Le débat mondial autour du chiffrement des données et de la régulation des grandes plateformes numériques prend une nouvelle tournure. La Federal Trade Commission (FTC) des États-Unis vient de rappeler avec fermeté aux géants de la Tech que leurs obligations envers les consommateurs américains passent avant toute concession faite à des gouvernements étrangers. Dans une série de lettres envoyées à 13 entreprises majeures, la FTC avertit : céder à des pressions venues d’Europe ou du Royaume-Uni pour affaiblir la sécurité des données ou restreindre la liberté d’expression pourrait être considéré comme une violation du droit américain de la consommation.La Commission fédérale du commerce (FTC) met en garde les grandes entreprises technologiques américaines contre le fait de céder aux demandes des gouvernements étrangers qui affaiblissent la sécurité des données, compromettent le chiffrement ou imposent une censure sur leurs plateformes.
Le président de la FTC, Andrew N. Ferguson, a signé la lettre envoyée à de grandes entreprises américaines parmi lesquelles :
- Apple, Alphabet (Google), Microsoft, Meta et Amazon : des acteurs centraux du cloud et des services numériques.
- Signal, Slack, Snap et Discord : au cœur de la communication sécurisée.
- Cloudflare, GoDaddy, Akamai : maillons essentiels de l’infrastructure Internet.
- X (ex-Twitter) : réseau social incontournable dans le débat public.
En clair, tout l’écosystème numérique est concerné, des services grand public jusqu’aux fondations techniques du Web.
Ferguson souligne que l'affaiblissement de la sécurité des données à la demande de gouvernements étrangers, en particulier s'ils n'en informent pas les utilisateurs, constituerait une violation de la loi FTC et exposerait les entreprises à des conséquences juridiques.
La lettre de Ferguson cite spécifiquement des lois étrangères telles que :
- la loi européenne sur les services numériques DSA : elle encadre la modération de contenus et pourrait être interprété comme une obligation de contrôle renforcé ;
- la loi sur la sécurité en ligne Online Safety Act : loi britannique, elle cherche à surveiller davantage les contenus en ligne, y compris dans les messageries chiffrées ;
- la loi sur les pouvoirs d'enquête Investigatory Powers Act : également au Royaume-Uni, elle donne aux autorités le pouvoir d’exiger un accès aux communications sécurisées.
Ces textes sont en contradiction avec la ligne de la FTC : la protection des consommateurs américains passe par un chiffrement fort, sans porte dérobée.
Le cas d'Apple avec iCloud au Royaume-Uni : un exemple révélateur de tensions
Le Royaume-Uni cherche depuis des années à briser le chiffrement en ligne prétendument pour lutter contre la criminalité et le terrorisme. Les législateurs britanniques tentent ainsi d'imposer aux entreprises technologiques de mettre en place des portes dérobées dans leurs services afin de permettre aux forces de l'ordre britannique d'accéder discrètement aux informations privées des utilisateurs. Cependant, la mesure reste impopulaire et très combattue.
Néanmoins, le Royaume-Uni aurait secrètement demandé à Apple de lui fournir un accès général à tous les contenus chiffrés téléchargés sur sa plateforme de stockage iCloud par ses utilisateurs. L'ordre aurait été intimé à Apple en janvier 2025 et exige du fabricant de l'iPhone qu'il crée une porte dérobée permettant aux agents de sécurité britanniques d'accéder librement aux données chiffrées des utilisateurs dans le monde entier. Il s'agit en effet d'une demande sans précédent qui n'a jamais été formulée dans aucun autre pays démocratique. Une telle porte dérobée compromettrait l'engagement d'Apple envers ses utilisateurs en matière de protection de la vie privée.
La grogne est immédiatement montée aux États-Unis.
Le sénateur Ron Wyden (D-OR) et le représentant Andy Biggs (R-AZ) ont envoyé une lettre à Tulsi Gabbard dans laquelle ils affirment que si Apple se conforme à la demande non confirmée du ministère britannique de l'Intérieur, la sécurité des citoyens américains et des données gouvernementales sera mise en péril. Pour cela, ils ont demandé à la nouvelle directrice du renseignement national d'exiger du Royaume-Uni qu'il revienne sur sa décision polémique.
Apple ne produit pas de versions différentes de son logiciel de chiffrement pour chaque marché. Si Apple est contraint d'intégrer une porte dérobée dans ses produits, cette porte dérobée finira par compromettre la sécurité des données des Américains, ainsi que celle des innombrables agences gouvernementales fédérales, nationales et locales qui confient des données sensibles aux produits Apple.
Après des années de pressions exercées par de hauts responsables du gouvernement américain en faveur d'un chiffrement plus faible et de portes dérobées pour la surveillance, il semble que le gouvernement américain se soit finalement rallié à une position que nous défendons depuis longtemps : un chiffrement fort de bout en bout protège la sécurité nationale.
Après des années de pressions exercées par de hauts responsables du gouvernement américain en faveur d'un chiffrement plus faible et de portes dérobées pour la surveillance, il semble que le gouvernement américain se soit finalement rallié à une position que nous défendons depuis longtemps : un chiffrement fort de bout en bout protège la sécurité nationale.
Elle a écrit : « Le Royaume-Uni a accepté de renoncer à exiger d'Apple la création d'une "porte dérobée" qui aurait permis d'accéder aux données chiffrées protégées des citoyens américains et porté atteinte à nos libertés civiles. » Elle a déclaré que c'était le résultat de plusieurs mois de collaboration étroite avec ses partenaires au Royaume-Uni, le président américain Donald Trump et le vice-président JD Vance.
Les risques juridiques pour les entreprises américaines
Andrew Ferguson, président de la FTC, a été très clair : céder à ces pressions étrangères pourrait constituer une pratique commerciale trompeuse au regard du droit américain.
Prenons un exemple concret :
- Une entreprise promet à ses clients un chiffrement de bout en bout inviolable.
- Sous pression d’un gouvernement étranger, elle introduit une vulnérabilité (par exemple une clé de récupération accessible aux autorités).
- Si cette modification affecte les utilisateurs américains, la FTC peut poursuivre l’entreprise pour publicité mensongère et mise en danger de la sécurité des consommateurs.
Ce n’est pas une menace théorique : la FTC a déjà sanctionné Zoom (en 2021, Zoom a accepté de payer 85 millions de dollars) pour avoir exagéré la sécurité de son chiffrement, et Ring (qui a accepté de payer 31 millions de dollars en 2023) pour des failles de protection des flux vidéo.
La lettre adressée par la FTC aux entreprises technologiques met donc en garde contre le fait que les nouvelles lois adoptées par des gouvernements étrangers portent atteinte à la liberté des utilisateurs américains d'accéder à des informations non censurées et de bénéficier de la sécurité des données.
« Je crains que ces mesures prises par des puissances étrangères pour imposer la censure et affaiblir le chiffrement de bout en bout ne portent atteinte aux libertés des Américains et ne les exposent à de nombreux préjudices, tels que la surveillance par des gouvernements étrangers et un risque accru d'usurpation d'identité et de fraude », écrit Ferguson.
« Je crains également que des entreprises telles que la vôtre tentent de simplifier la conformité aux lois, aux exigences ou aux demandes attendues des gouvernements étrangers en censurant les Américains ou en les soumettant à une surveillance étrangère accrue, même lorsque les demandes des gouvernements étrangers ne l'exigent pas techniquement. »
Ferguson souligne que les entreprises américaines ont avant tout et surtout des obligations légales liées à la loi FTC (section 5, 15 U.S.C. § 45), qui interdit les actes ou pratiques commerciaux déloyaux ou trompeurs....
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.