Des portes dérobées dans les VPN en Europe : ce n'est pas bon présage

En matière de protection de la vie privée, on acclame souvent l'UE comme un chef de file qui donne l'exemple au reste du monde. Avec la promulgation de la législation historique sur la protection de la vie privée RGPD en 2018, qui est considérée comme une norme pour la protection des données personnelles, l'éloge n'est pas entièrement déplacé.

Cependant, ces dernières années, des groupes variés au sein de l'UE ont proposé des initiatives qui menacent de saper un autre droit numérique fondamental qui est étroitement lié à la protection des données à caractère personnel — le droit à la vie privée. Jusqu'à récemment, la plus grande menace était la proposition dite de "contrôle des chats", qui aurait pu conduire à ce que les applications de messagerie cryptées de bout en bout soient obligées de scanner toutes les photos, vidéos et URL que vous partagez avec d'autres personnes. Cette proposition n'a pas (encore) abouti après avoir été repoussée par des pays préoccupés par ses implications potentielles sur la vie privée des citoyens.

Les VPN, un “défi majeur” pour les forces de l'ordre

Cette fois, la menace provient d'un rapport récemment publié par le Groupe de haut niveau (HLG). Le groupe a été chargé d'"explorer tous les défis" auxquels les services répressifs de l'UE sont confrontés en ce qui concerne "l'accès aux données et les solutions potentielles pour y remédier" en juin 2023. En mars 2025, le groupe a publié une version finale de son rapport, dans laquelle il désigne les VPN comme l'un des principaux défis auxquels les services répressifs sont confrontés dans l'accomplissement de leur travail.

Les appareils et applications cryptés, les nouveaux opérateurs de communication, les réseaux privés virtuels (VPN), etc. sont conçus pour protéger la vie privée des utilisateurs légitimes. Mais ils fournissent également aux criminels des moyens efficaces pour cacher leur identité, commercialiser leurs produits et services criminels, canaliser les paiements et dissimuler leurs activités et leurs communications, en évitant efficacement la détection, les enquêtes et les poursuites.

C'est la première fois que les VPN sont explicitement identifiés par l'UE comme un obstacle aux opérations des services répressifs. Cette désignation est préoccupante, car percevoir quelque chose comme un défi implique un désir de le surmonter, n'est-ce pas ?

Pour être juste, tout au long du rapport, le groupe mentionne que la nécessité d'accéder aux informations doit être mise en balance avec les droits à la vie privée et la sécurité. Le rapport cite ensuite "certains experts en matière d'application de la loi" qui "ont indiqué" que dans certains cas, la technologie de cryptage a été conçue de manière à équilibrer à la fois la sécurité et la nécessité de numériser le contenu.

Cependant, nous ne voyons pas les choses de cette manière. Alors que les auteurs du rapport tentent d'avancer prudemment et parlent de trouver un compromis entre la protection de la vie privée et l'accès des forces de l'ordre, la vérité est que ces deux choses ne peuvent tout simplement pas coexister. L'accès des forces de l'ordre ne fait qu'affaiblir le cryptage et la protection de la vie privée, qui sont essentiels pour garantir la sécurité des données.

Avec l'introduction par la Commission européenne d'une nouvelle initiative appelée ProtectEU - une stratégie de sécurité intérieure remaniée pour l'Europe -, on craint de plus en plus que les droits numériques ne soient mis de côté au profit d'un renforcement des pouvoirs des forces de l'ordre. L'un des principaux éléments de cette stratégie consiste à doter les forces de l'ordre des "bons outils pour être efficaces", ce qui inclut spécifiquement "l'accès légal aux données". En entrant dans les détails, la Commission mentionne son intention d'élaborer une feuille de route sur le chiffrement et de réaliser une étude d'impact en vue de mettre à jour les règles de l'UE en matière de conservation des données. Bien que tout cela semble assez neutre, nous avons de bonnes raisons de croire qu'il s'agit simplement d'un langage soigneusement formulé qui ouvre la voie à des portes dérobées obligatoires dans le domaine du chiffrement.

Il n'y a pas de juste milieu dans cette polémique

L'attention récemment portée par l'Union européenne aux services VPN, ainsi qu'aux applications de messagerie chiffrées de bout en bout, met en lumière un problème important : la poussée en faveur d'un plus grand accès aux données se fait au détriment des libertés individuelles. S'il est compréhensible que les forces de l'ordre aient besoin d'outils pour enquêter sur les crimes, il n'y a pas de juste milieu dans ce débat et un choix crucial doit être fait. Soit vous optez pour la sécurité et l'anonymat, soit vous acceptez d'intégrer des mécanismes permettant de collecter des données sur les utilisateurs. Et une fois que vous permettez cette collecte, vous vous engagez sur une pente glissante, risquant d'éroder les droits à la vie privée de millions de personnes innocentes.

Le GHN a placé les services VPN dans la ligne de mire de ce débat, en les qualifiant de "défi majeur" pour les enquêtes. Les VPN rendent anonymes les activités en ligne des utilisateurs en masquant leur adresse IP, ce qui rend plus difficile la collecte par les autorités de métadonnées susceptibles d'aider à identifier les suspects. Cette situation est considérée comme un obstacle aux enquêtes, surtout si l'on considère que les métadonnées - des informations telles que qui communique, quand et où - peuvent être tout aussi précieuses que le contenu lui-même. Ce qui est particulièrement inquiétant, c'est que les recommandations du rapport suggèrent que tous les services seront tenus de conserver et de fournir des métadonnées aux forces de l'ordre sous peine de sanctions.

De nombreux services VPN, en particulier ceux qui adhèrent à une politique de non-enregistrement, sont conçus pour donner la priorité à l'anonymat de l'utilisateur et à la sécurité des données. Cela signifie qu'à moins que des changements cruciaux ne soient apportés à leur conception, ils ne sont pas en mesure de fournir les informations demandées par les forces de l'ordre. Et ce n'est pas seulement parce qu'ils ne le veulent pas, c'est aussi parce qu'ils ne le peuvent pas, c'est-à-dire qu'ils ne les ont pas. Un cadre juridique obligeant les VPN à conserver les métadonnées des utilisateurs - potentiellement pendant une période prolongée - pourrait rendre ces services intenables, entraînant le retrait des fournisseurs de VPN de l'UE. Ce ne serait pas une première ; une situation similaire s'est produite en Inde en 2022, lorsqu'une loi a exigé des fournisseurs de VPN qu'ils conservent de nombreuses données sur les utilisateurs, y compris leurs noms, pendant de longues périodes, ce qui a provoqué l'exode des VPN du pays.

On peut également évoquer le cas de Telegram, qui a subi une forte pression après l'arrestation de son fondateur, Pavel Durov, par les autorités françaises. Telegram, qui était autrefois un bastion de la protection de la vie privée, a commencé à communiquer davantage de données d'utilisateurs, telles que les adresses IP et les numéros de téléphone.

Si l'UE demande aux VPN de collecter et de partager des données, elle fera fuir les services axés sur la protection de la vie privée et affaiblira les droits numériques des individus. Les questions qui se posent sont les suivantes : Vaut-il vraiment la peine de compromettre la vie privée de dizaines de millions de personnes pour pouvoir (éventuellement) attraper quelques criminels ? Nous sommes convaincus qu'il ne faut pas perdre de vue l'essentiel : préserver la vie privée dans un monde numérique.