Mise à jour: Mardi soir (6/30), le Sénat brésilien a approuvé le «PLS 2630/2020» , le soi-disant «Fake News». Un amendement final a réduit l'article 7 «Enregistrement du compte» afin que l'identification obligatoire ne s'applique plus à tous les utilisateurs et soit, en principe, facultative en général. En vertu du texte révisé, les entreprises "peuvent" exiger l'identification des utilisateurs lorsqu'il y a des plaintes de non-respect de la loi sur les "fausses nouvelles", ou lorsqu'il y a des raisons de soupçonner qu'il s'agit de robots, se comportent de manière non authentique ou supposent l'identité de quelqu'un d'autre. Les réseaux sociaux et l'application de messagerie privée devraient également créer des moyens de détecter la fraude lors de la création de compte (article 7, paragraphe 1). Ces nouvelles dispositions semblent correspondre aux pratiques existantes de la plupart des entreprises, mais pourraient être étendues pour inclure également les nouvelles obligations établies dans le projet de loi sur les "fausses nouvelles".
Un amendement a restreint l'article 8 «Enregistrement de compte» afin qu'il ne s'applique qu'aux comptes de messagerie privés «exclusivement liés aux numéros de téléphone portable» (toujours potentiellement extrêmement déroutant dans la pratique); les services de messagerie privés sont invités à vérifier auprès des opérateurs mobiles quels numéros ont vu leur contrat résilié afin de suspendre les comptes associés dans l'application. Cette disposition exclut désormais les réseaux sociaux.
Un amendement a supprimé "dans le cadre de son service" de l'article 9 qui stipule que les services de messagerie privés doivent limiter la taille des groupes et listes privés. Ce dernier changement peut potentiellement saper l'innovation des futurs produits basés sur des systèmes de messagerie peer-to-peer qui, par conception, ne peuvent pas contrôler la taille d'un groupe.
Un autre amendement a réduit l'article 10 "la disposition sur la traçabilité", forçant uniquement les applications de messagerie privée à conserver la chaîne de toutes les communications qui ont été "massivement transmises" aux fins d'une éventuelle enquête ou poursuite pénale. Les versions précédentes du projet de loi, comme expliqué dans notre article ci-dessous, incluaient également les réseaux sociaux. La viralité d'un message et les seuils ne modifient pas la vie privée et les droits à une procédure régulière de l'expéditeur d'origine. Le transfert d'un message populaire ne signifie pas que vous devez automatiquement être soupçonné. La disposition de traçabilité est un «mandat technique» qui oblige les applications de messagerie privées à modifier leur plate-forme de conception de confidentialité pour affaiblir ses protections de confidentialité.
Toutes les autres parties des dispositions discutées dans ce billet sont restées intactes.
—
L'article original a été publié le lundi matin 29 juin 2020.
Le Sénat brésilien devrait voter cette semaine sur la version la plus récente du « PLS 2630/2020 », le soi-disant «Fake News». Cette nouvelle version, censée viser la sécurité et limiter les «actions coordonnées malveillantes» des utilisateurs des réseaux sociaux et des applications de messagerie privées, permettra au gouvernement d'identifier et de suivre d'innombrables utilisateurs innocents qui n'ont commis aucun acte répréhensible afin d'en attraper quelques-uns. acteurs malveillants.
Le projet de loi crée un régime réglementaire maladroit pour intervenir dans les décisions technologiques et politiques des services de messagerie publics et privés au Brésil, les obligeant à instituer de nouvelles procédures de retrait, à imposer divers types d'identification de tous leurs utilisateurs et à augmenter considérablement la quantité d'informations. qu'ils rassemblent et stockent auprès et sur leurs utilisateurs. Ils doivent également veiller à ce que toutes ces informations soient directement accessibles par le personnel du Brésil, de sorte qu'elles soient directement et immédiatement accessibles à leur gouvernement, en contournant les solides garanties des droits des utilisateurs des mécanismes internationaux existants tels que les traités d'entraide judiciaire.
