Le Concept Witness Angel

La vérité au cœur du système judiciaire
La vie privée au cœur de la société

La version traduite en Anglais est ici.

Table des Matières

• Introduction
• Qu’est-ce qu’un Witness Angel ?
• Pourquoi notre système judiciaire est insatisfaisant
• Les concepts fondamentaux du Witness Angel
• Foire aux Questions et Réactions
• Spécifications Fonctionnelles et Techniques
• Encadrement Légal Nécessaire

Introduction

La révolution des technologies de l’information a apporté de nouveaux moyens d’investigation et de preuve à la justice : caméras de surveillance dans les espaces publics (rues, parkings, ascenseurs, bus…), enregistrements vidéo sur smartphone par des témoins, mise sur écoute et géolocalisation de suspects, fouilles de réseaux sociaux et d’archives email, etc.

Mais ces nouveautés ont eu des effets de bord très préoccupants :

• Elles ont conduit à des violations sans précédent de la vie privée : prolifération incontrôlée desdits enregistrements de surveillance, prises de vue illicites par smartphone qui terminent sur Internet, espionnage de masse des internautes, mises sur écoute tous azimuts au nom de la lutte contre le terrorisme…
• Elles ont parallèlement donné un formidable arsenal au mensonge : retouches quasi indiscernables de vidéos et de photos, diffusion massive de fake news sur les réseaux sociaux, nouvelles formes d’escroqueries alimentées par l’anonymat du web…

Pendant ce temps, le système judiciaire continue à être démuni dans nombre de cas (harcèlement au travail, agression…), en matière d’établissement des faits. Cela se traduit par de complexes procès “parole contre parole”, de graves erreurs judiciaires sur des innocents, et des criminels laissés en errance faute de preuves.

Voilà donc la situation : les États et les entreprises géantes s’immiscent de plus en plus loin dans la vie privée des citoyens, ceux-ci ont un mal croissant à discerner la vérité du mensonge et à protéger leur intimité, et les tribunaux restent en demande de preuves plus rapides et robustes pour traiter avec efficacité et justesse les affaires.

Notre objectif : donner à la vérité judiciaire un arsenal à la hauteur de son importance, tout en restaurant le droit légitime des citoyens à la vie privée.

Nos moyens : la puissance insoupçonnée des algorithmes cryptographiques et des systèmes distribués, qui permettent de concilier confidentialité des données et protection des personnes.

Découvrez notre innovation : le Witness Angel

Qu’est-ce qu’un Witness Angel ?

C’est ce que l’on pourrait aussi appeler une “dashcam personnelle en écriture seule”.

Peut-être connaissez-vous les “Car Dashcams”, ces caméras accrochées aux tableaux de bord des voitures, et enregistrant ce qui se passe alentour ; très populaires dans des pays comme la Russie, elles ont permis de déjouer un nombre incalculable d’escroqueries à l’assurance, de chantages, d’extorsions par des policiers, de délits de fuite… Les atouts de ces “boîtes noires” grand public sont largement démontrés sur les sites de vidéos.

L’idée du Witness Angel (“Ange Témoin” en français) est d’étendre ce concept aux personnes. Sous la forme d’une application pour smartphone, pour smartwatch, ou tout autre accessoire connecté.

Ce dispositif enregistre, en permanence ou sur demande, une multitude d’informations environnantes : vidéo, audio, date et heure, position GPS…

Mais attention, pour protéger la vie privée de tous les individus impliqués (le porteur comme les personnes qu’il croise), cette dashcam ne permet PAS à l’individu de lire les données qu’il a enregistrées. C’est là l’innovation majeure du dispositif : il est en “écriture seule”.

Les données sont chiffrées, horodatées, et signées avec des technologies extrêmement puissantes ; puis les clés de chiffrement (voire les données) sont dispersées entre plusieurs entités de confiance indépendantes.

Ces données ne peuvent donc être exploitées que dans le cadre d’une démarche judiciaire, à la demande du porteur. Cette procédure amène les gardiens des différentes données et clés de chiffrement à les mettre en commun, sous la supervision d’organes de contrôle assermentés.

Ainsi, le Witness Angel est assimilable à un huissier personnel : une mémoire incorruptible, qui permet au porteur, uniquement SI et QUAND il le veut, d’apporter un témoignage véritablement fiable ; pour se défendre, mais aussi pour défendre ses congénères ; et sans les coûts et tracas qu’engendrerait la présence d’un véritable huissier, 24h/24, à ses côtés. Le “droit au silence étendu” garantit au porteur que son Witness Angel ne pourra pas être utilisé pour témoigner contre lui.

Le Witness Angel est donc un dispositif qui s’inscrit dans la philosophie “White Mirror” : utiliser les technologies les plus pointues à disposition, mais pour donner toujours plus de responsabilité et de sécurité à chaque personne, au lieu de rassembler des pouvoirs immenses dans les mains de quelques entités (étatiques, commerciales…) et dériver vers une société dystopique.

