Depuis les derniers mois, un torrent d’information sur les pratiques des services d’intelligence mondiaux déferle sur les médias grâce à Edward Snowden. Nous avons déjà publié quelques articles sur le sujet, qui ne faisaient qu’égratigner la surface des techniques de la NSA, du GCHQ, du CSIS et des autres organismes à trois ou quatre lettres qui ont comme mission de détecter les complots qui pourraient nuire à la sécurité nationale de leur pays respectif, et se donnant comme moyen d’inspecter toutes les communications entrant ou sortant du pays.

Aux États-Unis, cette possibilité a longtemps été envisagée par les organismes de défense de la vie privée et des droits électroniques, comme l’American Civil Liberties Union et l’Electronic Frontier Foundation. Il aura cependant fallu attendre les fuites sur la NSA et sur le programme PRISM pour comprendre l’ampleur de la situation. D’après le Patriot Act, passé dans la foulée des attaques du 11 septembre, le gouvernement américain peut obliger n’importe quelle compagnie à secrètement transmettre des informations de transactions (« business records ») aux agences gouvernementales d’intelligence. La largeur de la définition du terme « business record » a cependant été difficile à découvrir, parce que la Cour qui autorise la surveillance de ce type, la Foreign Intelligence Surveillance Court, ne rend pas publiques ses décisions. Le secret a cependant été percé : pour le gouvernement américain, n’importe quelle information qu’un client offre à une entreprise est essentiellement une information de transaction. C’est sur cette base légale que la NSA demande un accès permanent aux métadonnées des appels téléphoniques (qui appelle qui et combien de temps dure l’appel).

Bref, les États-Unis n’ont que peu à faire de la vie privée de leurs propres citoyens, et encore moins de ceux du reste du monde. Ne reconnaissant pas de droits humains, la constitution américaine n’accorde des droits qu’aux Américains, ce qui signifie que les maigres protections dont ils disposent toujours ne s’appliquent même pas à nous, ou à n’importe qui d’autre n’ayant pas la citoyenneté américaine.

Le principe probablement le plus corrosif à la protection de la vie privée aux États-Unis est probablement la « doctrine de la tierce partie » (third-party doctrine), un élément de common law selon lequel une information partagée à un tiers ne doit pas être considérée comme demeurant privée. Par exemple, pour utiliser un téléphone cellulaire, le téléphone doit se connecter à des tours de transmission, et les fournisseurs d’accès conservent ces informations pour une certaine durée dans le cadre de leurs opérations normales. Or, d’après la force du signal associée à chaque tour, il est possible de déterminer plus ou moins précisément la position d’un individu. Selon la loi américaine, l’utilisateur a accepté de fournir sa position à son fournisseur de services; par conséquent, elle devient un « business record, » et ne bénéficie plus de protection sur la vie privée. La Cour suprême n’a pas encore tranché sur la situation pour les réseaux sociaux, et les cours inférieures ne s’entendent pas sur la situation.

Ceci dit, les implications sont alarmantes. Les données qu’une entreprise américaine a sur un américain, ou sur vous, seront probablement tendues sur un plateau d’argent à la première agence gouvernementale qui voudra les avoir. Le but peut être de prévenir le terrorisme, mais nous voilà tous suspects. Comme le cas d’Edward Snowden le montre, les gouvernements mondiaux n’ont pas l’intention de laisser aller les dissidents de leurs pratiques secrètes sans leur donner une longue chasse, forcer des avions à atterrir, ou détenir des innocents en vertu de lois antiterroristes.

Depuis quelques années, Google se défend dans une poursuite où les plaignants l’accusent de bâtir illégalement un profil d’intérêts sur les utilisateurs de Gmail et sur les gens qui parlent à des utilisateurs de Gmail. L’affaire a fait beaucoup de bruit sur le coup, parce qu’une récente motion de Google fait référence à la doctrine de la tierce partie (page 19, lignes 2-16) :

The state law wiretap claims of the Non-Gmail Plaintiffs fail for similar reasons. While the non-Gmail Plaintiffs are not bound to Google’s contractual terms, they nonetheless impliedly consent to Google’s practices by virtue of the fact that all users of email must necessarily expect that their emails will be subject to automated processing.