Ce projet de loi tentaculaire évolue rapidement et arrive à un très mauvais moment. À l'heure actuelle, les technologies de communication sécurisées sont plus importantes que jamais pour faire face à la pandémie de COVID-19, pour collaborer et travailler en toute sécurité, et pour protester ou s'organiser en ligne. Il est également très important que les gens puissent avoir des conversations privées, y compris des conversations politiques privées. Il y a beaucoup de choses qui ne vont pas dans ce projet de loi, bien plus que ce que nous pourrions intégrer dans un seul article. Pour l'instant, nous allons approfondir cinq failles graves dans le projet de loi actuel qui porteraient atteinte à la vie privée, à l'expression et à la sécurité.
Défaut 1: Forcer les sociétés de médias sociaux et de messagerie privée à collecter l'identification légale de tous les utilisateurs
Le nouveau projet d'article 7 est à la fois maladroit et contradictoire. Premièrement, le projet de loi (article 7, paragraphe 3) oblige les «grands» réseaux sociaux et les applications de messagerie privées (qui offrent des services au Brésil à plus de deux millions d'utilisateurs) à identifier l'utilisateur de chaque compte en demandant leurs cartes d'identité nationales. Il s'agit d'une exigence rétroactive et générale, ce qui signifie qu'une identification doit être demandée pour chaque utilisateur existant. La disposition principale de l'article 7 ne se limite pas à l'identification d'un utilisateur par une décision de justice, y compris en cas de plainte concernant l'activité d'un compte ou lorsque l'entreprise se trouve incertaine de l'identité d'un utilisateur. Bien que les utilisateurs soient explicitement autorisés à utiliser des pseudonymes, ils ne peuvent pas garder leur identité juridique confidentielle du fournisseur de services. Obliger les entreprises à identifier un utilisateur en ligne ne devrait être fait qu'en réponse à une demande d'une autorité compétente, et non a priori . En Inde, une proposition similaire devrait être publiée par le ministère de l'informatique du pays, bien que les rapports indiquent que la vérification d'identité serait facultative.
En 2003, le Brésil a rendu l'enregistrement de la carte SIM obligatoire pour les téléphones portables prépayés, exigeant que les abonnés prépayés présentent une preuve d'identité, telle que leur carte d'identité nationale officielle, leur permis de conduire ou leur numéro de contribuable. L'article 39 du nouveau projet élargit cette loi en créant de nouvelles exigences d'identification obligatoires pour obtenir des cartes SIM téléphoniques, et l'article 8 exige explicitement que les applications de messagerie privées identifiant leurs utilisateurs via un numéro de téléphone associé suppriment les comptes chaque fois que le numéro de téléphone sous-jacent est radié. Les opérateurs téléphoniques doivent aider à ce processus en fournissant une liste de numéros qui ne sont plus utilisés par l'abonné d'origine. L'enregistrement de la carte SIM mine la capacité des gens à communiquer, à s'organiser et à s'associer avec d'autres de manière anonyme. David Kaye, Rapporteur spécial des Nations Unies sur la liberté d'expression et d'opinion a demandé aux États de s'abstenir de faire de l'identification des utilisateurs une condition d'accès aux communications numériques et aux services en ligne et d'exiger l'enregistrement de la carte SIM pour les utilisateurs mobiles;
Même si le projet de texte supprime l'article 7, le projet reste dangereux pour la liberté d'expression car les autorités seront toujours autorisées à identifier les utilisateurs des services de messagerie privés en associant un numéro de téléphone portable à un compte. Les autorités brésiliennes devront démasquer l'identité de l'internaute en suivant les procédures nationales d'accès à ces données auprès du fournisseur de télécommunications.
