![5 graves lacunes du nouveau projet de loi brésilien sur les «fausses nouvelles» qui porteront atteinte aux droits de l'homme [MISE À JOUR]](https://i0.wp.com/fr.vogon.today/wp-content/uploads/2020/07/brazil-cartoon-banner-8.jpg?w=715&ssl=1)
Mise à jour: Mardi soir (6/30), le Sénat brésilien a approuvé le «PLS 2630/2020» , le soi-disant «Fake News». Un dernier amendement a réduit l'article 7 «Enregistrement du compte» de sorte que l'identification obligatoire ne s'applique plus à tous les utilisateurs et est, en principe, facultative en général. En vertu du texte révisé, les entreprises "peuvent" exiger l'identification des utilisateurs en cas de plaintes pour non-respect de la loi sur les "fausses nouvelles" ou lorsqu'il y a des raisons de soupçonner qu'il s'agit de robots, se comportent de manière non authentique ou supposent l'identité de quelqu'un d'autre. Les réseaux sociaux et l'application de messagerie privée devraient également créer des moyens de détecter la fraude lors de la création de compte (article 7, paragraphe 1). Ces nouvelles dispositions semblent correspondre aux pratiques existantes de la plupart des entreprises, mais pourraient être élargies pour inclure également les nouvelles obligations établies dans le projet de loi sur les «fake news».
Un amendement a restreint l'article 8 «Enregistrement de compte» afin qu'il ne s'applique qu'aux comptes de messagerie privés «exclusivement liés aux numéros de téléphone portable» (toujours potentiellement extrêmement déroutant dans la pratique); les services de messagerie privés sont invités à vérifier auprès des opérateurs mobiles quels numéros ont vu leur contrat résilié afin de suspendre les comptes associés dans l'application. Cette disposition exclut désormais les réseaux sociaux.
Un amendement a supprimé «dans le cadre de son service» de l'article 9 qui stipule que les services de messagerie privée doivent limiter la taille des groupes et des listes privés. Ce dernier changement peut potentiellement saper l'innovation des futurs produits basés sur des systèmes de messagerie peer-to-peer qui, de par leur conception, ne peuvent pas contrôler la taille d'un groupe.
Un autre amendement a réduit l'article 10 "la disposition sur la traçabilité", obligeant uniquement les applications de messagerie privée à conserver la chaîne de toutes les communications qui ont été "massivement transmises" aux fins d'une éventuelle enquête ou poursuite pénale. Les versions précédentes du projet de loi, comme expliqué dans notre article ci-dessous, incluaient également les réseaux sociaux. La viralité d'un message et les seuils ne modifient pas la vie privée et les droits à une procédure régulière de l'expéditeur d'origine. Transférer un message populaire ne signifie pas que vous devez automatiquement être soupçonné. La disposition sur la traçabilité est un «mandat technologique» qui oblige les applications de messagerie privées à modifier leur plate-forme de conception de confidentialité pour affaiblir ses protections de confidentialité.
Toutes les autres parties des dispositions discutées dans ce billet sont restées intactes.
—
L'article original a été publié le lundi matin 29 juin 2020.
Le Sénat brésilien doit voter cette semaine sur la version la plus récente du « PLS 2630/2020 », le projet de loi «Fake News». Cette nouvelle version, censée viser la sécurité et limiter les «actions coordonnées malveillantes» des utilisateurs des réseaux sociaux et des applications de messagerie privées, permettra au gouvernement d'identifier et de suivre d'innombrables utilisateurs innocents qui n'ont commis aucun acte répréhensible afin d'en attraper quelques-uns. acteurs malveillants.
Le projet de loi crée un régime réglementaire maladroit pour intervenir dans les décisions technologiques et politiques des services de messagerie publics et privés au Brésil, les obligeant à instituer de nouvelles procédures de retrait, à appliquer divers types d'identification de tous leurs utilisateurs et à augmenter considérablement la quantité d'informations. qu'ils rassemblent et stockent auprès de leurs utilisateurs et à leur sujet. Ils doivent également veiller à ce que toutes ces informations soient directement accessibles par le personnel du Brésil, de sorte qu'elles soient directement et immédiatement accessibles à leur gouvernement, en contournant les solides garanties des droits des utilisateurs des mécanismes internationaux existants tels que les traités d'entraide judiciaire.