Pourquoi notre système judiciaire est insatisfaisant

Quelques réflexions

Depuis l’ordalie, depuis la question préparatoire et la question définitive, depuis le témoignage sous serment comme principale source de preuve, la Justice a fait beaucoup de chemin. Balistique, autopsie médico-légale, analyse graphologique ou psychologique, empreinte digitale et ADN, exploitation d’enregistrements divers, ont permis d’enlever une bonne partie du “facteur humain” dans l’établissement des faits. Mais d’importantes lacunes demeurent.

Pourquoi les individus ne portent-ils souvent pas plainte en cas d’agression, de mensonge, de harcèlement moral ou sexuel, de bizutage ? Parce qu’ils savent qu’outre les lenteurs de l’appareil judiciaire, il leur faudra affronter les soupçons d’affabulation, jouer leur parole contre celle du malfaiteur (qui dispose de la présomption d’innocence), et risquer le naufrage en cas d’insuffisance de preuve.

Même les initiatives légales de bonne volonté pour verbaliser le harcèlement de rue se montrent insuffisantes, faute d’un policier à chaque coin de rue.

Combien d’injustices seraient évitées si la justice ne s’en remettait pas autant à des analyses de laborantins qui, pour certains, falsifient complètement les résultats ?

Même sans malhonnêteté du personnel technique, combien d’enfants ont été enlevés à des parents innocents, ou au contraire laissés entre les mains de bourreaux, sur la base d’analyses déficientes, ou d’habiles mensonges ? Pour les enfants pris en charge par l’aide sociale à l’enfance, la situation semble parfois tout aussi cruelle.

Vous pensez que les analyses ADN, les empreintes digitales, sont très probantes ? Que nenni, et rien n’est plus facile que de disposer astucieusement les traces d’un innocent sur une scène de crime, ou d’attacher des sachets de drogue sous la voiture d’un opposant politique.

Comment différencier une “amnésie traumatique” d’un “souvenir induit”, lorsque les thérapeutes peuvent si facilement devenir gourous, et retourner des individus contre leurs proches ? L’obsession pour les thérapies alternatives, de plus en plus audacieuses dans leurs prétentions pseudoscientifiques (numérologie psychanalytique, analyse transgénérationnelle…) crée en outre un terreau fertile pour les distorsions de réalité.

Sans oublier, comme l’a terriblement démontré le Procès d’Outreau, que dans les témoignages de victimes traumatisées, le vrai et le faux peuvent devenir indissociables.

Et ne parlons même pas des faux témoignages nés de rancœurs, de chantages, de corruptions, d’actes sexuels non assumés, de troubles psychologiques…

Quelques statistiques

“Les chiffres, on leur fait dire ce qu’on veut” dit la sagesse populaire. Mais certaines statistiques sont trop gravement explicites pour se prêter aux subtilités d’interprétation.

Sur les 75.000 viols estimés commis chaque année en France, seulement 13% d’entre eux donnent lieu au dépôt d’une plainte, et seulement 2% finissent par une condamnation en cours d’assises. Avec une “déqualification” massive des affaires de viol, qui terminent en correctionnelle au lieu d’être, comme elles le devraient, jugées en cours d’assises ; quand ce n’est pas la prescription qui frappe.

20% des femmes actives ont fait face à une situation de harcèlement sexuel au cours de leur vie professionnelle. Dans 69% des cas, les harcèlements sexuels ne sont pas portés à la connaissance de l’employeur, et pour les victimes qui osent franchir le pas, dans 40% des cas cela se termine à leur détriment.

Trois salariés sur dix ont le sentiment d’avoir déjà été l’objet de harcèlement moral sur leur lieu de travail.

Les statistiques sur les autres violences de genre ne sont pas rassurantes non plus.

14% des Français ont été victimes de maltraitance (physique, sexuelle ou psychologique) de la part d’un adulte au cours de leur enfance. 60% n’en ont parlé à personne.

Enfin, regardons ce qui s’est passé avec #metoo et autres phénomènes de grand déballage public. Ces témoignages de masse, prompts à devenir des lynchages sans preuve ni procès longtemps après les faits, sont les tragiques symptômes d’une société dans laquelle des populations entières de victimes n’ont pu obtenir justice.

Une piste d’amélioration

Si ce petit état des lieux vous semble satisfaisant, alors vous pouvez passer votre chemin. Sinon, cela signifie qu’il faut trouver des solutions pour ces sérieux problèmes.

Le Witness Angel, puissante source d’établissement des faits en matière judiciaire, est la solution que nous promouvons, afin d’avoir une justice plus efficace et plus sûre.

Comme tout dispositif d’enregistrement, il soulève des questions en matière de vie privée et de confidentialité des données ; des problématiques qui sont résolues grâce un niveau sans précédent de protection technique, ainsi que détaillé dans la suite de ce document.

