Dans l'univers numérique, la protection de la vie privée et la sécurité engendrent des exigences souvent contradictoires, qui imposent des compromis parfois délicats. La Commission Nationale Informatique et Libertés (CNIL), dont la tâche quotidienne est de définir les bonnes pratiques en la matière, n'est pas toujours à l'abri des erreurs.
Ainsi, sa récente prise de position sur un sujet particulièrement sensible – l'analyse de flux HTTPS – pourrait ouvrir une boîte de Pandore, dont les ramifications ne semblent pas avoir été analysées avec tout le soin nécessaire. Certes, la question posée est légitime : l'utilisation de plus en plus massive du web dans l'environnement professionnel combinée à une généralisation progressive de la sécurisation des échanges (via le protocole HTTPS, donc) induit des risques non négligeables de fuite de données ou d'introduction de contenus illicites et autres logiciels malveillants dans l'entreprise.
Les réponses apportées à ces dangers sont généralement de deux ordres. Dans les organisations les plus (légitimement ou non) paranoïaques, l'accès aux sites web sécurisés est prohibé par défaut, quelques exceptions étant acceptées pour des fournisseurs de services dûment vérifiés et validés (notamment ceux dont l'usage est strictement professionnel). Dans d'autres cas, un mécanisme de décryptage est mis en place aux frontières de l'entreprise, qui permet de vérifier et, le cas échéant, filtrer le contenu des échanges avant qu'il n'entre ou ne sorte des murs.
Or, cette deuxième solution existait jusqu'à maintenant dans une zone grise de droit, que la CNIL vient justement de clarifier (en partie). Moyennant quelques précautions d'information des salariés et de protection des données concernées, elle légitime explicitement cette pratique, admettant la primauté de la sécurité de l'entreprise sur la vie privée de ses collaborateurs. Ce faisant, elle reconnaît cependant une possible contradiction avec les articles du code pénal qui interdisent de « fausser le fonctionnement » d'un système automatisé de traitement des données.
Plutôt que de se poser des questions par rapport à la loi, peut-être aurait-elle dû commencer par s'interroger sur les motivations de celle-ci ? Car il n'y va pas seulement de la préservation de la confidentialité, l'enjeu est aussi, et surtout, celui de la protection d'informations critiques. En effet, quelles que soient les mesures conservatoires mises en œuvre, le simple fait de décrypter les flux chiffrés avant leur arrivée dans le navigateur de l'utilisateur (même s'ils sont immédiatement re-chiffrés) ouvre une brèche béante dans la sécurité du web, susceptible d'être exploitée par des collaborateurs malveillants ou des criminels infiltrés dans les réseaux de l'entreprise.
Que penseront donc les fournisseurs de services sensibles – tels que les banques – lorsqu'ils découvriront que les mesures de protection qu'ils déploient à grand frais sont contournées par les entreprises où travaillent leurs clients, remplacées par des mécanismes internes plus ou moins sûrs, sur lesquels ils n'ont aucune prise ? Qui sera alors responsable des incidents qui ne manqueront pas de se produire (et des dommages associés) : détournement et prise de contrôle de compte, vol d'identifiants et mots de passe… ? Autant de questions que la CNIL ignore avec beaucoup de désinvolture…