Ce projet de loi tentaculaire évolue rapidement et arrive à un très mauvais moment. À l'heure actuelle, les technologies de communication sécurisées sont plus importantes que jamais pour faire face à la pandémie COVID-19, pour collaborer et travailler en toute sécurité, et pour protester ou s'organiser en ligne. Il est également très important que les gens puissent avoir des conversations privées, y compris des conversations politiques privées. Il y a beaucoup de choses qui ne vont pas avec ce projet de loi, bien plus que nous ne pourrions en tenir dans un seul article. Pour l'instant, nous allons approfondir cinq failles graves dans le projet de loi actuel qui porteraient atteinte à la vie privée, à l'expression et à la sécurité.
Faille 1: Obliger les entreprises de médias sociaux et de messagerie privée à collecter l'identification légale de tous les utilisateurs
Le nouveau projet d'article 7 est à la fois maladroit et contradictoire. Premièrement, le projet de loi (article 7, paragraphe 3) exige que les «grands» réseaux sociaux et les applications de messagerie privées (qui offrent un service au Brésil à plus de deux millions d'utilisateurs) identifient chaque utilisateur de compte en demandant leur carte d'identité nationale. C'est une exigence rétroactive et générale, ce qui signifie que l'identification doit être demandée pour chaque utilisateur existant. La disposition principale de l'article 7 ne se limite pas à l'identification d'un utilisateur par une décision de justice, y compris en cas de plainte concernant l'activité d'un compte ou lorsque l'entreprise se trouve incertaine de l'identité d'un utilisateur. Bien que les utilisateurs soient explicitement autorisés à utiliser des pseudonymes, ils ne peuvent pas garder leur identité légale confidentielle vis-à-vis du fournisseur de services. Obliger les entreprises à identifier un utilisateur en ligne ne devrait être fait qu'en réponse à une demande d'une autorité compétente, et non a priori . En Inde, une proposition similaire devrait être publiée par le ministère de l'informatique du pays, bien que les rapports indiquent que la vérification d'identité serait facultative.
En 2003, le Brésil a rendu obligatoire l'enregistrement de la carte SIM pour les téléphones portables prépayés, obligeant les abonnés prépayés à présenter une preuve d'identité, telle que leur carte d'identité nationale officielle, leur permis de conduire ou leur numéro de contribuable. L'article 39 du nouveau projet étend cette loi en créant de nouvelles exigences d'identification obligatoires pour l'obtention de cartes SIM téléphoniques, et l'article 8 exige explicitement que les applications de messagerie privée qui identifient leurs utilisateurs via un numéro de téléphone associé suppriment des comptes chaque fois que le numéro de téléphone sous-jacent est radié. Les opérateurs téléphoniques sont tenus de contribuer à ce processus en fournissant une liste de numéros qui ne sont plus utilisés par l'abonné d'origine. L'enregistrement de la carte SIM compromet la capacité des gens à communiquer, à s'organiser et à s'associer avec d'autres de manière anonyme. David Kaye, Rapporteur spécial des Nations Unies sur la liberté d'expression et d'opinion, a demandé aux États de s'abstenir de faire de l'identification des utilisateurs une condition d'accès aux communications numériques et aux services en ligne et d'exiger l'enregistrement d'une carte SIM pour les utilisateurs mobiles;
Même si le projet de texte supprime l'article 7, le projet reste dangereux pour la libre expression car les autorités seront toujours autorisées à identifier les utilisateurs de services de messagerie privée en associant un numéro de téléphone portable à un compte. Les autorités brésiliennes devront démasquer l'identité de l'internaute en suivant les procédures nationales d'accès à ces données auprès du fournisseur de télécommunications.
