Jean-François Ouellette est étudiant dans le cadre du cours DRT6929O.

Pour les juristes s’intéressant aux technologies de l’information, une loi n’a pas manqué de faire du bruit sur la toile. Il s’agit de CISPA, pour Cyber Intelligence Sharing and Protection Act. Malheureusement, le Web est une réplique gigantesque du jeu du téléphone. Une personne interprète une loi, cette interprétation est reprise, amplifiée et réinterprétée pour ressembler finalement à une théorie du complot visant à miner les libertés civiles. J’ai senti que ce phénomène se produisait avec CISPA et j’ai voulu mettre ici en lumière les dispositions importantes du texte de loi pour offrir une version nuancée et le plus près des sources possibles. Cela dit, il convient de rappeler qu’il est important que les citoyens surveillent de près ce genre de projets de loi. Certains politiciens, qui ne vivent pas sur Internet et qui n’ont que de piètres connaissances sur son fonctionnement (Internet, une série de tubes) peuvent proposer des lois très dangereuses pour ceux qui vivent online.

CISPA : une loi visant la réglementation des échanges d’information entre les entités gouvernementales chargées de la cybersécurité

Cyber Intelligence Sharing and Protection Act (CISPA) est un projet de loi présentée en novembre 2011, qui vient tout juste d’être votée en Chambre et qui s’apprête à être présentée au Sénat américain. Cette loi modifie la National Security Act of 1947 (50 U.S.C. 442 et seq.) pour y inclure des dispositions concernant l’échange de données relatives à des cybermenaces. La loi définit une information relative à une cybermenace de la manière suivante (1104 (h)) :

‘(4) CYBER THREAT INFORMATION- ‘(A) IN GENERAL- The term ‘cyber threat information’ means information directly pertaining to— ‘(i) a vulnerability of a system or network of a government or private entity ; ‘(ii) a threat to the integrity, confidentiality, or availability of a system or network of a government or private entity or any information stored on, processed on, or transiting such a system or network ; ‘(iii) efforts to deny access to or degrade, disrupt, or destroy a system or network of a government or private entity ; or ‘(iv) efforts to gain unauthorized access to a system or network of a government or private entity, including to gain such unauthorized access for the purpose of exfiltrating information stored on, processed on, or transiting a system or network of a government or private entity. ‘(B) EXCLUSION- Such term does not include information pertaining to efforts to gain unauthorized access to a system or network of a government or private entity that solely involve violations of consumer terms of service or consumer licensing agreements and do not otherwise constitute unauthorized access.

Cela dit, les objectifs de la loi vont légèrement plus loin. On peut y lire que les données récoltées peuvent être utilisées par le gouvernement fédéral de la manière suivante (1104 (c)) :

‘(1) LIMITATION- The Federal Government may use cyber threat information shared with the Federal Government in accordance with subsection (b)— ‘(A) for cybersecurity purposes ; ‘(B) for the investigation and prosecution of cybersecurity crimes ; ‘(C) for the protection of individuals from the danger of death or serious bodily harm and the investigation and prosecution of crimes involving such danger of death or serious bodily harm ; ‘(D) for the protection of minors from child pornography, any risk of sexual exploitation, and serious threats to the physical safety of such minor, including kidnapping and trafficking and the investigation and prosecution of crimes involving child pornography, any risk of sexual exploitation, and serious threats to the physical safety of minors, including kidnapping and trafficking, and any crime referred to in 2258A(a)(2) of title 18, United States Code ; or ‘(E) to protect the national security of the United States.

Dans l’esprit de la loi, il semble assez clair que "cybersecurity purpose" réfère simplement à la sécurité informatique (intrusions, accès non-autorisés, virus, attaques par déni de service, etc.). Le paragraphe (E), prévoit la sécurité nationale. Ce critère assez vague peut être interprété de manière assez arbitraire. Il semble assez clair que cette loi vise à fournir au gouvernement américain les outils légaux pour prévenir les différentes attaques informatiques. CISPA ne traite pas directement de la manière dont s’obtiennent les informations concernant les cybermenaces. Elle établit les relations entre les différentes instances de gouvernement chargées de lutter contre les crimes relatifs à la cybersécurité et leurs droits et obligations relatives aux données recueillies. Il existe également des limites aux relations qui peuvent être établies entre les renseignements récoltés et d’autres renseignements personnels, comme les dossiers médicaux (s. 1104 c) ). Il faut lire ce projet de loi en combinaison avec le projet de Secure IT Act. Ce dernier traite plus précisément de la relation entre les entités privées et les centres de cybersécurité réglementés par CISPA.

