour la France) dans le but de faire appliquer les BCR si celles-ci ne sont pas respectées par le groupe ou l’une de ses filiales. Cette possibilité est par ailleurs renforcée par la nomination d’une « entité » européenne par-devant laquelle le recours pourra être déposé. Ces BCR doivent par ailleurs répondre à plusieurs conditions formelles.

Des dérogations existent également : ainsi, une entreprise pourra opérer un transfert entre un État-membre de l’Union et un État tiers, notamment si la personne a donné son consentement – exprès – au transfert ou si celui-ci est « nécessaire pour l’exécution ou la conclusion d’un contrat ». D’autres dérogations peuvent être utilisées, comme la sauvegarde des « intérêts vitaux » de la personne. L’interprétation de ces dérogations est cependant stricte.

Les SCC, BCR et dérogations partagent des points communs : pour que ces outils puissent s’appliquer, et ainsi permettre le transfert de données à caractère personnel malgré l’invalidation du Safe Harbour, ceux-ci doivent répondre à deux conditions. D’une part, la collecte de données à caractère personnel et le traitement de celles-ci doivent être opérés par un responsable de traitement situé dans l’Union européenne dans le respect strict des dispositions en vigueur (par exemple, en France, la loi 78-17). D’autre part, les transferts réalisés doivent présenter des garanties suffisantes de protection. La Commission cite l’exemple des SCC ou des BCR, en expliquant que si « l’importateur de données estime que la législation applicable dans le pays de réception l’empêche de remplir ces obligations, il doit alors en informer promptement l’exportateur des données situé dans l’Union européenne ».

La communication de la Commission se conclut par le rappel de l’intensification des négociations débutées en 2013, suite à l’arrêt Schrems. La Commission indique également que l’objectif est de conclure les discussions et d’assurer le respect des conditions légales suite à la décision de la Cour dans les trois mois.

Pour aller plus loin :

Site de la Commission européenne, section « Protection of personal data », disponible ici.
SCOTT (M.), « Europe Seeks to Reach Data Transfer Pact by Early 2016 », www.nytimes.com, publié le 6 novembre 2015, consulté le 9 novembre 2015, disponible ici.
LOMAS (N.), « Europe Sets Out Three-Month Timetable To Seal New Data-Transfer Deal With U.S. », www.techcrunch.com, publié le 6 novembre 2015, consulté le 10 novembre 2015, disponible ici.
EUDES (Y.), « Données personnelles : la situation reste floue après l’annulation de l’accord Safe Harbor », www.lemonde.com, publié le 8 novembre 2015, consulté le 10 novembre 2015, disponible ici.

SB-741 : la Californie renforce les droits fondamentaux face aux technologies d’interception des communications électroniques (téléphone) octobre 16, 2015

Le gouverneur de Californie, M. Brown, a signé le 8 octobre la loi SB 741 qui vise à renforcer la protection des droits fondamentaux lorsque sont ordonnées des interceptions de communications électroniques sur un téléphone portable. Cette loi renforce considérablement le cadre législatif relatif aux technologies permettant l’interception de communications transmises entre téléphones portables, dont l’IMSI-catcher (international mobile subscriber information – catcher) est l’illustration la plus pertinente. Cette technologie permet à un opérateur d’intercepter des communications électroniques en utilisant un appareil se faisant passer pour une antenne de téléphonie mobile. Les données téléphoniques sont, par voie de conséquence, transmises à la fausse antenne.

« CCIT is a portable cell phone surveillance tool used by government agencies at the federal, state and local levels that generally consists of an antenna, a processor, and laptop computer for analysis and configuration. They work by emulating the operation of a cellular telephone network tower, which prompts nearby cell phones to switch over and communicate with it like it was the carrier’s nearest base station ».

Assembly Floor Analysis, 31 août 2015, Senate Third Readinf, SB 741 (Hill) As Amended August 31, 2015, Majority Vote. Le document est publi et peut être consulté sur le site web d’informations légales California Legislative Information (site officiel), ici.

Avec cette loi, la Californie souhaite maîtriser l’usage de telles technologies, en imposant aux « agencies » un cadre strict mettant l’accent sur l’information des citoyens.Cette loi s’articule sur deux points essentiels.

D’une part, elle impose de protéger les données interceptées par la mise en place de procédures : ainsi, des garanties « opérationnelles, administratives, techniques et physiques » doivent être implémentées afin de pouvoir protéger les données interceptées des intrusions et garantir leur exactitude. Il s’agit ainsi de pouvoir s’assurer que les données ne pourront être détruites ou modifiées.

D’autre part, et il s’agit là d’un point novateur, cette loi impose aux agences utilisant des technologies d’interception de données téléphoniques d’instaurer une politique d’utilisation permettant de garantir le respect des droits fondamentaux et notamment la vie privée des citoyens. Ainsi, les agences ayant recours à de tels procédés doivent informer les citoyens. Cette communication pourra, par exemple, être opérée grâce au site web de l’agence. Il est intéressant de noter que par « agence », cette loi inclut également les polices locales mais également le « county sheriff ». Les autorités locales californiennes se retrouvent soumises à cette loi, dans leur ensemble.