Les concepts fondamentaux du Witness Angel

IMPORTANT — Écriture Seule à visée Judiciaire : les données qui sont écrites par un périphérique ne peuvent pas être lues sans une procédure officielle et multipartite, incluant au moins le Porteur, une Autorité judiciaire, et un Tiers de confiance indépendant des deux autres.

Subsidiarité: chaque citoyen est le maître de ses données, le pouvoir des personnes morales (tiers de confiance, État…) est très limité.

Décentralisation : aucune personne ne doit être supposée incorruptible, et aucune protection ne doit être supposée inviolable ; seule la multiplication des tiers impliqués, ainsi que des algorithmes mis en jeu, peut rendre le dispositif extrêmement résistant aux déficiences humaines et techniques.

Auditabilité : seul un dispositif dont le matériel et le logiciel peuvent être librement audités par tout citoyen compétent (ex. code open source) mérite la confiance du reste de la société.

Libération par la contrainte : le Witness Angel n’apporte pas de nouvelles technologies d’enregistrement. Il ne faut que cadrer et restreindre, grâce à de fortes règles, les dispositifs existants ; ceci afin que, libérés des risques qu’ils posent habituellement, ces systèmes puissent être largement et efficacement mis au service de la justice.

Pont Physique : les logiciels peuvent être élitistes et trompeurs (code obscur, bugs, failles volontaires…) ; l’utilisation de contraintes physiques (ex. interrupteur à la base d’une antenne, obturateur devant une caméra…) permet de redonner des garanties même au plus simple citoyen.

Progressisme Discerné : toute nouveauté technique ne constitue pas en soi un “progrès” ; mais si elle améliore la situation existante, même sans être parfaite ou infaillible, elle mérite d’être déployée (ne pas tomber dans le “perfectionnisme ankylosant” sous prétexte de principe de précaution).

Respect de la Vie Privée : ce concept est opposé à l’espionnage généralisé des citoyens, mais aussi à l’anonymat. La vie privée est ce qui se passe lorsque vous vous promenez dans la rue : les passants ne savent pas qui vous êtes, où vous habitez, ce que vous pensez de ceci ou de cela. Mais dans un certain nombre de cas (par exemple, si vous commettez un délit), la force publique aura le moyen de déterminer votre identité. Ainsi le concept de “vie privée” garantit à la fois la sécurité et la liberté des citoyens, tandis que l’anonymat accorde l’impunité aux criminels et aux harceleurs, en particulier sur Internet. Notons que la vie privée n’est en revanche absolument pas contraire à la sécurité, toutes deux peuvent être combinées grâce à des technologies adéquates (principalement cryptographiques).

Foire aux Questions et Réactions

Comment sont protégées les données ?

Les informations relatives au Witness Angel — enregistrements chiffrés et clés de (dé)chiffrement — font face à une problématique classique des données informatiques : la nécessité de confidentialité et de durabilité, c’est-à-dire une protection à la fois contre les fuites et contre les pertes de données.

Par défaut, ces deux propriétés semblent antagonistes : pour éviter de perdre des données il faut les répliquer en plusieurs emplacements géographiques, mais plus une donnée est disséminée, plus elle a de risques de tomber en des mains illégitimes.

Le Witness Angel résout ce problème en utilisant un cryptosystème à seuil, ou secret partagé : certaines données sont séparées entre N “tiers de confiance”, et il est nécessaire de solliciter au moins un nombre M d’entre eux pour reconstituer les données initiales. Ainsi, le déchiffrement implique toujours l’accord d’un nombre conséquent d’entités indépendantes (confidentialité), mais plusieurs d’entre elles peuvent disparaître sans que cela ne donne lieu à des pertes de données (durabilité).

Le système intègre en outre des secrets exclusifs, par exemple pour assurer qu’une entité étatique, ainsi que le porteur lui-même, soient inclus dans toute opération de déchiffrement (tandis que les autres tiers de confiances peuvent rester relativement interchangeables).

Chaque entité doit suivre des procédures strictes en ce qui concerne les données partielles qu’elle gère : les sur-chiffrer en entrée afin de prévenir leur vol par des moyens détournés ; les détruire après quelques jours si le porteur du Witness Angel en a décidé ainsi ; et appliquer les actions d’urgence si une faille de sécurité est détectée (nouvelle passe de chiffrement avec un algorithme corrigé, ou bien effacement des données par précaution). Ces procédures sont majoritairement intégrées “par défaut” dans les logiciels (côté client et côté serveur) du Witness Angel.

Notons enfin que le système du Witness Angel ne requiert aucunement un désintéressement ou une probité particuliers de la part des tiers de confiance. Les bribes de données chiffrées qu’ils détiennent sont inexploitables en l’état, donc leur seul intérêt de finance (pour des entreprises) ou de réputation (pour des associations citoyennes), ainsi que la crainte de la répression judiciaire, les mèneront naturellement à respecter les procédures de sécurité du dispositif.

