Aux États-Unis, les fameuses National Security Letters viennent d’être déclarées tout à fait constitutionnelles. Ces courriers, émis notamment par le FBI, permettent de réclamer des données aux prestataires et autres opérateurs de téléphonie. Un coup dur pour l’EFF, qui cherchait à faire évoluer la législation.
Les NSL sont un vieux sujet de désaccord aux États-Unis. Ces lettres sont émises par les agences fédérales ayant besoin d’accéder à des données. Elles peuvent se trouver chez des sociétés de type GAFAM (Google, Apple, Facebook, Amazon et Microsoft), des fournisseurs d’accès, des opérateurs de téléphonie et globalement toute structure qui peuvent être amenées à stocker ces informations.
Elles ont largement été mises en avant depuis le passage d’Edward Snowden, plusieurs associations et entreprises essayant d’en atténuer la toute-puissance, en particulier quand elles sont accompagnées de « gag orders ». Ces derniers imposant en plus aux entreprises concernées de ne pas avertir leurs clients de ces demandes, alors même que le Quatrième amendement de la Constitution américaine garantit le droit d’en être informé.
Cependant, plusieurs lois ont changé depuis le passage de Snowden, particulièrement depuis l’année dernière. Un juge vient d’ailleurs de décider qu’en l’état, tout allait bien avec le système actuel.
Un peu de contexte autour des NSL
Pour bien situer les National Security Letters, il faut préciser quelques points importants. D’une part, les NSL sont émises directement par les agences qui en ont besoin, FBI en tête. Elles ne font l’objet d’aucune demande aux tribunaux et elles n’ont pas besoin d’être validées par un juge. Elles n’entrent donc pas dans le même domaine que les mandats de recherche.
D’autre part, le parcours juridique des NSL a été chaotique. Elles ont particulièrement été remises en cause après le passage de Snowden, la juge Susan Illston ayant décidé en 2013 qu’elles étaient inconstitutionnelles, enfreignant le sacro-saint Premier amendement sur la liberté d’expression (les entreprises ne pouvant pas parler précisément des NSL). Elle a depuis changé d’avis, pour tenir compte d’importantes modifications intervenues l’année dernière.
Le problème le plus souvent pointé pour les NSL est en effet le gag order, une sorte d’obligation de non-divulgation, qui l’accompagne régulièrement. L’entreprise peut faire l’objet de poursuites si elle décide de passer outre. Or, depuis l’année dernière justement, le FBI doit réviser le besoin d’une telle obligation trois ans après ouverture de l’enquête ou lors de sa fermeture. Le gag order doit ainsi être levé si les éléments n’imposent plus son utilisation, alors qu’il était considéré comme définitif quand il était émis sans limite de temps. On se souvient d’ailleurs que Microsoft combattait ce dernier point, avec l'aide de l'EFF.
Les NSL et leurs gag orders jugés parfaitement constitutionnels
Malheureusement pour l’Electronic Frontier Foundation qui avait déposé plainte contre les NSL, une cour d’appel a estimé hier qu’elles étaient tout à fait constitutionnelles. Certains doutes étaient permis avant, mais la révision des règles intervenue l’année dernière permet d’apporter désormais des garanties qui n’existaient pas précédemment.
Dans la pratique, le FBI va donc pouvoir continuer à émettre des NSL comme il le faisait jusqu’à présent, tout en continuant à appliquer ses nouvelles obligations, notamment la révision des gag orders au bout de trois ans. Les entreprises n’auront de leur côté toujours pas le droit d’évoquer ces NSL protégées dans leurs rapports de transparence, tout juste pourront-elles évoquer leur nombre… arrondi au millier.
La situation générale va donc ainsi rester inchangée dans l’avenir proche. L’EFF, dans une réponse donnée à Ars Technica, a indiqué cependant qu’elle étudiait ses options pour tenter de combattre la décision, pourquoi pas en relançant un appel.
Une activité normale
On rappellera qu’en dépit des très nombreux débats provoqués par les actions d’Edward Snowden et de la presse qui possédait tout ou partie des documents dérobés à la NSA, le cadre du renseignement et de la récupération des données n’a que peu changé dans le fond. Le Freedom Act de l’administration Obama a bien assoupli quelque peu les règles, mais la NSA a gardé ses opérations pratiquement intactes. Tout juste s’est-elle vu ajouter l’obligation de passer par des voies mieux encadrées pour ses demandes d’information.
Mais là où l’agence doit faire valider ces requêtes par un juge spécial membre de la FISC (Foreign Intelligence Surveillance Court), le FBI n’a pas ce type de problème avec les NSL. Les sociétés visées par ces requêtes continueront donc sans doute de pester officiellement contre l’impossibilité d’avertir les clients.
Commentaires (40)
#1
Je suis peut être un peu limité mais ça me semble relativement évident de ne pas avoir à avertir une personnne qu’on enquête sur elle. D’autant qu’on est ici loin de la surveillance de masse.
Une idée de comment ça se passe par chez nous dans ce genre de situation ?
