Renforcer l'Internet 1 juin 2021

L’impact économique des lois qui affaiblissent le cryptage

En 2018, le Parlement australien a adopté la loi corrective de TOLA sur les télécommunications et autres (assistance et accès), soit de l’anglais Telecommunications and Other Legislation Amendment (Assistance and Access) Act, qui élargit l’autorité et les capacités du gouvernement à contourner les protections des données numériques, et qui entraine le risque d’un préjudice significatif à l’économie et la confiance dans les services numériques et Internet. 

L’Internet Society a mandaté une équipe de chercheurs indépendants pour évaluer l’impact de TOLA sur l’économie. Cette équipe, Associés-conseils en droit et économie (LECA), a publié le 1er juin 2021 son rapport final intitulé «L’impact économique des lois qui affaiblissent le cryptage».

Bien que l’Australie ne soit pas le premier pays à adopter ce type de loi, les chercheurs n’ont trouvé aucune analyse de l’impact économique d’une législation similaire en Australie ou ailleurs, ce qui suggère que des lois similaires ont été adoptées sans analyse appropriée de leur effet économique ou de leur impact sur la confiance dans la sécurité des données.

Les principales conclusions tirées de ce rapport sont les suivantes :

  • TOLA a le potentiel de causer un préjudice significatif à l’économie australienne et des retombées négatives qui pourraient se propager à l’échelle mondiale.
  • TOLA accroît l’incertitude des acteurs économiques.
  • TOLA pourrait nuire à l’image de marque des fournisseurs de communications désignés (DCP) dont les opérations en Australie sont particulièrement vulnérables à la menace que représente TOLA au niveau de la sécurité numérique de leurs produits et services.
  • La principale source de conséquences néfastes pour l’économie résulte de la menace indirecte que fait peser TOLA sur la confiance dans les services numériques, y compris Internet.
  • Une entreprise qui a répondu à l’enquête et aux entretiens menés par les chercheurs a estimé avoir subi un impact économique défavorable direct et a estimé que l’effet était de l’ordre d’un milliard de dollars australiens en raison de TOLA.
  • Dans l’enquête menée auprès de 79 entreprises, les 54 avaient leur siège social en Australie, dont les 36% ont été touchées par la loi TOLA et les répondants ont déclaré que l’environnement de risque pour leur entreprise a été négativement impacté par TOLA. Environ 20% ont déclaré que cette loi avait eu un impact négatif sur leur entreprise. En outre, 21% ont estimé que TOLA aurait un impact négatif sur les coûts d’exploitation futurs de leur entreprise, y compris la conformité et la remédiation.

Vous trouverez une analyse approfondie des principaux résultats dans cet article de blog.

La synthèse du rapport est disponible ci-dessous et offre un excellent résumé du contexte et des principales conclusions du rapport. Le rapport complet et sa synthèse sont également disponibles en format pdf, en anglais, français, espagnol, portugais, arabe et japonais.

Synthèse

Par George Barker, William Lehr, Mark Loney, and Douglas Sicker, Law and Economics Consulting Associates (LECA)

En décembre 2018, le Parlement australien adopta la loi corrective de 2018 modifiant la loi sur les télécommunications et autres, connue sous le nom de TOLA[1] (de l’anglais Telecommunications and Other Legislation Amendment (assistance et accès) Act), et qui permit d’élargir l’autorité et les capacités du gouvernement à contourner les protections des données numériques. TOLA permit de créer un cadre dans lequel les agences d’application de la loi et de renseignement, ou les LEIA[2] en anglais, pourraient demander ou exiger des fournisseurs de technologie de l’information, ou selon la terminologie de TOLA, les fournisseurs de communications désignés (ou DCP en anglais), qu’ils facilitent l’accès au contenu des données cryptées, impliquant donc le partage d’informations confidentielles sur les entreprises ou le développement de nouvelles capacités.

L’objectif de ce rapport est d’évaluer les preuves disponibles sur l’impact de TOLA sur l’économie australienne et l’économie mondiale. Notre analyse nous amène à conclure que TOLA a le potentiel de causer des préjudices économiques importants sur l’économie australienne et des retombées négatives qui pourraient se propager à l’échelle mondiale. Par importants, nous entendons des préjudices économiques pouvant s’élever à plusieurs milliards de dollars de pertes au niveau des objectifs de production pour les années à venir.

