Perspectives et analyses

Chiffrement de bout en bout : obstacle ou pilier de la sécurité nationale?

Technology
Technology

Points clés

Face à la montée de la cybercriminalité, le chiffrement de bout en bout est devenu un point de friction entre la protection des secrets, la sécurité publique et la souveraineté technologique. En jeu : la préservation du chiffrement comme garantie de sécurité, de confiance et de maîtrise technologique.

En mars 2025, la proposition de loi « visant à sortir la France du piège du narcotrafic », portée par le ministre de l’Intérieur Bruno Retailleau, a inclut une disposition visant à permettre aux services de renseignement d’accéder aux communications chiffrées, y compris de bout en bout. Cette mesure a été rejetée par l’Assemblée nationale après un vif débat en raison des risques systémiques qu’elle faisait peser sur la sécurité des services numériques. Elle a cristallisé le besoin de fixer un point d’équilibre conciliant des impératifs de sécurité publique et de sécurité numérique.

Chiffrement de bout en bout : un standard de sécurité juridique et technique

Le chiffrement de bout en bout (E2EE – end-to-end encryption) constitue une méthodologie de sécurité fondée sur un principe simple : seuls l’expéditeur et le destinataire d’une information peuvent y accéder en clair, car elle est chiffrée par des attributs propres à leur correspondance. Aucun tiers, pas même le fournisseur du service intermédiaire entre deux correspondants, ni les autorités publiques, ne peut techniquement y accéder, y compris en cas de réquisition judiciaire.

Cette technologie est devenue un élément structurant de l’écosystème numérique, intégrée dans les messageries instantanées (Signal, WhatsApp, iMessage ou Threema), les outils de stockage de données, de partage de fichiers ou encore de gestion de mots de passe.  

L’intégrité du chiffrement de bout en bout bénéficie d’un soutien explicite de la part d’autorités nationales et européennes, telles que l’Agence nationale de la sécurité des systèmes d’information (« ANSSI ») en France, ou encore dans le cadre de la directive (UE) 2022/2555, dite NIS 2, qui recommande la mise en œuvre de mécanismes de chiffrement robustes comme mesure de cybersécurité.

Vers une remise en cause du chiffrement au nom de la sécurité publique : une tendance mondiale

Malgré sa légitimité technique et juridique, le chiffrement E2EE fait l’objet de remises en cause croissantes dans plusieurs États, sous l’angle de l’impératif de sécurité publique. La tentation de prendre connaissance d’une information chiffrée n’est d’ailleurs par l’apanage des Etats autoritaires, ni des démocraties, ni mêmes des pouvoirs publics. Les criminels de tous bords, les espions de toutes origines, comme les enquêteurs les plus vertueux pour lutter contre les crimes les plus horribles, sont tout autant avides d’accéder à des secrets.

Déjà en 2022, une déclaration conjointe internationale réunissant notamment le Canada, le Royaume-Uni, l’Inde, le Japon et Singapour, appelait à garantir aux autorités compétentes un accès effectif aux contenus cryptés, y compris en présence de chiffrement E2EE. Cette dynamique s’est traduite, en pratique, par l’adoption de législations nationales telles que :

-  l'Online Safety Act, adopté par le Royaume-Uni en 2023 qui impose aux plateformes numériques l'obligation de détecter les contenus illicites, y compris au sein de communications chiffrées ;

-  le projet de règlement européen sur les abus sexuels sur enfants, dit « Chat Control », qui prévoit la possibilité, pour une autorité compétente, de contraindre les fournisseurs de services de communications interpersonnelles de mettre en œuvre un mécanisme d’analyse des contenus échangés pour y détecter les contenus pédopornographiques.

La France avait elle-même déjà envisagé, par le biais d’une interprétation extensive d’une disposition du projet de loi relatif à la prévention d’actes de terrorisme et au renseignement, la mise en place de « portes dérobées » au titre des obligations de coopération des opérateurs de communication électroniques.

Des risques juridiques, techniques et systémiques majeurs

Des failles intentionnelles aux conséquences imprévisibles

Les autorités techniques et expertes en cybersécurité rappellent qu’il n’existe pas de « faille de sécurité maîtrisée » (e.g. ANSSI). L’introduction volontaire de portes dérobées créerait des vulnérabilités susceptibles d’être exploitées non seulement par les autorités légitimes, mais également par des acteurs malveillants (cybercriminels, puissances étrangères, etc.).