Just as a sender of a letter to a business colleague cannot be surprised that the recipient’s assistant opens the letter, people who use web-based email today cannot be surprised if their communications are processed by the recipient’s ECS provider in the course of delivery. Indeed, “a person has no legitimate expectation of privacy in information he voluntarily turns over to third parties.” Smith v. Maryland, 442 U.S. 735, 743-44 (1979). In particular, the Court noted that persons communicating through a service provided by an intermediary (in the Smith case, a telephone call routed through a telephone company) must necessarily expect that the communication will be subject to the intermediary’s systems. For example, the Court explained that in using the telephone, a person “voluntarily convey[s] numerical information to the telephone company and ‘expose[s]’ that information to its equipment in the ordinary course of business.” Id. at 744.

Ce passage a enflammé l’opposition, qui s’exclamait que Google avait enfin admis ne pas avoir la moindre once de respect pour la vie privée de ses utilisateurs. La citation a souvent été montrée sans le premier paragraphe où Google explique que c’est une réalité des fournisseurs de service de courriel et non une réalité unique à eux-mêmes, et je considère qu’il s’agit de mauvaise foi de la part des détracteurs de Google. Je laisserai la juge (qui, par coïncidence, est la même qui a présidé le très médiatisé procès opposant Samsung et Apple l’an dernier) décider de qui a raison en vertu de la loi américaine, mais ceci dit, d’autres arguments de Google me font froncer les sourcils.

Les plaignants essaient (entre autres) de dire qu’il devrait être illégal de créer un profil à propos des messages reçus s’ils ne proviennent pas également de Gmail. L’argument de Google sur cette situation est qu’une personne écrivant à une adresse Gmail doit s’attendre à ce que son message soit analysé par Google, puisque tous les fournisseurs de courriel analysent les messages pour une raison ou une autre (citées, par exemple, les fonctionnalités de tri de message; page 3, 11-17). Mon humble avis est qu’il est fallacieux de dire qu’il faut laisser Google créer un profil d’intérêt parce qu’il est désirable d’offrir des fonctionnalités de tri ou de détection de messages indésirable.

Il y a quelques semaines, un autre mini-scandale a éclaté quand il a été révélé que Facebook crée des « shadow profiles » sur les gens qui n’y sont pas inscrits afin d’avoir une meilleure idée de quelles publicités leur présenter lorsqu’ils s’inscriront. Ils sont capables d’associer des adresses courriel à des activités et des goûts en parcourant Internet, et conservent cette information évidemment sans l’autorisation des personnes concernées. (Une pratique légale aux États-Unis, évidemment à cause de la doctrine de la tierce partie.) Notez bien : en ne voyant qu’une infime partie d’Internet, Facebook arrive quand même à dresser un profil utile de certaines personnes. Imaginez donc comment il doit être incroyablement facile pour Google de faire la même chose, eux qui ont en plus accès aux conversations « privées » des gens qui utilisent Gmail, ou qui parlent à des utilisateurs de Gmail, en plus de lire une portion tellement plus grande d’Internet! Considérez également que toutes les informations recueillies sont ensuite à la disposition des organismes de surveillance américains, et vous comprenez ce qui me titille. Par simple vertu d’envoyer un message à un utilisateur de Google, vous laissez Google créer un profil de plus en plus détaillé de vous et de vos activités, et ces informations pourraient ne pas rester confidentielles.

Les plaignants n’ont pas tardé à faire connaître leur réponse, qui est également disponible en ligne. Je n’y ai pas trouvé de passage aussi juteux, mais si vous êtes du genre à aimer la lecture d’arguments légaux, vous y trouverez votre bonheur.

Bref, si vous tenez à la protection de votre vie privée, vous feriez mieux de commencer à trouver des fournisseurs de services en dehors des États-Unis, et peut-être aussi à vous renseigner sur les clés PGP. Ça n’est pas si difficile : rappelons que le Service des TI ne désactivera jamais votre adresse @ens.etsmtl.ca, et que c’est un fournisseur québécois. (La politique de l’ÉTS sur l’utilisation de ses services informations et de télécommunications interdit cependant d’utiliser cette adresse à des fins commerciales.)

Sébastien Langevin, agent d’information, affirme que  l’ÉTS « respecte rigoureusement les lois québécoises et canadiennes, » refusant toutefois d’indiquer si l’ÉTS a déjà remis des messages envoyés à une adresse d’étudiant aux autorités. Je demanderai plus d’informations d’ici le mois prochain, et vous tiendrai à jour.