Combien de temps sont conservés les enregistrements ?

La durée de conservation des enregistrements est à la discrétion du porteur. Il peut décider de garder les données pendant quelques jours ou semaines avant suppression automatique, comme c’est actuellement le cas pour les “Car Dashcams”. Mais il peut aussi opter pour un plus haut niveau de protection juridique, en gardant les données durant des années, voire indéfiniment. La préservation des données (ne serait-ce que pour faire face à leur volume grandissant) demandera alors davantage de considération.

Si une tranche de donnée a été signalée comme importante (ex. si l’enregistrement a été déclenché par un évènement, ou si le porteur l’a marquée ultérieurement comme telle), elle échappera à l’effacement automatique.

Si le porteur du Witness Angel meurt, on ne pourra jamais déchiffrer les données alors ?

Par défaut, si le porteur emporte dans la tombe sa clé (partielle) de déchiffrement, toutes les données qu’il a enregistrées deviendront inexploitables, et devront même légalement être effacées.

Cela posera problème pour obtenir justice, par exemple en cas d’assassinat du porteur. D’où l’idée de permettre un témoignage post-mortem du donneur, mais évidemment dans un cadre réglementaire et technique très strict : il faudra que le porteur ait désigné, par exemple dans son testament, un ou plusieurs héritiers de son Witness Angel, ainsi que délimité les données qu’ils seraient en droit d’exploiter. Il faudra aussi que le porteur ait préparé le legs de son morceau de clé de chiffrement, sous une forme chiffrée qui là encore nécessitera l’intervention de plusieurs tiers de confiance, pour que l’héritier soit le seul à pouvoir l’obtenir, et ce uniquement après la mort du porteur.

Et si malgré toutes ces précautions, des pirates réussissent un jour à voler des données ?

Aucun système humain ne peut être garanti inviolable, en particulier dans un domaine très dynamique comme l’informatique. Malgré le niveau de protection sans précédent offert par le Witness Angel, on peut toujours imaginer une révolution (ordinateur quantique, invasion extra-terrestre…) qui exposerait les données de certains utilisateurs, avant que les systèmes de purge ne prennent effet pour effacer les autres.

Mais le Witness Angel n’a nul besoin d’être inviolable, il a juste besoin d’être le “maillon fort de la chaîne”, la “surface d’attaque la mieux défendue”. En effet, à quoi bon mettre une porte triplement blindée sur une maison, si les vitres ou les murs peuvent être facilement percés ?

Il existe déjà une grande palette de moyens pour espionner la vie privée d’un individu : filatures, mises sur écoute, mouchards informatiques (ex. keyloggers), piratages de messagerie ou d’assistants personnels, espionnage sur les réseaux sociaux, suivi de la navigation en ligne par des balises comme les cookies publicitaires… tant que ces moyens restent incroyablement plus simples et discrets à mettre en place que le piratage d’une seule tranche de données du Witness Angel, les craintes au sujet de ce dernier resteront sans grande pertinence.

Pour rappel, pirater un Witness Angel nécessitera de récupérer des données potentiellement éparpillées dans plusieurs pays, dans des entités de types très différents (services publics, entreprises, associations, serveurs personnels…), puis de casser plusieurs algorithmes de chiffrement extrêmement puissants et utilisant des clés de grande longueur. Des défis qui sont à l’heure actuelle (2019) trop importants même pour des organismes d’État ; d’où les pressions exercées pour introduire des portes dérobées dans les systèmes d’exploitation et les logiciels de cryptographie, et pour stopper les projets logiciels refusant ces pressions (ce qui semble être arrivé au projet Truecrypt).

Comment s’assurer de la véracité des enregistrements ?

De par son mécanisme d’écriture seule et d’horodatage, le Witness Angel assure la non-altération des données une fois qu’elles sont stockées, et divers systèmes (authentification, chaînage des données avec des empreintes numériques) empêchent que de fausses données soient insérées à l’insu du porteur.

En revanche, comme tout dispositif d’enregistrement, il est vulnérable en cas de falsification des flux qui lui sont fournis en entrée. Plusieurs systèmes lui permettent cependant de limiter fortement les risques de mystification.

• Les périphériques (caméras, microphones…) issus d’organismes certifiés peuvent signer les flux de données dès leur captation, et attester ainsi de leur origine non frauduleuse (pirater de telles puces matérielles serait une opération extrêmement complexe).
• Les flux non certifiés peuvent être analysés avec les moyens habituels d’enquête, pour vérifier qu’il ne s’agit pas de montages créés à l’avance, ou d’enregistrements trafiqués à la volée par des algorithmes (ex. ajout de voix artificielles sur la bande sonore).
• La comparaison spatio-temporelle des données de plusieurs Witness Angel présents sur une scène peut révéler les incohérences, et donc les manipulations.