La loi s’intéresse particulièrement à la politique que doivent adopter les autorités locales. Ainsi, celle-ci devra répondre à plusieurs exigences formelles. La « politique » devra de ce fait impérativement préciser :

les buts rendant nécessaires l’utilisation de technologies d’interception de communications électroniques;
les qualités des employés autorisés, ainsi que leur formation;
la manière dont l’agence utilisera la technologie d’interception afin de garantir l’exactitude des informations ainsi interceptées, ainsi que la manière dont les techniques employées respecteront les lois en vigueur;
l’existence ou non d’une convention de partage avec d’autres agences. L’identité des agences avec qui les informations seront partagées devra être rendue publique. La politique devra également détailler s’il s’agit d’un partage de technologies ou d’informations interceptées grâce à ces technologies;
les modalités de partage avec d’autres agences (autorisations – restrictions);
enfin, la politique devra également détailler la durée d’interception ainsi que les modalités de destruction des informations.

La loi prend soin de préciser que les entités californiennes ne pourront acquérir une technologie d’interception seulement si celle-ci a été approuvée par le corps législatif, ou si une ordonnance ou une résolution l’approuve. Si ces conditions sont respectées, un county sheriff pourra acquérir une telle technologie. Le county sheriff devra notamment porter à la connaissance du public une telle acquisition.

Enfin, la loi précise la possibilité pour un citoyen d’obtenir réparation devant une juridiction, si celui-ci estime que ses droits ont été violés en raison du non-respect des modalités.

Il est également intéressant de noter que cette loi a suscité l’unanimité : en effet, soutenue par l’EFF (Electronic Frountier Foundation) et soumise à plusieurs votes (dont plusieurs comités), la proposition a été adoptée à l’unanimité (aucun « noes » n’a été enregistré). La Californie a adopté récemment plusieurs lois qui renforcent considérablement les droits et libertés fondamentaux : outre la SB 741, le Gouverneur a également signé la SB 178 (cf. post précédent), la SB 34 (relative à la reconnaissance des plaques d’immatriculation), et la SB 272 (« Disclosure of Enterprise Systems »). Si la Californie a été l’État précurseur sur de nombreux points, il semble qu’il soit également en pointe dans le renforcement des droits et libertés fondamentaux appliqués à la sphère du numérique. Vous pouvez consulter l’avis de l’EFF sur ces lois ici.

Pour aller plus loin :

SB 741 : Mobile communications : privacy, consultable ici.
FARIVAR (C.), « New California bill would require local approval for stingray use », arstechnica.com, publié le 16 avril 2015, consulté le 16 octobre 2015, consultable ici.
SEIPEL (T.), KURHI (E.), California digital privacy laws boosted, protecting consumers from Big Brother, big business », www.mercurynews.com, publié le 10 septembre 2015, consulté le 16 octobre 2015, consultable ici.
CAGLE (M.), « California Just Got a Privacy Upgrade – Alameda County, It’s Your Move », www.aclunc.org (site web de l’ACLU- Californie du Nord), publié le 13 octobre 2015, consulté le 16 octobre 2015, consultable ici.
MAAS (D.), « Success in Sacramento; Four new laws, One Veto – All Victories for Privacy and Transparency », www.eff.org, publié le 14 octobre 2015, consulté le 16 octobre 2015, consultable ici.
SEIPEL (T.), KURHI (E.), « Law Extends Privacy Rights to Electronic Data », www.officer.com (source : San José Mercury News), publié le 12 octobre 2015, consulté le 16 octobre 215, consultable ici.

La Californie renforce sa législation relative à la protection des communications électroniques #epicwin octobre 12, 2015

Le gouverneur de Californie, M. Jerry Brown, a signé le 8 octobre le California Electronic Communications Act (CEPA SB-178). Cette loi a notamment pour objectif d’empêcher les entités gouvernementales d’accéder aux communications électroniques sans mandat, citation à comparaître ou autorisation de mise sur écoute. La Californie, déjà précurseur dans la protection des communications électroniques, renforce donc son arsenal législatif en tirant les conséquences des révélations d’Edward Snowden. Cette loi avait par ailleurs le support de plusieurs associations de défense des droits des citoyens, comme l’EFF (Electronic Frountier Foundation, très active dans la protection des droits fondamentaux), et la renommée ACLU (American Civil Liberties Union).

