Perdu dans la tempête médiatique en cours sur les activités de surveillance intérieure de l’Agence de sécurité nationale est la discussion sur les mesures concrètes pour faire entrer les lois nationales sur la confidentialité des communications dans le 21e siècle. En vertu des lois actuelles qui ont été rédigées avant l’avènement de l’Internet commercial, les autorités fédérales et locales peuvent accéder au téléphone mobile et à de nombreux enregistrements de courrier électronique sans mandat délivré par un tribunal. Dans cet article, j’expliquerai ce que les législateurs fédéraux et les lecteurs peuvent faire pour aider à changer le statu quo [tl;dr: if you’d rather skip the explanation and go right to the What Can You Do? section, click here] 
Le Centre pour la démocratie et la technologieun groupe de réflexion politique basé à Washington, DC, a une introduction concise et informative sur le Loi sur la protection des communications électroniques (ECPA), la loi de 1986 qui a été conçue à l’origine pour protéger les Américains de Big Brother et des excès du gouvernement. Malheureusement, la loi est aujourd’hui si obsolète qu’elle offre en fait une couverture juridique aux sorte de dépassement, il a été conçu pour empêcher.
La messagerie en ligne était une nouveauté lorsque les législateurs élaboraient l’ECPA, qui offrait aux e-mails circulant sur le réseau essentiellement la même protection qu’un appel téléphonique ou une lettre postale. Bref, il fallait que le gouvernement obtienne un mandat approuvé par le tribunal pour avoir accès à ces renseignements. Mais le ministère de la Justice voulait un traitement différent pour les communications électroniques stockées. (Gardez à l’esprit que c’était bien avant que quiconque ne parle de stockage « dans le cloud » ; en effet, CDT note que le stockage électronique des communications numériques en 1986 était assez coûteux, et il n’était pas rare que les fournisseurs de messagerie suppriment des messages qui étaient plus qu’un quelques mois).
CDT explique le marché qui a été conclu pour répondre aux préoccupations du gouvernement :
« Le Congrès a déclaré qu’après 180 jours, les e-mails ne seraient plus protégés par la norme du mandat et seraient à la place mis à la disposition du gouvernement avec une assignation à comparaître, délivrée par un procureur ou un agent du FBI sans l’approbation d’un juge », a écrit CDT. « Dans le même temps, le Congrès a conclu que, si le contenu des communications doit être hautement protégé en transit, les « données transactionnelles » associées aux communications, telles que les informations de numérotation indiquant les numéros que vous appelez, étaient moins sensibles. L’ECPA a permis au gouvernement d’utiliser autre chose qu’un mandat pour obtenir ces informations de routage et de signalisation.
Avance rapide jusqu’à presque 2014, et nous constatons bien sûr que la plupart des gens stockent toute leur vie numérique « dans le cloud ». Cela inclut non seulement les e-mails, mais aussi les données de calendrier, les photos et autres informations sensibles. Les grands fournisseurs de cloud comme Google, Microsoft et Yahoo! ont donné aux utilisateurs tellement d’espace de stockage gratuit que presque personne n’a plus de raison de supprimer leurs données. Non seulement cela, mais presque tout le monde porte un téléphone portable qui peut être utilisé pour les suivre et peindre un compte rendu assez détaillé de leurs activités quotidiennes.
Mais voici ce qui cloche avec l’ECPA : si vous êtes le genre de personne qui stocke toutes ces informations sur son ordinateur portable, le gouvernement ne peut pas y accéder sans un mandat délivré par un tribunal. Cependant, laissez-le entre les mains des fournisseurs de données de messagerie, de téléphonie mobile et de cloud, et il est relativement facile pour les enquêteurs de choisir.
« Il y a eu une interprétation de la loi du gouvernement qui dit que tout document stocké dans le cloud peut être consulté avec une citation à comparaître, quel que soit son âge », a déclaré Marc Stanley, stratège en communication chez CDT. « Le gouvernement peut accéder aux e-mails datant de plus de 180 jours avec une simple citation à comparaître. « Nous savons aussi que le [Justice Department] a interprété la loi pour dire que tous les e-mails ouverts – quel que soit leur âge – peuvent être consultés sans mandat.
Est-il facile d’obtenir une assignation administrative ? Marc Rach, un avocat de Bethesda, dans le Maryland et ancien procureur du ministère de la Justice, a déclaré que les citations à comparaître administratives (qui ne nécessitent pas l’approbation d’un juge et permettent aux enquêteurs de rechercher des informations sans aucune vérification externe) sont extrêmement faciles à obtenir et à signifier. Le problème, a-t-il dit, est que les assignations à comparaître placent l’essentiel du fardeau sur le destinataire de la demande.
« Lorsque vous assignez un tiers à comparaître, ce tiers n’a fondamentalement aucune capacité à contester la demande, car il ne sait pas si la demande est pertinente pour l’enquête ou non », a déclaré Rasch. « Par conséquent, il est dans l’intérêt du demandeur de rendre la demande aussi large que possible dans l’espoir qu’elle débouche sur quelque chose de pertinent pour l’enquête. »
Prenons le cas hypothétique d’une citation à comparaître qui ordonne à un fournisseur de messagerie Web gratuite de remettre tous les enregistrements de navigation Web et de messagerie d’un client spécifique pendant une année entière. Ce fournisseur souhaite-t-il ou est-il en mesure de répercuter les coûts de mise en conformité avec cette demande sur le consommateur ? Dans la grande majorité des cas, a déclaré Rasch, cela n’a aucun sens économique pour le fournisseur de contester ces assignations à comparaître, il se contente donc de s’y conformer.