C’est 1984 votre truc !

Bien au contraire, c’est un anti-1984 ; regardons pourquoi.

La dystopie du livre 1984 est déjà fortement en place sur la planète, avec :

• La multiplication à outrance des caméras de surveillance, dont les enregistrements “croustillants” finissent sur Internet (quand ce n’est pas la caméra entière qui est publiquement exposée aux voyeurs, voir https://www.insecam.org/).
• L’extrême facilité pour enregistrer les gens à leur insu, sur un smartphone ou via de petites caméras-espionnes disponibles dans le commerce à un prix ridicule.
• Le pillage des données des utilisateurs par les sites web (jusqu’aux mouvements de souris et aux frappes au clavier) et les applications mobiles (y compris en activant le micro à votre insu) ; un phénomène aggravé par le modèle économique des réseaux sociaux, où l’utilisateur est le produit marchand, et où les données sont détournées en tous sens, comme l’a montré le scandale de Cambridge Analytica.
• Summum de l’aliénation, les Big Brother à acheter soi-même, comme Google Home ou Amazon Echo, qui enregistrent jusqu’à vos conversations les plus anodines de votre foyer, les analysent, et les stockent sans grande sécurité, voire les envoient à des contacts par erreur.
• L’opacité, à l’inverse, dans laquelle nagent les États et les multinationales (secret-défense, secret fiscal, secret des affaires…), opacité qui n’est dérangée que par quelques lanceurs d’alerte et leurs data leaks.
• Les logiciels et algorithmes permettant de contrefaire des vidéos, pour en changer les paroles ou les visages de façon presque indiscernable, et créer ainsi une “vérité alternative”.
• La reconnaissance automatisée des données biométriques, des visages, des démarches, qui se “démocratise” (si l’on peut dire), parfois couplée à une surveillance depuis le ciel (ex. en Chine).
• La notation généralisée des citoyens qui se met en place, en Chine encore une fois, etc etc etc.

Le Witness Angel, c’est au contraire la preuve qu’il n’y a pas de contradiction entre le droit à la sécurité et le droit à la vie privée, et que c’est à chaque personne humaine d’être garante de la vérité et gardienne de ses données personnelles, en toute autonomie.

Le niveau sans précédent des protections apportées au dispositif (qui ne peut être exploité que dans un cadre judiciaire officiel, avec l’accord de son porteur, et ne peut être “saisi” par les autorités), et la nature librement auditable de son code, permettent à tout citoyen compétent de vérifier par lui-même que cette philosophie anti-1984 reste respectée.

Le Witness Angel est donc une rebuffade pour ceux qui utilisent la peur (des agressions, du terrorisme…) pour mettre en place un flicage excessif des citoyens ; et un pied de nez aux GAFAM et consorts, qui prétendent que l’exploitation massive des données personnelles est un impératif pour offrir de nouveaux services innovants.

Est-ce que ça ne va pas renforcer la méfiance dans les relations humaines, l’instinct sécuritaire, la paranoïa généralisée ?

La “paranoïa” naît principalement de la vulnérabilité, de l’insécurité. Si de nombreuses personnes se rendent au travail la peur au ventre, c’est parce qu’elles savent que leurs supérieurs ou collègues les tiennent en leur pouvoir, et peuvent continuer à les harceler ou à les tripoter dans une impunité quasiment complète.

Une personne allergique aux abeilles sera bien plus anxieuse lors des sorties champêtres si elle n’a pas de seringue d’adrénaline à portée de main. Un violoniste sera bien plus précautionneux lors de ses déplacements si son instrument n’est pas assuré. Un acheteur sera bien plus méfiant s’il doit payer son bien par un moyen non sécurisé (Western Union…). Un alpiniste sera bien plus tendu s’il escalade une paroi sans être assuré par une corde. Et ces réactions n’ont rien d’anormal. “Fear is wisdom in the face of danger. It’s nothing to be ashamed of.” (Sherlock: The Abominable Bride).

Les mesures de protection sont les conséquences des craintes, non leurs causes. C’est au contraire lorsqu’ils se savent protégés que les humains peuvent interagir librement avec leurs congénères. Le Witness Angel est un dispositif qui renforcera la confiance dans les relations humaines, puisque le mensonge et la manipulation ne paieront plus autant qu’auparavant, et que les victimes auront la possibilité de témoigner sans voir leur parole immédiatement remise en cause.

Et le droit à l’image ? Et le consentement des enregistrés ?

Le Witness Angel ne pose pas de problème de droit à l’image, car l’enregistrement ne peut être déchiffré que dans un contexte judiciaire, où les suspects et les victimes voient déjà leur vie personnelle fouillée de fond en comble par procureurs et avocats.