Il existe de nombreux mécanismes par lesquels TOLA pourrait causer des préjudices économiques. Par exemple, TOLA accroît l’incertitude économique. Des études réalisées par l’Institut national américain des normes et de la technologie (NIST) en 2001 et en 2018 ont conclu que les interventions parrainées par le gouvernement permettant de diminuer le degré d’incertitude sur la sécurité numérique se traduisaient par une augmentation des prestations globales se chiffrant en plusieurs milliards de dollars.[3] En augmentant le sentiment d’incertitude au sein des acteurs du marché numérique quant aux meilleurs moyens de sécuriser les informations numériques, TOLA pourrait introduire des obstacles à la réalisation d’avantages analogues.

Deuxièmement, TOLA pourrait nuire à l’image de marque des DCP dont les opérations en Australie sont particulièrement vulnérables à la menace que représente TOLA au niveau de la sécurité numérique de leurs produits et services. Les clients, qui comprennent à la fois les entreprises et les utilisateurs d’Internet à l’échelle mondiale, préoccupés par le fait que leurs données pourraient être plus exposées par l’application de TOLA pourraient décider de transférer leurs activités ailleurs. De telles réactions pourraient réduire les revenus des DCP et augmenter leurs coûts d’exploitation par l’adoption de stratégies de contournement visant à surmonter les menaces posées par TOLA. Ces effets directs ne se limitent pas aux DCP qui reçoivent des notifications de TOLA, en effet, ils pourraient également s’appliquer aux DCP en prévision de la réception d’un avis de TOLA ou par d’autres entités préoccupées par l’impact de TOLA. Ces entités ne se limitent pas nécessairement aux DCP mais peuvent également inclure leurs clients. Dans l’ensemble, ces effets directs et indirects sont susceptibles de se généraliser et de s’accumuler au fil du temps à mesure que les effets se répercutent sur l’économie.

Troisièmement, la principale source d’effets économiques négatifs semble être la menace indirecte que TOLA représente sur la confiance dans les services numériques, y compris Internet. Nous sommes au cœur d’une transition mondiale vers une économie numérique dans laquelle le commerce électronique et les informations numériques en réseau jouent un rôle de plus en plus important, affectant tous les pays, tous les secteurs et toutes les entreprises. Ce n’est que quand les services et les réseaux qui soutiennent cette activité inspirent la confiance, (par exemple, les DCP), que les perspectives de croissance économique deviennent plus prometteuses. Une diminution de la confiance dans la sécurité des données pourrait se traduire par une réduction de la demande globale au sein de l’économie numérique et forcer les entreprises à engager des coûts plus élevés afin de compenser les préjudices résultant de cette chute de confiance.[4] De plus, étant donné que la technologie numérique est répandue sur l’ensemble de l’économie, ces effets ont une incidence globale sur tous les aspects du fonctionnement des entreprises modernes. Ainsi donc, toute menace pour la cybersécurité ou, de manière équivalente, la moindre variation dans la confiance numérique, pourrait avoir des coûts négatifs importants. Une étude a permis de constater la façon dont toute réduction de la confiance numérique pourrait se traduire par des préjudices mondiaux de l’ordre d’un milliard de dollars ou plus.[5] Malheureusement, les données disponibles aujourd’hui ne permettent pas de mesurer, d’attribuer et de quantifier l’impact négatif de TOLA sur la confiance numérique. De plus, du fait que ces effets ne vont se produire que dans les années à venir, l’estimation de l’impact dépendra de la formulation de prévisions appropriées pour ce qui devrait se passer suite à l’application (ou pas) de TOLA. De telles prévisions dépendront d’un large éventail d’hypothèses de modélisation susceptibles d’être contestées.

Bien que nous soyons en mesure d’identifier plusieurs vecteurs par lesquels les effets nuisibles de TOLA pourraient se propager, nous manquons d’éléments d’information pour fournir une quantification plus précise des dommages économiques probables que présente TOLA. Cela s’explique par plusieurs raisons que nous développerons plus en détail dans le rapport, mais quelques exemples de celles-ci incluent :

  • L’estimation de l’impact économique de TOLA est intrinsèquement complexe et difficile. TOLA pourrait avoir des effets économiques négatifs de multiples façons, à la fois directement et indirectement. Certaines raisons sont plus faciles à retracer et à estimer que d’autres, mais pour pouvoir capturer leurs pleins effets, il est important de ne pas se concentrer uniquement sur ce qui est facilement observable;