Les utilisateurs d'Internet seront tenus de remettre des informations d'identification aux grandes entreprises technologiques si l'article 7 est approuvé tel qu'il est actuellement rédigé, avec ou sans le paragraphe 3. La disposition relative à l'identification obligatoire constitue une violation flagrante des droits des individus à une procédure régulière. Des pays comme la Chine et la Corée du Sud ont exigé que les utilisateurs enregistrent leurs vrais noms et numéros d'identification auprès des fournisseurs de services en ligne. La Corée du Sud exigeait que les sites Web accueillant plus de 100 000 visiteurs par jour authentifient leur identité en saisissant leur numéro d'identification de résident lorsqu'ils utilisent des portails ou d'autres sites. Mais la Cour suprême de Corée du Sud a abrogé la loi comme étant inconstitutionnelle, déclarant que "le système [d'identification obligatoire] ne semble pas avoir été bénéfique pour le public. Malgré l'application du système, le nombre de publications illégales ou malveillantes en ligne n'a pas diminué. "
Faille 2: Obliger les entreprises de médias sociaux et de messagerie privée à suivre et à conserver d'immenses journaux de communications utilisateur
Homme: Qu'est-il arrivé? Officier de police: Vous avez partagé ce message qui est devenu viral en accusant quelqu'un d'un stratagème de corruption. Ils disent que c'est un mensonge et une calúnia. Texte descriptif: il est facile d'imaginer comment la nouvelle règle de traçabilité pourrait être abusée et nous faire tous peur de partager du contenu en ligne. Nous ne pouvons pas laisser cela arriver.
L'article 10 oblige les réseaux sociaux et les applications de messagerie privée à conserver la chaîne de toutes les communications qui ont été «massivement transmises», aux fins d'une éventuelle enquête ou poursuite pénale. Le nouveau projet nécessite trois mois de stockage des données de la chaîne complète de communication pour ces messages, y compris la date et l'heure de la transmission, et le nombre total d'utilisateurs qui reçoivent le message. Ces obligations sont conditionnées par des seuils de viralité et s'appliquent lorsqu'une instance d'un message a été transmise à des groupes ou à des listes par plus de 5 utilisateurs dans les 15 jours, lorsque le contenu d'un message a atteint 1000 utilisateurs ou plus. Le fournisseur de services est également apparemment prévu de conserver temporairement ces données pour tous les messages transmis au cours de la période de 15 jours afin de déterminer si oui ou non le seuil de viralité pour « massivement transmis » sera atteint. Cette disposition enfreint de manière flagrante les droits à une procédure régulière en obligeant les prestataires à conserver la communication de chacun avant que quiconque ait commis une infraction définie par la loi.
Il y a également eu des changements importants dans la façon dont ce texte interagit avec le chiffrement et dans les efforts des fournisseurs de communications pour en savoir moins sur ce que font leurs utilisateurs . Cette disposition peut créer une incitation à affaiblir le chiffrement de bout en bout, car les services chiffrés de bout en bout peuvent ne pas être en mesure de se conformer aux dispositions les obligeant à reconnaître lorsqu'un message particulier a été transmis indépendamment un certain nombre de fois sans saper la sécurité de leur cryptage.
Bien que le projet actuel (contrairement aux versions précédentes) ne crée pas de nouveaux crimes, il oblige les fournisseurs à retracer les messages avant qu'un crime n'ait été commis afin que les informations puissent être utilisées à l'avenir dans le contexte d'une enquête pénale ou de poursuites pour des crimes spécifiques définis dans les articles 138 à 140 ou l'article 147 du Code pénal brésilien , tels que la diffamation, les menaces et la calúnia . Cela signifie, par exemple, que si vous partagez un message qui dénonce la corruption d'une autorité locale et qu'il est transmis plus de 1 000 fois, les autorités peuvent vous accuser pénalement de calúnia contre votre autorité locale.
Les entreprises doivent limiter la conservation des données personnelles à ce qui est raisonnablement nécessaire, proportionné à certains objectifs commerciaux légitimes. Il s'agit de la « minimisation des données », c'est-à-dire du principe selon lequel toute entreprise doit minimiser son traitement des données des consommateurs. La minimisation est un outil important dans la boîte à outils de protection des données. Ce projet de loi va à l'encontre de cela en favorisant les pratiques dangereuses de collecte de données volumineuses.