Au contraire, en permettant souvent un accès rapide à la vérité, ce dispositif supprime les interminables déballages de l’intimité et du passé des protagonistes, utilisés par l’accusation ou la défense pour décrédibiliser leurs témoignages (démonstration peu fiable s’il en est).

La nécessité du consentement des enregistrés, qui découle de ce droit à l’image, est donc elle aussi rendue inutile par le dispositif ; sauf à pousser jusqu’au dévoiement le concept de “loyauté de la preuve”, et requérir l’accord des malfaiteurs avant d’avoir le droit de récolter des preuves contre eux.

Mais des évolutions législatives seront évidemment nécessaires pour prendre en compte les spécificités de ce dispositif, qui est tout sauf “encore une caméra de surveillance”.

Je trouve inconfortable l’idée d’avoir un enregistreur sur moi !

Beaucoup de personnes ont réagi de la même façon lorsque les ceintures de sécurité ou les détecteurs de fumée ont été introduits dans la société ; avant de très bien s’y habituer. À partir du moment où le Witness Angel protège les victimes de crimes sans léser en rien les innocents, où ils ne fait qu’ajouter des contraintes de respect de la vie privée aux moyens d’enregistrement existants, on peut présumer qu’il finira par être lavé des préjugés, et faire partie du paysage.

La différence avec la ceinture de sécurité et le détecteur de fumée, c’est que dans son concept même, le Witness Angel exige de ne jamais être obligatoire.

En effet, n’étant qu’une consolidation du témoignage individuel — témoignage auquel peut toujours être opposé le droit au silence — le Witness Angel ne peut être mis en place qu’avec l’accord exprès de son porteur. L’important restera que ceux qui veulent se protéger grâce au Witness Angel puissent le faire.

Bien entendu, rien n’interdira à un État de violer massivement la vie privée des civils (cf. les manigances mondiales de la NSA, le totalitarisme croissant du Parti Communiste Chinois…), ni de forcer ses ressortissants à porter des enregistreurs. Mais il s’agira alors d’une initiative sans rapport avec le Witness Angel, car un État despotique ne s’encombrera jamais de toutes les protections techniques et légales qui vont avec ce dispositif, et au contraire exigera un accès direct et illimité aux données récoltées.

De par sa conception en “écriture seule”, le Witness Angel empêche le voyeurisme. Ce qui pourrait arriver, en revanche, c’est que quelqu’un maquille un enregistreur standard pour ressembler à un Witness Angel. D’une part il lui sera bien plus simple et discret d’utiliser un enregistreur caché quelconque (ex. un stylo-espion, ou une application qui tourne en tâche de fond sur un smartphone…). D’autre, il est prévu qu’un Witness Angel puisse être facilement audité (y compris par un simple citoyen), pour que son logiciel et son matériel prouvent à tout moment être conformes aux principes fondamentaux de ce système.

Le Witness Angel étant hermétique aux détournements (chantages, vidéos buzz, revenge porn…), une aversion à son égard sera davantage une histoire de “goûts et de couleur”, voire de phobie, que de crainte rationnellement justifiée. Il n’est pas impossible que, dans son jugement souverainement démocratique, la société considère que cet “inconfort moral” est plus important que la protection de millions de victimes et de condamnés à tort ; mais une société qui bannit le Witness Angel sans proposer d’alternative n’aura plus aucune crédibilité pour s’indigner devant les injustices et fiascos judiciaires qui défraient la chronique.

Lors de l’exploitation des enregistrements, ne risque-t-il pas d’y avoir atteinte à la vie privée d’autrui.

Si par exemple une personne se fait poignarder dans la rue, l’exploitation du ou des Witness Angel présents sur les lieux pourrait en effet révéler des informations parfois embarrassantes sur des passants étrangers à l’affaire.

Mais il faut noter les éléments suivants :

• L’atteinte à la vie privée est incommensurablement plus forte lorsqu’il s’agit de caméras de surveillance habituelle, ou d’une enquête traditionnelle qui va disséquer les emplois du temps de toutes les personnes impliquées de près ou de loin.
• La divulgation des enregistrements du Witness Angel se fait dans un cercle restreint, uniquement avec des personnes liées à la procédure judiciaire, et soumises au même niveau de secret que celle-ci.
• Les mêmes technologies qui permettent aujourd’hui aux gens du web d’espionner la vie privée peuvent être utilisées pour minimiser les informations divulguées. Ainsi, il est possible de confier à des intelligences artificielles la recherche des passages pertinents (scènes de dispute, présence de certains protagonistes…) sans avoir à tout visualiser. Et il est possible de stratifier l’information (ex. automatiquement flouter les visages, la nudité et les plaques d’immatriculation) tant que davantage de détails ne sont pas exigés par l’investigation.
• Le porteur aura la possibilité de filtrer finement ce qu’il veut montrer ou non au tribunal, de la même façon qu’il choisirait avec soin ses mots pour un témoignage oral.

