Un collectif d’experts de l’Union Européenne a identifié les services VPN comme un obstacle majeur aux enquêtes policières, en plus du chiffrement de bout en bout. Le rapport du Groupe de Haut Niveau souligne la nécessité d’un accès légal aux données tout en préservant les droits fondamentaux et la cybersécurité. Les recommandations incluent la conservation des métadonnées par les fournisseurs, malgré les préoccupations concernant la vie privée et la sécurité des utilisateurs.
Pour la première fois, un collectif d’experts de l’Union Européenne a clairement désigné les services VPN comme des « défis majeurs » pour le travail d’investigation des forces de l’ordre, aux côtés des dispositifs chiffrés, des applications et des nouveaux opérateurs de communication. Le rapport final de ce groupe évoque également le chiffrement de bout en bout comme étant « le plus grand défi technique ». Appelé Groupe de Haut Niveau (HLG), ce panel d’experts a été mandaté par le Conseil de l’UE en juin 2023 pour élaborer une stratégie sur « l’accès aux données pour une application efficace de la loi ».
Accès légal aux données : une conception à revoir
Les premières recommandations émises par le HLG ont fait surface en juin de l’année dernière. Leur intention était claire : rendre les appareils numériques que nous utilisons quotidiennement, allant des smartphones aux dispositifs IoT et aux voitures, surveillables légalement et techniquement à tout moment par les autorités. À ce sujet, Jan Jonsson, PDG de Mullvad VPN, avait déclaré à l’époque : « Cela représenterait une surveillance totale, obligeant les Européens à transporter des logiciels espions d’État. » Le rapport final du LHG, publié le 13 mars 2025, montre peu d’évolution par rapport aux préoccupations initiales. Cependant, les recommandations concernant l’« accès légal aux données par conception » semblent plus abouties. Les experts envisagent maintenant d’inclure les services VPN parmi les obstacles majeurs aux enquêtes. Auparavant, les inquiétudes concernaient surtout les applications de messagerie sécurisée utilisant le chiffrement pour rendre les contenus inaccessibles, compliquant ainsi la tâche des autorités pour déchiffrer les informations recherchées. En élargissant la cible aux services VPN, les experts soulignent l’importance d’accéder aux métadonnées pour identifier les suspects. Les métadonnées comprennent des informations comme l’expéditeur et le destinataire d’un message, l’heure d’envoi, et la localisation. Les VPN, en masquant les adresses IP, compliquent cette identification. Les experts estiment que les législateurs de l’UE doivent développer des solutions pour obliger les fournisseurs à conserver certaines métadonnées essentielles pour une durée minimale. Heureusement, l’idée d’un cadre légal « harmonisé et cohérent » pour la conservation des données est incluse parmi les récentes recommandations du HLG. Cependant, l’imposition de nouvelles obligations de collecte des métadonnées pourrait contredire les politiques de nombreux services axés sur la confidentialité, notamment ceux sans journaux, qui ne conservent jamais d’informations pouvant relier les utilisateurs à leurs activités en ligne.
Le défi de la sécurité des données
Malgré l’accent mis sur la nécessité pour les autorités d’accéder aux données des citoyens pour les enquêtes, les experts du HLG soulignent que « cela ne doit pas se faire au détriment des droits fondamentaux ou de la cybersécurité des systèmes et produits ». Le rapport insiste à plusieurs reprises sur l’importance du chiffrement pour garantir la sécurité des individus, en se protégeant contre le vol de données et l’espionnage, ainsi que contre d’autres formes d’accès non autorisé. Il reste à voir comment les décideurs européens trouveront un équilibre entre le besoin d’accéder aux données, même chiffrées, et la nécessité de préserver la sécurité de l’information. Les cryptographes et spécialistes de la technologie soutiennent depuis longtemps que le chiffrement fonctionne de manière binaire : il est soit opérationnel, soit compromis pour tout le monde. En réponse à la pression pour des portes dérobées dans le chiffrement, Andy Yen, PDG de Proton, a récemment déclaré : « Le chiffrement repose sur des mathématiques – cela fonctionne ou cela ne fonctionne pas. Créer une porte dérobée qui préserve le chiffrement est tout simplement impossible. »