Les utilisateurs d'Internet seront tenus de remettre les informations d'identification aux grandes entreprises technologiques si l'article 7 est approuvé tel qu'il est actuellement rédigé, avec ou sans le paragraphe 3. La disposition relative à l'identification obligatoire constitue une violation flagrante des droits des individus à une procédure régulière. Des pays comme la Chine et la Corée du Sud ont exigé que les utilisateurs enregistrent leurs vrais noms et numéros d'identification auprès des fournisseurs de services en ligne. La Corée du Sud exigeait auparavant des sites Web comptant plus de 100 000 visiteurs par jour qu'ils authentifient leur identité en entrant leur numéro d'identification résident lorsqu'ils utilisent des portails ou d'autres sites. Mais la Cour suprême de Corée du Sud a révoqué la loi comme inconstitutionnelle, déclarant que "le système [d'identification obligatoire] ne semble pas avoir été bénéfique pour le public. Malgré l'application du système, le nombre de publications illégales ou malveillantes en ligne n'a pas diminué. "
Défaut 2: Forcer les entreprises de médias sociaux et de messagerie privée à suivre et à conserver d'immenses journaux des communications des utilisateurs
Homme: Qu'est-il arrivé? Officier de police: Vous avez partagé ce message qui est devenu viral en accusant quelqu'un de corruption. Ils disent que c'est un mensonge et que c'est calúnia. Texte descriptif: Il est facile d'imaginer comment la nouvelle règle de traçabilité pourrait être utilisée à mauvais escient et nous faire tous peur de partager du contenu en ligne. Nous ne pouvons pas laisser cela se produire.
L'article 10 oblige les réseaux sociaux et les applications de messagerie privée à conserver la chaîne de toutes les communications qui ont été "massivement transmises", à des fins d'enquête ou de poursuite pénale potentielle. Le nouveau projet nécessite trois mois de stockage des données de la chaîne de communication complète pour ces messages, y compris la date et l'heure de transfert, et le nombre total d'utilisateurs qui reçoivent le message. Ces obligations sont conditionnées par des seuils de viralité et s'appliquent lorsqu'une instance d'un message a été transmise à des groupes ou des listes par plus de 5 utilisateurs dans les 15 jours, lorsque le contenu d'un message a atteint 1000 utilisateurs ou plus. Le fournisseur de services est également apparemment prévu de conserver temporairement ces données pour tous les messages transmis au cours de la période de 15 jours afin de déterminer si oui ou non le seuil de viralité pour « massivement transmis » sera atteint. Cette disposition enfreint de manière flagrante les droits à une procédure régulière en obligeant les prestataires à conserver la communication de chacun avant que quiconque ait commis une infraction définie par la loi.
Il y a également eu des changements importants dans la façon dont ce texte interagit avec le chiffrement et dans les efforts des fournisseurs de communications pour en savoir moins sur ce que font leurs utilisateurs . Cette disposition peut créer une incitation à affaiblir le chiffrement de bout en bout, car les services chiffrés de bout en bout peuvent ne pas être en mesure de se conformer aux dispositions les obligeant à reconnaître lorsqu'un message particulier a été transmis indépendamment un certain nombre de fois sans saper la sécurité de leur cryptage.
Bien que le projet actuel (contrairement aux versions précédentes) ne crée pas de nouveaux délits, il oblige les fournisseurs à retracer les messages avant qu’un délit ne soit commis afin que les informations puissent être utilisées à l’avenir dans le cadre d’une enquête pénale ou de poursuites pour des délits spécifiques définis dans les articles 138 à 140 ou l'article 147 du Code pénal brésilien , tels que la diffamation, les menaces et la calúnia . Cela signifie, par exemple, que si vous partagez un message qui dénonce la corruption d'une autorité locale et qu'il est transmis plus de 1 000 fois, les autorités peuvent vous accuser pénalement de calúnia contre votre autorité locale.
Les entreprises doivent limiter la conservation des données personnelles à ce qui est raisonnablement nécessaire, proportionné à certains objectifs commerciaux légitimes. Il s'agit de la « minimisation des données », c'est-à-dire du principe selon lequel toute entreprise devrait minimiser son traitement des données des consommateurs. La minimisation est un outil important dans la boîte à outils de protection des données. Ce projet de loi va à l'encontre de cela, favorisant les pratiques dangereuses de collecte de mégadonnées.