  • À ce jour, l’application de TOLA demeure limitée. Depuis son adoption, de nombreux examinateurs et divers intervenants ont soulevé des inquiétudes quant au potentiel de TOLA à causer des préjudices économiques importants et ont demandé des modifications afin de limiter ces effets. Le très bref délai entre l’adoption de TOLA et ses préoccupations quant à la meilleure façon de répondre aux oppositions de TOLA peut s’expliquer par le manque de preuves empiriques sur les coûts attribuables à TOLA ; et,

  • L’accès aux données pertinentes de TOLA permettant d’estimer les impacts économiques est grandement limité par le manque de transparence et les dispositions de non-divulgation qui existent dans TOLA. Ces carences dans les données constituent un obstacle majeur pour une observation efficace, y compris la capacité des analystes à tenter de développer des estimations rigoureuses des impacts de TOLA, d’un point de vue aussi bien théorique qu’empirique.

En outre, bien que ce document porte un accent sur les coûts potentiels de TOLA, tout porte à croire que les avantages potentiels et leur prise en compte seront encore plus difficiles à estimer. À l’heure actuelle, il est difficile de savoir si TOLA a amélioré ou améliorera l’accès des LEIA aux données numériques et augmentera leur efficacité opérationnelle. Par ailleurs, il est généralement admis que l’un des moyens les plus importants pour promouvoir la cybersécurité est de favoriser une adoption plus large du chiffrement de bout en bout.[6] TOLA présente un défi particulier pour l’adoption générale d’un chiffrement efficace de bout en bout, car la nature même de TOLA est d’offrir une plus grande capacité d’accès au contenu des données cryptées.

Nous avons été surpris de constater qu’aucune initiative substantielle n’a été mise en place pour estimer empiriquement les coûts ou les avantages économiques de TOLA ou de toute législation analogue (ayant des implications économiques pour la sécurité numérique) en Australie ou ailleurs.

En l’absence de recherches tierces sur lesquelles nous pourrions fonder une estimation de l’impact économique de TOLA, nous avons mené des recherches primaires sous la forme d’entretiens approfondis par vidéoconférence avec les principaux DCP multinationaux et via une enquête anonyme sur tous les DCP opérants en Australie. Comme nous l’expliquons plus en détail dans le rapport, les données empiriques collectées sont entièrement cohérentes et étayent l’analyse dans le reste de notre rapport. Les analyses menées sur les expériences et les attentes de DCP avec TOLA fournissent un soutien empirique qui nous permet de conclure que:

  1. TOLA risque bien d’avoir des effets néfastes sur les entreprises et leurs clients à grande échelle (autrement dit, pas seulement limités aux entreprises des secteurs des TIC) ;

  2. La plupart des préjudices escomptés seront indirects et associés à la menace que TOLA représente pour les perceptions et sentiments des clients et des partenaires industriels au niveau de la confiance numérique ;

  3. Le sentiment d’incertitude sur TOLA et ses effets se poursuit ;

  4. Les preuves empiriques directes des coûts (ou avantages) économiques sont plutôt limitées, et nous attribuons cela à (a) l’opacité qui entoure les activités de TOLA en raison des dispositions de non-divulgation ; (b) le bref laps de temps écoulé depuis l’adoption de TOLA et la controverse persistante supprimant l’utilisation par les LEIA de l’autorité fournie par TOLA et (c) les prévisions selon lesquelles les impacts seront probablement indirects et futurs ;

  5. Les preuves directes limitées que nous avons pu observer appuient la conclusion selon laquelle les avantages propres aux entreprises demeurent relativement faibles, tandis que les coûts propres aux entreprises risqueraient d’être assez importants ; et,

  6. Les données empiriques disponibles ne fournissent pas une base fiable pour quantifier l’impact économique global en dollars de TOLA.

Les preuves concordaient également avec nos estimations selon lesquelles les preuves empiriques des effets directs de TOLA seraient plutôt rares et difficiles à observer. Cependant, ce manque de preuves empiriques ne constitue en rien une indication d’un manque d’effet. Néanmoins, les preuves limitées recueillies sont assez éloquentes. Un des intimés qui avait subi un impact économique défavorable direct a estimé que l’effet était de l’ordre d’un milliard de dollars (australiens),[7] tandis que le seul répondant qui considérait l’impact de TOLA comme principalement favorable a perçu son effet principal comme une rationalisation de la législation existante.[8] Les deux observations concordent avec la conclusion selon laquelle les avantages propres à l’entreprise seront probablement faibles, tandis que les coûts propres à l’entreprise risquent d’être assez importants. Bien que la recherche empirique appuie la conclusion générale du rapport, la taille de l’échantillon ne permet pas de l’utiliser comme base pour une quantification plus précise de ces préjudices.