Secure IT Act : une loi visant à permettre l’échange d’information entre les entreprises privées et les entités gouvernementales chargées de la cybersécurité

Le Secure IT Act s’articule autour d’une disposition substantielle principale. Il s’agit de l’autorisation (et non l’obligation) pour une entité privée de transmettre aux autorités américaines toute information relative à de potentielles cybermenaces. La disposition se lit ainsi :

(a) Voluntary Disclosure- (1) PRIVATE ENTITIES- Notwithstanding any other provision of law, a private entity may, for the purpose of preventing, investigating, or otherwise mitigating threats to information security, on its own networks, or as authorized by another entity, on such entity’s networks, employ countermeasures and use cybersecurity systems in order to obtain, identify, or otherwise possess cyber threat information. (2) ENTITIES- Notwithstanding any other provision of law, an entity may disclose cyber threat information to— (A) a cybersecurity center ; or (B) any other entity in order to assist with preventing, investigating, or otherwise mitigating threats to information security.

Cette disposition ne crée aucune obligation ou restriction précise. Cela dit, le préambule de CISPA indique la volonté d’encourager fortement cette pratique. Pour l’instant, retenons que Secure IT soumet à l’arbitraire des entreprises privées le choix de transmettre des informations aux autorités. Dans les définitions, à 101(4), l’on retrouve ce que signifie « information relative à une cybermenace ». Cette définition permet de circonscrire le genre d’informations pouvant être véhiculées. Cela dit, la loi n’identifie pas clairement ce qu’est une cybermenace.

Origine de la controverse

Electronic Frontier Foundation a exprimé que cette loi visait à censurer les dénonciateurs, qui alimenteraient des sites comme Wikileaks. Cette critique est légitime, mais elle se fonde sur la perception que cette loi permettra aux instances gouvernementales d’intercepter les communications et de les bloquer. Or, ce pouvoir ne semble pas apparaître, du moins à première vue, ni dans CISPA, ni dans Secure IT. Les deux lois traitent d’un partage (share) et non de système de filtrage des informations. J’invite les lecteurs intéressés à proposer leur lecture de ces lois quant à la capacité de filtrer le contenu.

Absence de considération concernant la vie privée

Une critique qu’il est très légitime d’adresser à cette loi est qu’il n’existe quasiment aucune garantie procédurale contre l’espionnage, les décisions arbitraires, la constitution d’un dossier de surveillance, ou tout autre fait relatif aux données personnelles. En fait, CISPA prévoit plutôt une décharge complète de la responsabilité des entités chargées de la surveillance (101 (b) (4) ) :

EXEMPTION FROM LIABILITY- No civil or criminal cause of action shall lie or be maintained in Federal or State court against a protected entity, self-protected entity, cybersecurity provider, or an officer, employee, or agent of a protected entity, self-protected entity, or cybersecurity provider, acting in good faith— ‘(A) for using cybersecurity systems to identify or obtain cyber threat information or for sharing such information in accordance with this section ; or ‘(B) for decisions made based on cyber threat information identified, obtained, or shared under this section.

Or, en 2012, les individus s’inquiètent de plus en plus de la collecte et de l’utilisation de leurs données personnelles. Il devient alors facile pour ces citoyens, qui soulèvent des inquiétudes légitimes, de croire que cette loi vise le cyberespionnage. ll m’apparait aussi légitime qu’un individu soit averti que de l’information sur lui ait été transmise. Cela m’apparaît être une garantie judiciaire minimale.

"If the old politicians understood that the laws they are making are the equivalent of putting microphones under every coffee table, I think they would be absolutely horrified, but they don’t live online, so they don’t understand that." - Rick Falkvinge, fondateur du parti pirate, dans une conférence TEDx.

Vos critiques

Croyez-vous que ces deux lois auront pour effet de réduire les libertés civiles ? Voyez-vous des ressemblances entre ces projets de loi et le pendant canadien (Loi sur la protection des enfants contre les cyberprédateurs) ? L’objectif présenté correspond-il aux objectifs réels ?