Faille 3: interdire aux entreprises de messagerie d'autoriser les groupes de diffusion, même si les utilisateurs s'inscrivent
Les articles 9 et 11 exigent que la taille des groupes de diffusion et de discussion dans les outils de messagerie privée ait une limite maximale d'adhésion (ce que fait WhatsApp aujourd'hui, mais que tous les outils de communication ne font pas nécessairement ou ne feront pas nécessairement), et que la capacité d'atteindre un public de masse via le privé les plates-formes de messagerie doivent être strictement limitées et contrôlées, même lorsque ces publics y adhèrent. La vision du projet de loi semble être que la discussion de masse et la diffusion de masse sont intrinsèquement dangereuses et ne doivent avoir lieu qu'en public, et que personne ne devrait créer des forums ou des médias pour ces interactions se déroulent de manière vraiment privée, même avec le consentement clair et explicite des participants ou des destinataires.
Supposons qu'une organisation comme une ONG, ou un syndicat ou un parti politique souhaite avoir un forum de discussion entre tous ses membres ou envoyer son bulletin à tous ses membres qui ont choisi de le recevoir. Il ne serait pas autorisé de le faire via un outil similaire à WhatsApp – au moins une fois qu'une limite de taille d'audience (non spécifiée) a été atteinte. Selon les articles 9 et 11, l'organisation devrait utiliser une autre plate-forme (et non un outil de messagerie privée), de sorte que le contenu serait visible et soumis au contrôle de son opérateur.
Faille 4: Obliger les entreprises de médias sociaux et de messagerie à rendre les journaux d'utilisateurs privés disponibles à distance
L'article 37 oblige les grands réseaux sociaux et les applications de messagerie privées à désigner des représentants légaux au Brésil. Cela oblige également ces entreprises à fournir un accès à distance à leurs bases de données et journaux d'utilisateurs à leur personnel au Brésil afin que les employés locaux puissent être directement contraints de les céder.
Cela nuit à la sécurité et à la confidentialité des utilisateurs. Cela augmente le nombre d'employés (et d'appareils) qui peuvent accéder aux données sensibles et réduit la capacité de l'entreprise à contrôler les vulnérabilités et les accès non autorisés, notamment parce qu'il est d'envergure mondiale et, s'il était adopté au Brésil, pourrait être reproduit par d'autres pays. . Chaque nouvelle personne et chaque nouvel appareil ajoute un nouveau risque de sécurité.
Faille 5: aucune limitation à l'application de cette loi aux utilisateurs en dehors du Brésil
Les paragraphes 1 et 2 de l'article premier prévoient certaines exclusions juridictionnelles, mais toutes sont appliquées au niveau de l' entreprise – c'est-à-dire qu'une entreprise étrangère peut être exemptée si elle est petite (moins de 2 000 000 d'utilisateurs) ou n'offre pas de services au Brésil. Aucune de ces limitations, cependant, se rapportent à la nationalité ou l' emplacement des utilisateurs. Ainsi, le projet de loi, par ses termes, oblige une entreprise à créer certaines politiques et procédures concernant les retraits de contenu, l'identification obligatoire des utilisateurs et d'autres sujets, qui ne sont en aucun cas limités aux personnes basées au Brésil. Même si l'intention est seulement de forcer la collecte de documents d'identité des utilisateurs qui sont basés au Brésil, le projet de loi néglige de le dire.
Aborder les «fausses nouvelles» sans porter atteinte aux droits de l'homme
De nombreuses nouvelles réponses innovantes sont en cours d'élaboration pour aider à réduire les abus des applications de messagerie et de médias sociaux, à la fois par des réponses politiques et des solutions techniques. WhatsApp, par exemple, limite déjà le nombre de destinataires d'un seul message transféré à la fois et montre aux utilisateurs que les messages ont été transférés, les messages viraux sont étiquetés avec des doubles flèches pour indiquer qu'ils ne proviennent pas d'un contact proche. Cependant, la fermeture des mauvais acteurs ne peut pas se faire au détriment de millions d'autres utilisateurs, d'envahir leur vie privée ou de compromettre leur sécurité. Pour s'assurer que les droits de l'homme sont préservés, le législateur brésilien doit rejeter la version actuelle de ce projet de loi. À l'avenir, les droits de l'homme tels que la vie privée, l'expression et la sécurité doivent être inscrits dans la loi dès le début.
Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2020/06/5-serious-flaws-new-brazilian-fake-news-bill-will-undermine-human-rights le Mon, 29 Jun 2020 23:33:49 +0000.