Rédigée par les sénateurs Mark Leno et Joel Anderson, cette loi renforce considérablement les droits des citoyens, en imposant aux government entities (définie comme « un ministère, une agence ou une subdivision, ou un individu agissant au nom de l’Etat ou de l’une de ses subdivisions ») d’obtenir un mandat ou une autorisation de mise sur écoute afin de pouvoir obtenir la production ou l’accès aux communications électroniques d’un citoyen. La loi établit également une longue liste de définitions. Par exemple, elle établit qu’une communication électronique est « le transfert de signes, signaux, écrits, images, sons, données ou renseignements de toute nature, système ou partie de système, en tout ou partie par un fil, par radio, ou par système électromagnétique, électrique ou optique ». Cette définition est à rapprocher de la définition établie par l’article L.32 du Code des postes et communications électroniques français, qui dispose que : « on entend par communications électroniques les émissions, transmissions ou réception de signes, de signaux, d’écrits, d’images ou de sons, par voie électromagnétique ».

Cette loi renforce donc considérablement les droit des citoyens. Ainsi, les entités gouvernementales peuvent accéder physiquement ou électroniquement aux appareils visés si et seulement si l’une ou plusieurs des conditions suivantes sont remplies :

obtention d’un mandat, dont les formes sont conformes aux autres dispositions de la loi;
obtention d’une autorisation de mise sur écoute;
consentement spécifique du détenteur de l’appareil;
consentement spécifique du propriétaire de l’appareil, si l’appareil a été perdu ou volé;
sans mandat, s’il existe un danger de mort ou de blessures graves;
si l’appareil est perdu, volé, et si les communications électroniques pourraient permettre d’identifier et de contacter le propriétaire de l’appareil.

Une dernière disposition s’applique aux saisies d’appareils électroniques dans les prisons.

De même, le mandat autorisant la production et l’accès aux communications électroniques doit respecter plusieurs conditions formelles :

il doit notamment indiquer les informations à saisir, la période de temps concernée, les comptes et/ou les applications concernées, et l’information recherchée. Ainsi, l’interception massive avec traitement a posteriori de l’information afin d’y déceler une information ou un renseignement jusque-là non spécifiquement recherché est prohibée;
le mandat doit impérativement préciser que si une information différente de celle recherchée est obtenue, celle-ci doit être « scellée » et ne pas être utilisée, sans une autorisation judiciaire. Nous retrouvons là la notion de « probable cause », chère au droit américain. En effet, si une juridiction estime qu’il existe une « probable cause », elle peut alors délivrer une autorisation pour qu’une telle information puisse être utilisée;
l’authenticité des informations doit également être garantie par le fournisseur de service;
la juridiction en charge de l’affaire pourra également, à titre discrétionnaire, imposer la destruction des informations saisies mais ne rentrant pas dans le champ d’application du mandat;
enfin, et il s’agit là d’un point intéressant, si le fournisseur de service délivre des informations de manière volontaire (et ne violant pas d’autres dispositions juridiques) ces informations devront être détruites 90 jours après leur saisie. Des exceptions sont une nouvelle fois prévues, par exemple si l’entité gouvernementale obtient le consentement de l’expéditeur ou du destinataire sur l’information délivrée. L’emploi d’une telle conjonction de coordination n’est pas neutre. Il en sera de même, si la juridiction délivre une autorisation de rétention. Cependant, cette autorisation est elle-même soumise à plusieurs conditions, par exemple s’il existe une raison de penser que l’information constitue la preuve qu’un crime a été commis.

Une dernière disposition importante est la possibilité pour un citoyen, partie à un procès ou à une procédure de réclamer la suppression des informations obtenues en violation du quatrième amendement, qui dispose que :

The right of the people to be secure in their persons, houses, papers, and effects, against unreasonable searches and seizures, shall not be violated, and no Warrants shall issue, but upon probable cause, supported by Oath or affirmation, and particularly describing the place to be searched, and the persons or things to be seized.

Cette loi constitue, de toute évidence, une avancée importante pour la protection des droits fondamentaux, et les principales associations de défense des droits ont salué sa signature par le gouverneur.

The law places California not only at the forefront of protecting digital privacy among states, it outpaces even the federal government, where such efforts have stalled

ZETTER (K.), « California now has the nation’s best digital privacy law », www.wired.com, publié le 8 octobre 2015, consulté le 12 octobre 2015, consultable ici.

Il estégalement intéressant de noter que de nombreux universitaires américains avaient adressé au gouverneur de l’Etat de Californie une lettre en faveur du SB-178. Cette lettre peut être librement consultée ici.

Pour aller plus loin :

Le dossier législatif peut être consulté ici.
HANS (G.S.), « A Major Win for Privacy: California ECPA Signed into Law », cdt.org, publié le 9 octobre 2015, consulté le 12 octobre 2015, consultable ici.
Anonyme, « California Rejects Warrantless Surveillance, Enacts CalECPA », epic.org, publié le 9 octobre 2015, consulté le 12 octobre 2015, consultable ici.
Anonyme, « California’s Electronic Communications Privacy Act (CalECPA) – SB 178 », www.eff.org, date de publication inconnue, consulté le 12 octobre 2015, consultable ici.