#2
#3
En France, avec l’état d’urgence permanent, les préfets et le ministère de l’intérieur tendent à remplacer les juges et l’autorité judiciaire dans de nombreux cas.
Il y a aussi le droit de communication que possèdent les organismes sociaux envers toutes institutions pour enquêter sur d’éventuelles fraudes (sans, bien sûr, aucune information préalable de l’allocataire concerné). Mais je m’égare car il ne s’agit pas d’infractions pénales.
#4
mmmh. j’ai pas l’info, mais tout dépend combien de personnes sont touchées par une NSL…
je sais pas si c’est forcément nominatif, et une par compte.
#5
le problèmes des gag orders, n’est pas tant de ne pas prévenir que la personne sur laquelle la police enquête, que de n’avoir le droit d’en parler à _personne_, y compris par exemple une boite qui fournirait des conseils juridiques ou d’anonymiser la demande et de la fournir à des journalistes/… autres contre pouvoirs pour valider qu’il n’y a pas d’abus (par exemple la réception de 500 demandes absolument identiques risque de faire tiquer sur le coté “ciblé” ..;)
C’est vraiment : tu n’as pas le droit de dire que tu as reçu une demande. Pas que tu as reçu une demande et que tu ne peux pas dire quel(s) utilisateur(s) cela concerne.
#6
Le gag order est contournable via un warrant canary. Après je sais pas à quel point c’est solide devant une court de justice.Edit : Votre bouton “lien” dans les commentaire, c’est vraiment pas terrible…
#7
Et tu veux qu’ils fassent quoi comme warrant canary chez facebook?
Le truc il va tenir 30 secondes avant qu’ils n’aient un demande de NSL
#8
Le fait de ne pas informer peut avoir pour but d’augmenter l’efficacité de la procédure d’enquête c’est vrai.
Par contre, ça pose de nombreux problèmes au niveau des droits de l’individu: droit à ne pas s’auto-incriminer, d’être au courant qu’une procédure est ouverte contre soi, ou tout simplement d’être en mesure de se défendre.
Pire encore, le fait de ne pas informer empêche complètement l’individu qui juge qu’il est victime d’une intervention illicite de l’Etat (ça existe et c’est régulier) de “challenger” l’action de l’Etat, et de demander à un juge de se pencher sur la question et de le protéger. (la demande d’information secrète quand on mène l’enquête contre un baron de la drogue se justifie différemment de celle destinée à obtenir des information sur quelqu’un sans motif d’enquête précis ou simplement pour chicaner)
ça c’est pour les droits de procédure, mais niveau droits fondamentaux c’est aussi très risqué: collecter des données personnelles est interdit sauf motif justificatif. Celui qui ne le sait pas (et pire quand on a des cours d’exception qui rendent des décision secrètes) n’est pas en mesure d’exiger de l’Etat ce que l’Etat doit en principe respecter dans la constitution tout simplement.
Il faut bien peser les intérêts entre ces différents droits pour trouver une solution élégante. Dans le cas présent, ils prennent un risque très important ne serais-ce qu’en termes de confiance du citoyen vis à vis de l’Etat
On a toujours l’optique de base (et à juste titre parce que c’est sensé être la norme) d’une autorité légitime qui récolte des information ou mène une enquête dans le cadre de ses prérogatives sans dépasser les bornes contre une personne probablement déjà criminelle qui essaie de profiter de ses droits pour s’échapper.
Mais c’est qu’une situation parmi d’autres, et c’est parce que ces autres situations existent qu’on a gravé des droits fondamentaux dans des constitutions, et qu’on a un pouvoir judiciaire sensé être indépendant afin de mettre des limites au fonctionnement de l’exécutif.
#9
En faire un par user ?
#10
Bah non c’est prévenir la personne…
La “couverture juridique” du warrant canary c’est d’avertir le public d’un site qu’il y a eut une demande de renseignement par la FBI, sans dire qui sinon ils seront condamnées
#11
Ils ne préviennent pas la personne de la NSF, ils arrétent juste de la prévenir qu’ils n’ont pas reçu de NSF.
C’est con, mais je crois que c’est à peu près ça le principe du warrant canary.
Edit : mais bon… “In September 2014, US security researcher Moxie Marlinspike wrote that “every lawyer I’ve spoken to has indicated that having a ‘canary’ you remove or choose not to update would likely have the same legal consequences as simply posting something that explicitly says you’ve received something.”[15][16]”
#12
ça voudrait dire que légalement, on peut obliger à mentir ? ça me parait surprenant, même si pas impossible…
#13
à mon avis ça n’est pas pour les enquêtes criminelle que cela existe, car une fois la procédure ouverte, voir terminée, quel est l’intérêt de garder secret le fait que l’on ait enquêté sur une personne ?
C’est sûrement dans la cadre de l’espionnage (industriel, politique, autre ?) que cela est utilisé.