La mise à jour de l’ECPA signifierait qu’avant que les procureurs ou d’autres avocats puissent obtenir ces informations, ils devraient présenter un argument devant un tribunal sur les informations qu’ils recherchent et sur leur pertinence pour une enquête, a déclaré Rasch.
« L’idée est qu’avant de pouvoir obtenir une commande pour produire certaines informations, vous devriez faire un petit ‘mère, puis-je ?’ dit Rasch.
Le nombre d’assignations à comparaître envoyées aux fournisseurs de messagerie chaque année pour rechercher des enregistrements de clients n’est pas clair, mais nous avons récemment eu une idée de la fréquence à laquelle les enquêteurs du gouvernement demandent des enregistrements d’appareils mobiles. Le sénateur Edward J.Markey (D-Mass.) a posé cette question à sept principaux opérateurs de téléphonie mobile, dont AT&T, Verizon wireless, Sprint et T Mobile.
Comme Le New York Times a écrit le 9 décembre, la réponse des opérateurs montre que l’année dernière, ils ont répondu à au moins 1,1 million de demandes des forces de l’ordre cherchant des informations sur les emplacements des appelants, les SMS et d’autres données à utiliser dans les enquêtes. « La plupart des demandes concernaient des informations provenant d’un compte client spécifique », The Times a écrit. « Mais les forces de l’ordre ont également reçu des informations de 9 000 décharges dites de tour, dans lesquelles les agences ont eu accès aux données de tous les téléphones connectés à un site cellulaire pendant une période de temps spécifique. »
Les législateurs de la Chambre et du Sénat ont présenté des projets de loi complémentaires qui obligeraient les forces de l’ordre à obtenir un mandat de cause probable ordonné par le tribunal pour obtenir des e-mails et d’autres contenus stockés dans le cloud. Le Comité judiciaire du Sénat a approuvé S. 607un projet de loi parrainé par le président de la commission, Le sénateur Patrick Leahy (D-Vt.), mais la mesure n’a pas encore progressé au Sénat pour un vote.
Dans la maison, HR 1852 bénéficie d’un large soutien bipartite (110 républicains et 47 co-sponsors démocrates au dernier décompte). S’exprimant sur le fond, un assistant du comité judiciaire de la Chambre a déclaré que le président du panel, Représentant Bob Goodlatte (R-Va.), a « rencontré de manière agressive les parties prenantes et plusieurs groupes extérieurs – y compris les défenseurs de la vie privée, l’industrie et les forces de l’ordre – pour identifier les priorités de réforme de l’ECPA et les normes de confidentialité de la géolocalisation ». Aucun mot, cependant, sur le moment où le comité plénier pourrait examiner le projet de loi de la Chambre.
Fait intéressant, l’effort d’amener les protections de l’ECPA à l’ère numérique a même le soutien du ministère de la Justice. Témoignant lors d’une audience à la Chambre en mai 2013, Procureur général des États-Unis, Eric Holder a déclaré que le DOJ soutient la « notion générale d’avoir un mandat pour obtenir le contenu des communications d’un fournisseur de services ». Comme La colline c’est noté à l’époque, les commentaires de Holder réitèrent la position déclarée du ministère prise plus tôt dans l’année, qui concluait qu’il n’y avait « aucun fondement de principe » pour la distinction de 180 jours, et que la législation visant à étendre les protections de l’ECPA avait « un mérite considérable ».
Alors pourquoi ces changements ne sont-ils pas déjà la loi du pays, mis à part l’impasse partisane habituelle ? Malheureusement, a déclaré Stanley de CDT, le mouvement sur la réforme de l’ECPA est actuellement bloqué par une proposition du Commission américaine des valeurs mobilières et des échanges (SEC), qui souhaite une exception spéciale dans le projet de loi pour que les organismes de réglementation obtiennent des communications de fournisseurs en ligne sans mandat.
Alors que peuvent faire les lecteurs face à tout cela ? Pour commencer, signer une pétition sur le site « We the People » de la Maison Blanche, demandant à l’administration Obama de réformer l’ECPA. La pétition, qui compte actuellement plus de 70 000 partisans mais en a besoin de plus de 100 000 pour forcer une réponse de la Maison Blanche, appelle l’administration à soutenir la réforme de l’ECPA et à « rejeter toute règle spéciale qui obligerait les fournisseurs de services en ligne à divulguer notre courrier électronique sans un garantir. »
Informez-vous également sur les entreprises qui défendent votre vie privée et ne fréquentez pas les entreprises qui ne le font pas. Pour commencer, consultez l’Electronic Frontier Foundation (EFF) Rapport 2013 « Qui vous soutient », qui suit plusieurs façons dont les entreprises de communication peuvent aider à protéger la confidentialité des utilisateurs. L’EFF évalue les fournisseurs de zéro à cinq étoiles, accordant des étoiles pour des choses comme la promesse d’informer les utilisateurs des demandes de données du gouvernement chaque fois que l’entreprise n’est pas légalement empêchée de le faire. « Notamment, Verizon n’a pas une telle politique de notification et n’a pas reçu d’étoile », note l’EFF. « En fait, Verizon était la seule entreprise à recevoir zéro étoile. » [In fairness, Apple, AT&T and Yahoo! fared almost as poorly].
Enfin, envisagez d’utiliser un client de messagerie – au lieu d’un simple Webmail – et cryptez vos communications. Wefightcensorship.org a une excellente amorce sur la façon de le faire, en utilisant Mozilla Thunderbird et PGP. Ars Technica récemment publié instructions étape par étape pour chiffrer les e-mails sur un PC ou un Mac.