Défaut 3: interdiction aux sociétés de messagerie d'autoriser les groupes de diffusion, même si les utilisateurs s'inscrivent
Les articles 9 et 11 exigent que la taille des groupes de diffusion et de discussion dans les outils de messagerie privée ait une limite maximale d'adhésion (ce que WhatsApp fait aujourd'hui, mais que tous les outils de communication ne font pas ou ne feront pas nécessairement), et que la capacité d'atteindre un public de masse via le privé les plates-formes de messagerie doivent être strictement limitées et contrôlées, même lorsque ces publics y adhèrent. La vision du projet de loi semble être que les discussions et les diffusions de masse sont intrinsèquement dangereuses et ne doivent avoir lieu qu'en public, et que personne ne devrait créer de forums ou de médias pour ces interactions se produisent de manière vraiment privée, même avec le consentement clair et explicite des participants ou des destinataires.
Supposons qu'une organisation comme une ONG, un syndicat ou un parti politique souhaite avoir un forum de discussion parmi tous ses membres ou envoyer son bulletin à tous ses membres qui ont choisi de le recevoir. Il ne serait pas autorisé à le faire via un outil similaire à WhatsApp – au moins une fois que la limite de taille d'audience (non spécifiée) a été atteinte. Selon les articles 9 et 11, l'organisation devrait utiliser une autre plate-forme (pas un outil de messagerie privé), et donc le contenu serait visible et soumis au contrôle de son opérateur.
Défaut 4: Forcer les sociétés de médias sociaux et de messagerie à rendre les journaux d'utilisateurs privés disponibles à distance
L'article 37 oblige les grands réseaux sociaux et les applications de messagerie privées à désigner des représentants légaux au Brésil. Cela oblige également ces entreprises à fournir un accès à distance à leurs bases de données et journaux d'utilisateurs à leur personnel au Brésil afin que les employés locaux puissent être directement contraints de les remettre.
Cela compromet la sécurité et la confidentialité des utilisateurs. Il augmente le nombre d'employés (et d'appareils) qui peuvent accéder aux données sensibles et réduit la capacité de l'entreprise à contrôler les vulnérabilités et les accès non autorisés, notamment parce que leur portée est mondiale et, si elle est adoptée au Brésil, pourrait être reproduite par d'autres pays . Chaque nouvelle personne et chaque nouvel appareil ajoute un nouveau risque de sécurité.
Défaut 5: aucune restriction à l'application de cette loi aux utilisateurs en dehors du Brésil
Les paragraphes 1 et 2 de l'article 1 prévoient certaines exclusions juridictionnelles, mais toutes sont appliquées au niveau de l' entreprise , c'est-à-dire qu'une entreprise étrangère pourrait être exonérée si elle est petite (moins de 2 000 000 d'utilisateurs) ou n'offre pas de services au Brésil. Aucune de ces limitations, cependant, se rapportent à la nationalité ou l' emplacement des utilisateurs. Ainsi, le projet de loi, par ses termes, oblige une entreprise à créer certaines politiques et procédures concernant les retraits de contenu, l'identification obligatoire des utilisateurs et d'autres sujets, qui ne sont en aucun cas limités aux personnes basées au Brésil. Même si l'intention n'est que de forcer la collecte des documents d'identité des utilisateurs basés au Brésil, le projet de loi néglige de le dire.
Traiter les «fausses nouvelles» sans porter atteinte aux droits de l'homme
De nombreuses nouvelles réponses innovantes sont en cours d'élaboration pour aider à réduire les abus des applications de messagerie et de médias sociaux, à la fois par des réponses politiques et des solutions techniques. WhatsApp, par exemple, limite déjà le nombre de destinataires d'un seul message transféré à la fois et montre aux utilisateurs que les messages ont été transférés, les messages viraux sont étiquetés avec des flèches doubles pour indiquer qu'ils ne proviennent pas d'un contact proche. Cependant, la fermeture de mauvais acteurs ne peut pas se faire au détriment de millions d'autres utilisateurs, d'envahir leur vie privée ou de compromettre leur sécurité. Pour garantir la sauvegarde des droits de l'homme, le législateur brésilien doit rejeter la version actuelle de ce projet de loi. À l'avenir, les droits de l'homme tels que la vie privée, l'expression et la sécurité doivent être inscrits dans la loi dès le début.
Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2020/06/5-serious-flaws-new-brazilian-fake-news-bill-will-undermine-human-rights le Mon, 29 Jun 2020 23:33:49 +0000.