#14
Ouai mais du coup maintenant la limite est de 3 ans, du coup pour l’espionnage politique ou économique, c’est plus trop utilisable…
#15
si j’ai bien lu l’article, ça n’est pas une obligation de le lever au bout de 3 ans, ça n’est même pas automatique, il faut “vérifier et le lever s’il n’ a plus de raisons d’être”, ça me parait être de la reconduction automatique caché cette histoire là, donc au final ça ne change rien du tout.
Pour le second point, soit tu étais dans l’illégalité avant, soit tu ne l’es pas sauf si on t’oblige à mentir.
Il y a peut etre des subtilités que j’ai manqué, mais je ne vois pas d’autre issues.
#16
Ouai en fait tu as raisons, ça reste à peu près la même chose donc.
Pour la deuxième partie, oui en pratique la justice te demanderai indirectement de mentir, mais ce n’est pas explicite. Explicitement, elle te dirais juste “n’avertissez pas tel personne de tel lettre, d’aucune façon”. M’enfin là je spécule totalement hein.
#17
Les deux motifs sont probablement valables.
Ces questions existent bel et bien en ce qui concerne le droit pénal. quand ni le client ni son avocat ne peut accéder au dossier le concernant, il leur est tout simplement impossible de se défendre. Avec le développement du numérique et l’accès facilité des intermédiaires aux données en question, le moment de l’accès arrive de plus en plus tard vis à vis du dossier constitué.
Il est bien plus simple pour l’autorité de conserver le secret le plus longtemps possible pour éviter de se faire enquiquiner par le prévenu et son avocat, arriver devant le juge avec un dossier béton que les adversaires liront en même temps que le juge, et passer à une autre procédure. Malheureusement, c’est extrêmement risqué lorsqu’on a prévu une procédure avec deux voix (l’accusation et la défense).
Après, j’imagine que ces interdictions ne valent pas pour la criminalité “ordinaire” (quoi que le FBI a des attributions relativement larges y compris pour ce qui est de ce type de criminalité).
#18
je suis d’accord sur le fond ! tu mens dans les deux cas, mais sur la forme, il y a quand même une grande différence entre mentir explicitement, et mentir par omission.
à aucun moment la loi ne t’oblige à dire que non, tu n’as pas reçu de demande, tu peux juste te contenter de ne pas répondre à la question si on te la pose !
donc si quelqu’un te pose la question tous les jours, tu réponds chaque jour que tu n’as reçu aucune demande, et le jour où tu en reçois une, tu te contente de ne plus répondre.
Ce quelqu’un c’est le canari.
#19
Ce ne sont que des terroristes : tout est permis pour la sécurité intérieure, y compris se torcher avec la séparation des pouvoirs et l’état de droit.
#20
#21
#22
(pour le mariage) j’ai tjrs. trouvé ça ……, c’est “d”être devin”, et pouvoir dire :
que dans 50 ans les pers. seront tjrs. ensemble ?
piou !!! " />
#23
le mariage est une montagne de promesses dans le vide, dont tout le monde sait très bien qu’elles sont totalement futiles, mais tout le monde joue le jeu.
le pire étant le mariage à l’église, que presque tout le monde pratique, où là carrément tout le monde (quelques exceptions pour les vrais pratiquants, ne généralisons pas à outrance) fait semblant: les mariés, qui n’y croient pas une seconde, le curé, qui le sait très bien, et l’assemblée, qui se prête volontiers à ce jeu de dupes.
j’ai l’âge ou les mariages se multiplient, et ça commence sérieusement à me (nous, avec ma compagne) gonfler de se taper une heure de messe où tout ce petit monde ment comme il respire, avec le sourire s’il vous plaît.
le tout un bel après-midi de printemps/été où on ferait mieux d’être en short au bistro plutôt qu’engoncé dans un costume trop petit (incroyable à quel point ça rétrécit ces conneries " />) dans une nef sans fenêtres, à passer son temps à se lever et s’asseoir sur des bancs dont on ne loue plus le confort.
oui, j’en ai gros.
mais bon ça passe parce qu’on sait qu’on va se rincer au champagne aux frais de la princesse après. " />
#24
hors sujet !
#25
#26
Rien à voir " />
#27
#28
HS, HS….moi, ça me va, les gens sont LIBRES de parler de ce qu”ils veulent, non ?
et puis, c’est comme dans une discussion, un mot-en-amène-un-autre forcément on “déborde”
on veut donner des exemples de similitudes–> hop-là …HS !!! " />
#29
#30
#31
#32
#33
ok mais là c’est pas du business, c’est uniquement familial et social.
c’est bien pour ça que ça m’écœure.
mais bon c’est de la com’ un mariage: tout est fabriqué, tout le monde fait semblant.
#34
#35
#36
#37
hey, tu divorces en Belgique toi une fois ? " />
#38
#39
avant de divorcer, il faudrait déjà se marier " />
Moi je suis belge pas en Belgique et drépanocytose est pas belge en Belgique, du coup j’ai rajouté pour la Belgique aussi.
edit: en relisant la phrase précédente tu as juste envie de crier Kamoulox " />
#40
aujourd’hui tu te marie aussi pour des raisons légales, pour faciliter/assurer les successions/héritages…