Tout comme pour le débat sur le cryptage ou la lutte contre le crime, le gouvernement espagnol justifie la mise en place de nouveaux pouvoirs en vue de contrôler le "cyberespace" en présentant l'existence de nouvelles menaces telles que le vol de données ou d'informations, le piratage et les cyber-attaques à l'encontre d'infrastructures critiques.
De vagues menaces pour justifier un élargissement de la réglementation
La déclaration vague faisant mention de "récents et sérieux évènements qui se sont produits sur le territoire espagnol" est utilisée par l'État pour justifier le recours à des pouvoirs élargis, qui affectent à la fois les sphères publique et privée. Le problème est que ces pouvoirs sont prévus pour être permanents, et qu'ils affectent gravement les droits des citoyen.ne.s, et ne sont même pas limités au territoire pour lequel cet amendement a été adopté en tant que mesure d'urgence (la Catalogne).
L'administration de l'État a assumé le contrôle de deux domaines : le réseau de fibre optique que l'administration de Catalogne a étendu dans la région, et IdentiCAT, un système d'identité auto-souveraine (SSIs) destiné aux citoyens.
Dans le premier cas, il est surprenant que l'autorisation existante inclue dans la Loi sur les télécommunications générales ait été jugée insuffisante (nécessitant ainsi d'urgentes modifications). L'usage de termes vagues dans la nouvelle législation, tels que "ordre public", "sécurité publique" ou "sécurité nationale", créée également une insécurité juridique inacceptable.
Il est ici question de pouvoirs qui, comme cela est énoncé dans le texte, ne couvrent pas uniquement un réseau ou service de télécommunications générales, mais s'étend aussi aux éléments qui accompagnent nécessairement la mise en place d'un réseau ou la fourniture d'un service de communications, telles que les infrastructures peuvent héberger des réseaux de communications électroniques publiques, leurs ressources correspondantes ou tout élément ou niveau de leur réseau ou service.
Le Ministère se confère lui-même les pouvoirs de contourner les procédures habituelles
La nouvelle loi prévoit aussi une série de situations pour lesquelles le Ministère de l'économie et du commerce peut adopter des mesures préventives sans audition, mentionnant de nouveau de vagues menaces pesant sur l'ordre public et la sécurité publique. Ces mesures pourraient affecter de nombreux droits des citoyens et seraient assumées directement par l'administration publique sans contrôle judiciaire ultérieur, ce qui montre que la mise en place de cette autorisation, est, encore une fois, largement contestable si elle est approuvée via un décret-loi.
En ce qui concerne les nouveaux modèles d'identité numérique basés sur le blockchain, ou chaîne de blocs (une technologie de stockage et de transmission d'informations sans organe de contrôle), la loi établit de manière spécifique que les systèmes d'identification qui se basent sur ces technologies et que leurs systèmes de signature ne seront pas recevables et en aucun cas, et que par conséquent, ils ne seront pas autorisés, tant qu'ils ne feront pas l'objet d'une réglementation de la part de l'État et dans le cadre du droit européen. De plus, l'administration publique se réserve une position de contrôle, en tant qu'autorité intermédiaire, lorsque de telles réglementations existent déjà.
En réalité, le problème est que, de nombreuses réglementations sont déjà applicables à ces systèmes d'identification, à commencer par le système européen de reconnaissance d'identités électroniques (ou eIDAS), ou par exemple des réglementations telles que celles visant à protéger les données personnelles.
Les arguments avancés par les autorités sont peu convaincants
Comme cela a été le cas dans le verdict 55/2018 du Tribunal constitutionnel, la légitimité de cette interférence dans la sphère des pouvoirs d'auto-organisation d'une administration autonome est contestable, surtout lorsque cela inclut une obligation supplémentaire importante, comme le fait d'être une autorité intermédiaire pour ces systèmes dans le futur.
Bien que le décret-loi ait été élaboré en prenant en compte le projet catalan, d'autres territoires envisagent aussi de développer des solutions similaires, et il ne s'agit pas ici de technologies destinées à mener des actions illégales. Les rapports de l'Observatoire EU Blockchain décrivent ces technologies d'identité auto-souveraine comme des mécanismes permettant aux utilisateur.trice.s de contrôler non seulement leur identifiant mais aussi toutes les informations qui y sont associées.
Cette interdiction, qui affectera le développement d'une technologie neutre et utile, justifié par un présupposé manque de réglementations, est inacceptable, d'autant plus qu'elle a été approuvée dans l'urgence et par un décret-loi.
Alors que les autorités justifient l'introduction de cette loi en indiquant qu'il est impossible de réagir dans les temps voulus en raison de la dissolution des Chambres, et en invoquant la nécessité de donner une réponse, il existe une série d'amendements proposés concernant les normes qui sont déjà appliqués et ce depuis des années dans certains cas, et qui ne sont pas nécessaires dans d'autres cas, ainsi que de nouvelles autorisations qui pourraient finir par fragiliser aux droit fondamentaux.
Nous ne pouvons pas analyser cette loi uniquement à partir de la perspective d'une communauté autonome (région) et d'une situation spécifique à un moment donné. Les déclarations faites concernant son objectif n'importent pas tant ici, puisque la portée d'application n'est pas limitée à cette situation et qu'elle constitue, en fin de compte, une interférence majeure avec les droits des citoyen.ne.s.
*Ce texte a été originalement publié sur le blog de Rights International Spain's.