Pour résumer

Pris dans son ensemble, cette analyse nous amène à conclure que TOLA présente un risque important de futurs préjudices économiques nets pour l’économie australienne, avec des retombées négatives probables au niveau mondial. Les données préliminaires démontrent que certaines entreprises ont déjà subi des préjudices économiques importants ; et il est probable que la majeure partie de l’impact global des préjudices se produise à l’avenir et soit généralisé, si en effet la menace de TOLA contre le cryptage persiste. En outre, la confusion et l’incertitude qui règne au sein des DCP suite aux effets de TOLA persistent et sont loin d’être traitées de manière adéquate.

Tenant compte de la difficulté à surmonter les obstacles liés à l’estimation de l’impact économique, il n’y a pas eu de recherche publique significative cherchant à quantifier l’impact économique de TOLA ou d’une législation similaire en Australie ou ailleurs. Cependant, l’absence de telles preuves empiriques n’implique en rien le fait qu’il n’y aura pas d’impact significatif. En fait, cela suggère que la charge de la preuve devrait être déplacée vers l’évaluation des raisons pour lesquelles TOLA devrait produire des avantages significatifs puisque le risque de préjudices importants posé par TOLA est indiscutable.

Téléchargez le rapport complet


[1] Autrement connue sous le nom de Loi sur le cryptage ou loi sur l’assistance et l’accès, https://www.legislation.gov.au/Details/C2018A00148/Download

[2] LEIA est l’acronyme anglais de Law Enforcement and Intelligence Agencies, qui correspond aux agences gouvernementales légalement habilitées à demander l’accès aux données au nom du gouvernement.

[3] Se référer au NIST (2015, 2018), discuté plus en détail ci-dessous et référencé dans les notes 110, 112 infra

[4] En 2019, 18 % de ceux qui se méfient d’Internet ont répondu qu’ils faisaient moins d’achats en ligne (voir https://www.internetsociety.org/wp-content/uploads/2019/06/CIGI-Ipsos-Trust-User-Privacy_Report_2019_EN.pdf).

[5] Par exemple, c.f. l’étude de la compagnie d’assurances Zurich (2015), Note 105 infra.

[6] « Le chiffrement de bout en bout – où les clés nécessaires pour décrypter une communication chiffrée se trouvent uniquement sur les appareils qui communiquent – offre le plus haut niveau de sécurité et de confiance, car de par sa conception, seul le destinataire prévu détient la clé pour déchiffrer le message » (voir https://www.internetsociety.org/resources/doc/2020/fact-sheet-client-side-scanning/)

[7] Le résultat défavorable a été directement attribué au préjudice causé par TOLA à l’image de marque des DCP, entraînant des pertes dans les activités commerciales actuelles et futures. Reportez-vous au chapitre 6 pour une discussion plus complète des résultats des entretiens et des sondages.

[8] Avant TOLA, seul un sous-groupe de DCP était soumis à la législation existante permettant au gouvernement d’accéder aux données numériques. Un répondant considérait TOLA comme une réduction des coûts en rationalisant l’exposition de l’entreprise à la législation existante. Le répondant n’a pas fourni d’estimation sur ses économies de coûts, mais celles-ci n’étaient pas considérées comme très importantes.

  • Encryprion-paper-execsummary-cover-FR thumbnail

    L'impact économique des lois qui affaiblissent le cryptage - synthèse

    Télécharger
  • Encryption-economics-cover-FR thumbnail

    L'impact économique des lois qui affaiblissent le cryptage - le rapport complet

    Télécharger
  • Encryprion-paper-execsummary-cover-FR thumbnail

    L'impact économique des lois qui affaiblissent le cryptage - synthèse

    Télécharger
  • Encryption-economics-cover-FR thumbnail

    L'impact économique des lois qui affaiblissent le cryptage - le rapport complet

    Télécharger

Ressources associées

Renforcer l'Internet 13 décembre 2023

L’analyse côté client

Découvrez les recommandations de l'Internet Society au projet de règlement du Parlement européen sur la prévention et la lutte...

Renforcer l'Internet 12 octobre 2021

Le cryptage : Comment il peut protéger les groupes de pression et les mouvements sociaux

Le cryptage est un outil conçu pour aider les internautes à garantir la confidentialité et la sécurité de leurs...

Cryptage 18 décembre 2020

Comprendre le chiffrement: les liens avec la sécurité des victimes

Voici quelques exemples de la manière dont le chiffrement de bout en bout et le chiffrement à connaissance nulle...