La communication conjointe d’Europol et de l’Agence de l’Union européenne pour la cybersécurité (« ENISA ») du 20 mai 2016 (Joint Statement on lawful criminal investigation that respects 21st Century data protection), la Résolution 2045 (2015) du Conseil de l’Europe, ou encore le rapport du Haut-Commissariat aux droits de l’homme des Nations Unies (A/HRC/51/17 du 4 août 2022) convergent vers un constat unanime : les « backdoors » sont une menace directe pour la sécurité de l’ensemble des utilisateurs – pas seulement les criminels.

Aux Etats-Unis, le groupe d’experts du House Judiciary Committee et du House Energy and Commerce Committee a affirmé sans ambiguïté que toutes mesures affaiblissant le cryptage porteraient atteinte à la sécurité nationale.

Une atteinte disproportionnée aux droits fondamentaux

Juridiquement, la mise en place de portes dérobées soulève également des interrogations au regard de son impact sur les droits fondamentaux. La CJUE a rappelé, dans les arrêts La Quadrature du Net (C‑511/18) et Digital Rights Ireland (C‑293/12), que la conservation généralisée des données de connexion et les obligations de déchiffrement sont contraires aux articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne, qui protègent le respect à la vie privée et les données à caractère personnel en prévoyant un principe de proportionnalité des atteintes à la vie privée et à la confidentialité d’une information. Dans le même sens, la Cour européenne des droits de l’homme, dans l’arrêt Podchasov c. Russie (2024), a clairement indiqué que l’obligation imposée à une plateforme de messagerie de fournir aux autorités les éléments permettant de déchiffrer les communications de ses utilisateurs constituait une violation de l’article 8 de la Convention européenne des droits de l’homme, relatif au respect de la vie privé et  des correspondances.

Ce n’est pas en soi le principe du déchiffrement qui est en cause. C’est son caractère systématique à l’encontre de tout utilisateur, sans capacité de cibler les personnes faisant l’objet d’une enquête spécifique par une autorité habilitée.

De telles mesures seraient donc non seulement techniquement discutables, mais juridiquement vulnérables à des recours fondés sur les droits fondamentaux et l’exigence de proportionnalité.

Une mise en péril de la souveraineté technologique européenne

L’adoption de mesures affaiblissant le chiffrement entrerait en contradiction avec les principes du RGPD, les obligations de sécurité issues de la directive NIS2, et plus largement les ambitions européennes en matière de souveraineté numérique. Elle pourrait inciter des acteurs majeurs à se retirer de certains marchés, et affaiblir la compétitivité technologique de l’Europe.

Le paradoxe sécuritaire : affaiblir la sécurité au nom de la sécurité?

Les mesures visant à contourner ou affaiblir le chiffrement sont présentées comme un instrument de lutte contre des menaces graves (criminalité organisée, terrorisme, pédopornographie). Toutefois, elles créent en réalité :

  • une nouvelle vulnérabilité systémique, exploitable par des tiers malveillants ;
  • une atteinte potentiellement disproportionnée aux droits fondamentaux, contraire à la jurisprudence européenne ;
  • des effets négatifs pour l’économie numérique et la souveraineté technologique.

L’encadrement juridique des outils de chiffrement constitue un enjeu de premier ordre à l’intersection du droit de la sécurité, du droit des données personnelles et du droit du numérique. Toute tentative de limitation du chiffrement de bout en bout doit faire l’objet d’une analyse rigoureuse au regard du principe de proportionnalité et de la hiérarchie des normes européennes.

Dans un monde numérique où les menaces sont protéiformes, affaiblir la confidentialité des communications, reviendrait à affaiblir les secrets, la souveraineté et la sécurité que l’on cherche précisément à préserver.

Pour toute question concernant ce sujet, n'hésitez pas à contacter Charlotte Le Roux ou l'un des auteurs ou votre interlocuteur habituel chez Hogan Lovells.


Authored by Charlotte Le Roux, Léanne Fortuna, Etienne Drouard, and Camille Raymond.

Rechercher

Abonnez-vous pour recevoir du contenu personnalisé !