Tout a commencé en 2019. Le livre blanc sur les préjudices en ligne a marqué la première étape de la mission du gouvernement britannique visant à faire du Royaume-Uni "l'endroit le plus sûr pour être en ligne", posant les bases de l'introduction du projet de loi sur la sécurité en ligne deux ans plus tard.
Aujourd'hui, après avoir survécu à trois premiers ministres, à deux crises gouvernementales et ayant doublé le nombre de ses pages en cours de route, le projet de loi est en phase finale au Parlement et devrait très probablement devenir une loi très prochainement. Cependant, les experts en internet et les défenseurs de la vie privée craignent toujours que les nouvelles dispositions ne mettent en péril la sécurité des citoyens.
Pour aggraver les choses, les législateurs britanniques poussent également pour une mise à jour d'un autre projet de loi controversé : la loi sur les pouvoirs d'investigation de 2016, également connue sous le nom de "Snooper Chart" pour ses larges pouvoirs de surveillance.
C'est pourquoi de nombreux commentateurs, notamment des groupes de défense des droits numériques, des cryptographes, des universitaires, des fournisseurs de services VPN et des fournisseurs d'applications de messagerie chiffrée, demandent de nouvelles assurances que les deux propositions ne seront pas utilisées conjointement pour un contrôle accru des communications publiques.
Une question à double tranchant
"Chacune de ces propositions a des implications négatives sérieuses sur la vie privée et les droits fondamentaux. Lorsqu'on les considère ensemble, elles donnent l'image d'un gouvernement britannique prêt à compromettre les droits de ses citoyens et la sécurité de ses entreprises au nom de la surveillance à tout prix", a déclaré à TechRadar Jurgita Miseviciute, responsable des politiques publiques et des affaires gouvernementales chez Proton (la firme de sécurité à l'origine de ProtonVPN et ProtonMail).
Le projet de loi sur la sécurité en ligne a été longtemps critiqué pour avoir menacé la cryptographie, édicté des dispositions vagues – concernant par exemple le contenu légal mais nuisible – et accordé des pouvoirs intrusifs à l'Ofcom, le régulateur britannique chargé de veiller à ce que les entreprises technologiques appliquent les nouvelles réglementations. Ce dernier aura en effet le devoir juridique de protéger ses utilisateurs contre les contenus et activités illégales. Une sorte de "police privée sur le discours en ligne", a commenté Silkie Carlo, directeur de Big Brother Watch, au Spectator.
Les nouvelles de la semaine dernière ont apporté un certain soulagement, puisque les ministres ont annoncé leur décision de reporter une disposition controversée : l'article 122. Cela met en suspens la surveillance latérale des communications privées et cryptées jusqu'à ce qu'elle soit "techniquement réalisable". Cependant, malgré le fait que ce soit un mouvement bienvenu, "il n'a pas apporté de garanties juridiques, ce que nous pensons toujours être essentiel et nous espérons que cela sera corrigé dans un avenir proche", a déclaré Miseviciute.
Elle n'est pas la seule à penser ainsi. Des inquiétudes similaires sont partagées par le député conservateur David Davis, par exemple, qui a décrit la décision comme "une simple façon de repousser le problème". Le pair conservateur et ancien ministre du DCMS, Lord Kamall, estime également que "ces pouvoirs ne devraient pas exister" du tout.
Au même moment, le Home Office a discrètement lancé une consultation de huit semaines pour réviser la loi sur les pouvoirs d'investigation. Dans sa forme actuelle, la loi permet déjà l'accès aux communications privées ciblées sur les suspects de crimes ainsi que le stockage des historiques de navigation sur internet pendant 12 mois, entre autres.
Le gouvernement prétend néanmoins qu'une mise à jour est nécessaire pour mettre la législation au niveau des avancées technologiques qui ont eu lieu au cours des sept années depuis son entrée en vigueur.
Plus précisément, les législateurs veulent que les entreprises technologiques cryptées offrant des services de messagerie (comme Apple et Meta) demandent l'approbation du gouvernement avant de publier de nouvelles fonctionnalités de sécurité. Ces entreprises seront également tenues de bloquer ou de désactiver les fonctionnalités de sécurité à la demande du Home Office, sans en informer les utilisateurs.
Apple s'oppose fermement à une telle proposition qui, une fois approuvée, aurait un effet immédiat. Il est déjà dit que la grande entreprise technologique est prête à retirer ses services iMessage et FaceTime du Royaume-Uni si la révision est mise en œuvre.
Miseviciute voit les mises à jour proposées à la loi sur les pouvoirs d'investigation comme une nouvelle attaque contre la cryptographie, "car le Home Office pourrait potentiellement bloquer toute fonctionnalité ou mise à jour liée à la sécurité déployée par un fournisseur", a-t-elle déclaré. Elle estime que cela rendra finalement le projet de loi encore plus problématique. Là encore, elle n'est pas seule à le penser.
Matthew Hodgson, PDG du fournisseur britannique de logiciels de messagerie cryptée Element, a déclaré : "Le mélange obscur de deux projets de loi conçus pour répondre aux objectifs de l'autre donne au Home Office un niveau de surveillance totalement inacceptable sur les communications des citoyens".
Jessica Ni Mhainin, responsable des politiques et des campagnes à Index on Censorship, estime également que les plans pour la numérisation côté client et le lien avec la loi sur les pouvoirs d'investigation auront des "implications énormément préoccupantes", en particulier pour le journalisme et la liberté d'expression de manière plus générale.
C'est pourquoi le groupe de plaidoyer pour la liberté d'expression a récemment déposé un rapport détaillant les conséquences non anticipées de la combinaison des deux lois et appelant à de nouvelles modifications de l'article 122.
Commentant ce point, Meredith Whittaker, PDG de Signal, a déclaré : "Le Parlement doit modifier l'article 122 du projet de loi sur la sécurité en ligne en plus de déclarer clairement qu'il ne soumettrait pas – en aucune circonstance – de notifications en vertu de la loi sur les pouvoirs d'investigation de cette manière."