Ainsi, si le Witness Angel ne permet pas d’effacer entièrement l’intrusion que constitue toute enquête judiciaire, il la limite de façon drastique, ce qui est un indéniable progrès par rapport à l’existant.

La législation française/UE/autre est déjà en retard sur les nouvelles technologies, elle n’autorisera jamais le Witness Angel.

La Witness Angel nécessite en effet de combler des vides juridiques, par exemple pour prendre en compte la nouveauté qu’est l’enregistrement en “écriture seule”. Cela nécessitera certainement un effort de pédagogie et de proposition législative, surtout dans une société où historiquement tout enregistrement était synonyme de risque pour la vie privée.

Mais il faut noter plusieurs choses positives :

• Une certaine sensibilisation est déjà en place quant au débat “vie privée contre sécurité”, et des institutions comme la CNIL française, des réglementations comme la RGPD européenne, ont été mises sur pied pour s’attaquer aux problèmes posés par les nouvelles technologies. Le Witness Angel n’arrivera donc pas dans un désert juridique.
• Les dashcams pour voiture ont créé un précédent, en montrant à la fois leur inestimable apport et leurs dangereuses limitations.
• La police française a été équipée en 2016 de caméras-piétons ; des dispositifs chers, initialement non sécurisés contre la lecture (contrairement à ce qu’exigeait la loi les introduisant), et injustes car les non-policiers en sont dépourvus ; mais des dispositifs toutefois bien accueillis dans l’ensemble ; les policiers des USA utilisent aussi de telles caméras, avec là encore les risques liés à l’absence d’Écriture Seule.
• Notre principal objectif est de théoriser un système répondant simultanément à de fortes exigences de justice et de vie privée ; sa mise en place est une autre préoccupation, il se pourrait qu’il trouve l’accueil le plus favorable dans d’autres pays qu’attendus, ou seulement pour certains cas d’usages (forces de police, victimes de maltraitance…) dans un premier temps.

La cryptographie est l’alliée des mafieux et des terroristes

C’est un fait, les malfaiteurs sont de grands consommateurs de systèmes d’anonymisation et de chiffrement : téléphones jetables, messageries et disques durs chiffrés, réseaux chiffrés type “VPN”…

Mais ces systèmes sont tout autant utiles aux opposants politiques des États despotiques, ou aux simples citoyens qui ne veulent pas que leur vie personnelle termine en de mauvaises mains.

Les interdire reviendrait donc à interdire les couteaux de cuisine sous prétexte qu’ils peuvent servir à commettre des meurtres.

L’idée importante est que le Witness Angel n’apporte aucune innovation au bénéfice des criminels. Au contraire, il pose un cadre réglementaire très strict, et empêche techniquement que les données ne soient déchiffrées à l’insu du grand public ; des contraintes dont aucun criminel n’a intérêt à s’encombrer.

Combien ça coûte tout ça ?

Le modèle économique exact du dispositif Witness Angel est une problématique secondaire, qui pourra varier énormément d’un pays à l’autre. Il sera modelé par les contraintes du système (comme le respect de l’indépendance des tiers de confiance, l’auditabilité du matériel et des logiciels…) ainsi que les décisions des porteurs, tant dans l’achat du dispositif que dans le choix des hébergeurs de données et de clés de chiffrement.

L’écosystème du Witness Angel pourra donc mêler des associations citoyennes, des entreprises commerciales, des professions réglementées (huissiers, notaires…), et des organismes étatiques (dont le ministère de la Justice bien sûr).

Quelles sont les limitations connues du dispositif ?

Par conception, le Witness Angel ne vise pas à démontrer la non-existence d’un fait. Ainsi, si un malfaiteur attache un sachet de drogue sous la voiture d’un porteur, celui-ci ne pourra pas facilement démontrer qu’il n’a rien à voir avec ce trafic. Une fouille profonde (de préférence automatisée) des enregistrements disponibles sur une longue période pourrait partiellement le disculper de la participation à un réseau criminel, mais seuls les autres éléments de l’enquête permettront d’obtenir des preuves tangibles de son innocence.

Le Witness Angel interdit de forcer un porteur à révéler le contenu de ses enregistrements. Cela peut être frustrant si le porteur est suspecté d’un crime et se mure dans le silence, ou ne délivre que quelques extraits soigneusement choisis (et donc suspectés de partialité) ; mais il faut garder à l’esprit qu’une seule entorse à ce principe du “droit au silence étendu” découragerait massivement les citoyens de porter le dispositif, ce qui aurait des conséquences bien plus graves sur la vérité judiciaire à plus long terme. La justice devra donc savoir, parfois, se rabattre entièrement sur les autres moyens d’établissement des faits, même lorsque des Witness Angels actifs étaient présents sur les lieux.

