droitdu.net

Un site utilisant Plateforme OpenUM.ca

Adoption du projet de loi SLAID en moins de 24h : la police australienne dotée des pouvoirs spéciaux de surveillance sans précédent

12 septembre 2021
Commentaires
Permalien

Bien que cette nouvelle qui n’a pas fait la une de notre côté de la sphère, elle est d’autant troublante en matière de vie privée. Le 25 août 2021, les deux chambres du Parlement australien ont adopté le projet de loi « Surveillance Legislation Amendment (Identify and Disrupt) » introduit en 2020. Cette législation donne aux forces policières de l’AFP (Australia Federal Police) et de l’ACIC (Australian Criminal Intelligence Commission) des pouvoirs extraordinaires quant à la surveillance et au contrôle de l’information numérique des utilisateurs australiens.

Historique de législations notoires

Ce n’est pourtant pas la première fois que l’Australie fait les nouvelles pour ses décisions controversées dans le milieu des technologies de l’information.

Rappelons-nous plus tôt cette année lorsqu’elle s’en est pris aux géants de l’information, notamment Facebook et Google avec son projet de loi visant à réglementer le partage de nouvelles australiennes en ligne et à imposer la rémunération des agences de presse par les plateformes de partage d’information. L’introduction de ce projet de loi s’en est suivi par un boycott des nouvelles australiennes par Facebook, suivi d’un jeu de bras de fer entre ce géant technologique et le gouvernement australien, pour finalement s’entendre sur des amendements à la loi. Tout cela pour en finir avec une loi qui sera fort probablement contournée par les compagnies qu’elle cherche à réglementer.

En 2018, l’Australie avait également adopté sa loi « Assistance and Access » qui permet aux autorités, sans mandat d’un juge, de demander aux entreprises technologiques de leur donner accès aux données encryptées de certains des utilisateurs que les autorités suspectent de crime organisé et de terrorisme. Toutefois, cette loi a été le sujet de beaucoup d’inquiétudes en raison de son caractère vague quant aux responsabilités des acteurs impliqués et du souci qu’elle impose aux entreprises de compromettre la sécurité des utilisateurs en créant un « backdoor » accessible aux autorités, et de fait affaiblissant la sécurité de leur système entièrement.

       « There are issues around transparency, accountability, oversight, and the potential and scope for misuse. » – Monique Mann, Queensland University of Technology

« It is precisely because of these threats that we support strong encryption. (…). The threats to those communications and data are very real and increasingly sophisticated. »  – Apple

L’histoire se répète…

Alors que l’ « Assistance and Access Act » était la plus sévère des législations en matière de bris à la vie privée au sein de l’alliance des Fives Eyes (États-Unis, Canada, Nouvelle-Zélande, Royaume-Uni et l’Australie), son successeur, soit le projet de loi « Surveillance Legislation Amendment (Identify and Disrupt) » récemment adopté, dépasse largement toutes législations similaires précédentes.

Ce projet de loi instaure trois grands pouvoirs, sous forme de mandats, aux autorités policières australiennes de l’AFP et de l’ACIC :

  1. Mandat de perturbation de données (« Data disruption warrants »);

Prévu à l’annexe 1 du projet de loi, l’amendement 2 prévoit la possibilité par l’AFP et L’ACIC d’accéder aux données numériques d’un suspect et de perturber ces données. l’amendement 8 définit cet acte de perturbation de données comme étant l’action d’ajouter, de modifier, de copier et de supprimer les données retrouvées sur le matériel informatique. En plus, conformément à l’amendement de l’article 27KA, un tel mandat peut être attribué suite à une simple demande par un membre des corps policiers concernés accompagnée d’une explication et d’un affidavit, lequel peut être omis si l’agent plaide l’urgence du mandat.

«  to establish procedures for certain law enforcement officers of the Australian Federal Police or the Australian Crime Commission to obtain warrants and emergency authorisations that: (i)  authorise the disruption of data held in computers (…) »

       « disrupting data held in a computer means adding, copying, deleting or altering data held in the computer. »

 Comme si le potentiel d’abus à la vie privée n’était pas assez important, cette annexe prévoit, à l’amendement 47, l’introduction d’un ordre d’assistance (assistance order) qui permet aux autorités, avec l’accord d’un juge ou d’un tribunal d’appel administratif, de forcer tout individu à offrir information et assistance dans le processus de perturbation de données, sous peine de 10 ans de prison en cas de refus. Cette obligation s’étend également aux entreprises et administrateurs de systèmes australiens.

« What makes this legislation even worse is that there is no judicial oversight. (…) a warrant from a judge of a superior court is not needed. »

2. Mandat d’activité de réseau (« network activity warrants »);

À l’annexe 2, les deux premiers amendements permettent au corps policier d’obtenir des renseignements sur des appareils utilisés ou suspectés d’être utilisés par un groupe d’individus criminels au sens de l’amendement 7A.

3. Mandat de prise de contrôle de compte (« Account takeover warrants »)

L’annexe 3 de ce projet de loi permet aux autorités policières de prendre contrôle d’un compte utilisateur en ligne lorsque cette prise de contrôle peut permettre d’obtenir des renseignements aux fins de preuves d’un acte criminel commis, en vue d’être commis ou suspecté d’être commis.  

« a) one or more relevant offences have been, are being, are about to be, or are likely to be, committed; b) an investigation into those offences is being, will be, or is likely to be, conducted; c) taking control of the online accounts is necessary, (…), for the purpose of enabling evidence to be obtained of the commission of those offences »

red and black love lock

Quelles en sont les conséquences?

Encore une fois, l’imprécision de cette législation et la rapidité de son adoption ouvrent la voie à une multitude d’abus et d’attaques aux droits de la personne, notamment ceux de vie privée et de sécurité.

Plusieurs acteurs ont exprimé leurs préoccupations face à la vie privée des utilisateurs, particulièrement des tiers non suspectés d’activités criminelles, comme le soulève le « Office of the Australian Information Comissionner (OAIC) » .  Or, cette législation a été prise sans égard, ou presque, à la « Privacy Act 1988», laquelle promeut et protège la vie privée en Australie, mais qui malheureusement ne s’applique pas à toutes les organisations et qui a récemment été affaiblie par la Cour fédérale australienne.

« The OAIC makes recommendations regarding additional safeguards that should be included in the Bill to ensure that impacts on individuals’ privacy are reasonable, necessary and proportionate, noting the nature and scope of personal information that could be accessed under these warrants »

L’autre danger s’en tient à la sécurité des utilisateurs australiens. Le débat du précédent projet de loi « Assistance and Access » en 2018 refait surface en ce qui concerne l’équilibre entre le chiffrement des données utilisateurs et la possibilité pour les administrations gouvernementales d’y accéder aux fins de sécurité publique. D’autant que les entreprises technologiques se doivent de respecter leur obligation de diligence en matière de sécurité, elles ne peuvent pas y parvenir si la loi australienne leur requiert de compromettre la sécurité de leurs systèmes et même de trahir cette même responsabilité, lorsqu’ordonnée par l’ « Assistance Order ».

Je me permets de conclure ce texte avec une citation de la sénatrice Lidia Thorpe, porte-parole de la justice pour le parti « Australian Greens » et grande critique du nouveau projet de loi adopté :

« The bill does not identify or explain why these powers are necessary and our allies in the United States, the United Kingdom, Canada and New Zealand do not grant law enforcement these rights »

« The Richardson review concluded that this bill enables the AFP and ACIC to be ‘judge, jury and executioner.’ That’s not how we deliver justice in this country. »

Commentaires

Laisser un commentaire

Sur le même sujet

Derniers tweets