Une proposition bipartite visant à réformer une loi sur la protection des données électroniques bénéficiant de l’appui de la communauté des technologies et de la Maison-Blanche, mais des responsables fédéraux de l’application de la loi informent le Congrès que ces changements entraveraient les poursuites au civil.
Les forces de l'ordre civiles telles que la Federal Trade Commission et la Securities and Exchange Commission ne seraient pas en mesure d'obtenir des informations critiques si la loi était modifiée pour exiger des mandats pénaux pour l'accès aux données stockées sur des services en nuage, selon des témoins de ces agences déposant devant le tribunal de la commission judiciaire du Sénat mercredi.
Les responsables de l'application de la loi réagissaient aux factures de Sens. Mike Lee et Patrick Leahy, ainsi que des représentants, Kevin Yoder et Jared Polis, qui visent à mettre à jour la loi sur la confidentialité des communications électroniques (ECPA).
Dans sa forme actuelle, ECPA protège les courriels des attaques du gouvernement pour les jours 180. Lors de la rédaction initiale de la loi dans 1986, les fournisseurs de messagerie supprimaient systématiquement les e-mails de leurs serveurs un ou deux mois après leur livraison. les utilisateurs téléchargent généralement les messages qu'ils ont l'intention de conserver. Tout ce qui reste sur un serveur de messagerie après les jours 180 est un jeu équitable pour le gouvernement, avec juste une assignation à comparaître - pas un mandat.
Aujourd'hui, les systèmes de messagerie basés sur le cloud omniprésents tels que Gmail, qui offrent un gigaoctet de stockage gratuit, permettent à l'utilisateur moyen de conserver indéfiniment ses messages (calendriers, contacts, notes et même données de localisation) sur les serveurs d'un fournisseur.
La loi portant modification de l'ECPA exigerait que les forces de l'ordre obtiennent un mandat pour accéder aux informations hébergées sur le serveur, quel que soit leur âge, et obligeraient le gouvernement à informer une personne que ses informations avaient été consultées dans les jours 10, à quelques exceptions près.
Cependant, les responsables de l'application de la loi ont exprimé leur opposition à certains des changements proposés dans le projet de loi, arguant que son obligation de mandat judiciaire pouvait laisser les plaideurs civils sans accès à d'importantes informations électroniques.
«Le projet de loi, dans sa forme actuelle, fait peser un risque important sur le public américain en empêchant la SEC et les autres services de détection et de répression civiles d’enquêter sur les fraudes financières et autres comportements illicites,» a déclaré Andrew Ceresney, directeur de la mise en application à la Securities and Securities Commission d'échange.
Ceresney et Daniel Salsburg, juriste en chef pour la technologie, la recherche et les enquêtes à la division de la protection du consommateur de la FTC, ont déclaré que la SEC et la FTC ne recherchaient pas le pouvoir d'obtenir des données avec juste une assignation à comparaître, mais proposaient plutôt un système permettant d'obtenir une ordonnance du tribunal pour l'accès aux données. Un tel processus en informerait la personne faisant l'objet de l'enquête et lui donnerait la possibilité de plaider devant le juge avant qu'une ordonnance ne soit rendue ou refusée.
Le ministère de la Justice va exiger des mandats pour la technologie de suivi des téléphones portables
La nouvelle politique ne s'applique pas aux services de police des États et locaux qui ont utilisé des simulateurs de sites cellulaires pour suivre les criminels.
Malgré leur opposition au changement proposé à l'ECPA, ni la SEC ni la FTC n'ont obtenu de courriels au moyen d'une assignation à comparaître administrative au cours des cinq dernières années, ont déclaré mercredi Ceresney et Salsburg.
Ceresney a déclaré que la décision d'éviter les assignations à comparaître avait été prise "par déférence" à l'égard des discussions en cours sur la réforme de l'ECPA. Une ordonnance de la cour fédérale 2010 a également lié le gouvernement en déclarant l'ECPA inconstitutionnelle - une décision que la loi portant modification de l'ECPA a l'intention de codifier en loi - mais Ceresney a déclaré que la SEC n'interprétait pas la décision de la cour comme un obstacle à l'utilisation de citations à comparaître pour obtenir des données.
Les commentaires des responsables de l'application de la loi au sujet de la réforme de l'ECPA ont immédiatement provoqué des réactions négatives de la part du secteur de la technologie, qui s'est montré très favorable aux changements.
"La FTC prétend être un champion de la protection de la vie privée des consommateurs, mais l'agence veut accéder aux données des Américains sans mandat", a déclaré Berin Szoka, président de TechFreedom, un groupe de réflexion sur les technologies. «Les témoignages de la Commission aujourd'hui confirment les rumeurs de longue date selon lesquelles elle ne soutiendrait la réforme de l'ECPA que si elle est dérogée à l'exigence d'un mandat.
"Le FBI n'est pas une force étrangère imposée au peuple américain", a déclaré le directeur de l'agence, alors que le gouvernement fédéral se heurtait à la Silicon Valley au sujet des normes de cryptage.
"C'est le problème qui bloque la réforme de l'ECPA depuis plus de cinq ans, en dépit d'un soutien bipartisan écrasant", a ajouté M. Szoka. "Le témoignage de la FTC est soigneusement conçu pour paraître raisonnable, mais l'agence contribue simplement à faire obstacle à la réforme majeure de la protection de la vie privée de notre génération."
Julie Brill, une commissaire de la FTC, a publié mercredi une déclaration dans laquelle elle indiquait qu'elle n'était pas d'accord avec le témoignage de Salsburg. «Je crains qu'un mécanisme judiciaire permettant aux forces de l'ordre civiles d'obtenir du contenu auprès des fournisseurs de l'ECPA puisse enchâsser une autorité susceptible de porter atteinte à la vie privée des personnes et, dans certaines circonstances, d'être inconstitutionnelle en pratique», a déclaré Brill.
Google et BSA-The Software Alliance, une association technologique de premier plan, ont comparu devant un comité de témoins distinct, appelant à un changement rapide afin d'améliorer la vie privée des clients et d'atténuer les pressions des entreprises.
"En créant une protection de la confidentialité incohérente pour les utilisateurs de services en nuage et des obstacles de conformité inefficaces et confus pour les fournisseurs de services, ECPA a dissuadé de manière inutile le passage à une méthode informatique plus efficace et plus productive", a déclaré Richard Salgado, directeur de la loi Google. Direction de l'application et de la sécurité de l'information.
Cette histoire a été mise à jour avec une déclaration de la commissaire de la FTC, Julie Brill.
wpDiscuz