Le Witness Angel ne pourra pas protéger les enfants dans tous les cas : si leur responsable légal est aussi leur maltraitant, il pourra faire obstruction à l’utilisation de ce dispositif. Mais les services sociaux pourraient prendre la main sur ces cas, et imposer des mesures de protection, en fonction de ce qui sera prévu par la loi. De la même façon, certaines personnes vulnérables (conjoints battus) auront de plus grandes difficultés à utiliser le dispositif sans risquer des rétorsions, mais la miniaturisation du dispositif pourra aider l’Etat et les associations à récolter des preuves quand même.

Dans un Etat dictatorial, où la police peut à tout moment arrêter et torturer un citoyen pour le forcer à révéler son code secret, le Witness Angel ne sera pas un dispositif utile ; mieux vaudra alors, pour les défenseurs des droits humains, se rabattre sur des dispositifs d’enregistrement dissimulés et unilatéralement chiffrés, pour rassembler des preuves sur les crimes du gouvernement.

Une autre limitation est inhérente à l’aspect lacunaire des enregistrements : en fonction des périodes d’utilisation du dispositif, et la durée d’archivage choisie, certains moments clés pourront être manquants au moment d’une procédure de déchiffrage ; il faudra alors espérer que d’autres témoins de la scène avaient, eux, un Witness Angel allumé et une conservation des données suffisante.

Une limitation technique concerne la taille des données stockées : étant chiffrées, elles auront une forte “entropie” de leur contenu binaire, ce qui empêchera de les compresser efficacement. Et puisqu’elles seront chiffrées, il ne sera pas possible de les convertir dans des formats audio/vidéo plus performants, ou dotés d’une moins grande précision, lorsqu’elles prendront de l’âge (et auront donc moins de chance d’être réquisitionnées ultérieurement).

Enfin, la dernière limitation connue, technique elle aussi, est celle de l’autonomie du Witness Angel : enregistrer, chiffrer et transmettre des données est un processus extrêmement énergivore ; certaines formes de ce dispositif embarqué ne pourront donc pas, en l’état actuel de la science, opérer plus de quelques heures entre chaque charge. Mais l’utilisation de puces dédiées au chiffrement, et de sources d’énergie alternative (chaleur de la peau, mouvement, énergie sans fil…), permettront à terme d’améliorer l’autonomie du périphérique portatif.

Quelques atouts méconnus du dispositif ?

Immunité grégaire rapide : même si une infime minorité de la société épouse le concept du Witness Angel, cela aura un grand impact psychologique parmi les malfaiteurs et les harceleurs, qui ne sauront pas si leur prochaine victime peut les piéger à leur propre jeu ; les non-porteurs bénéficieront donc de cette chute de la criminalité. Comparer cela à l’immunité grégaire des vaccins, par exemple, qui nécessite typiquement plus de 90% de personnes vaccinées avant que le reste de la population ne soit protégée par effet de bord.

Ergonomie protectrice : lorsqu’un drame se produit, les porteurs du Witness Angel pourront réagir de façon appropriée, au lieu de sortir leur portable pour filmer la scène (ce qui s’apparente parfois à de la non-assistance à personne à danger) ; des capteurs grand-angles, voire avant-arrière, pallieraient alors à l’absence de cadrage manuel. Cela n’empêchera pas certains d’utiliser des caméras standard quand même, pour “faire le buzz” ou revendre les images à des médias à sensation, mais ceci est une autre histoire.

Optimisation judiciaire : en donnant un accès rapide et probant à des éléments de preuve, le Witness Angel accélèrera les procédures judiciaires, désengorgera les tribunaux, et permettra des économies importantes sur les frais de justice ; tout en évitant les “grands déballages de vie privée” qui nuisent aux protagonistes des affaires, même ceux innocents.

Simplification des rapports humains : de nombreuses procédures aberrantes sont nées du mensonge et de la méfiance qu’il entraine. Ainsi, si (en France) la caution solidaire d’un locataire est obligée de recopier longuement, à la main, une page de jargon juridique, c’est pour éviter qu’elle nie plus tard avoir été informée de ce à quoi elle s’engageait. Le Witness Angel, arme anti mauvaise foi, rendra ce type d’embarras largement inutile.

Spécifications Fonctionnelles et Techniques

La lecture de cette section (assez complexe) n’est pas indispensable pour comprendre le dispositif.

Nomenclature technique

• Witness Angel : par défaut, il désigne le périphérique portatif qui sert à capter et chiffrer les flux d’information. Par extension, il peut désigner l’ensemble de l’écosystème du Witness Angel, incluant le cadre légal et les serveurs informatiques de traitement/stockage des données.
• Porteur (ou détenteur, propriétaire…) : personne physique qui possède et porte le dispositif Witness Angel, et dont l’autorisation est nécessaire pour en décrypter les données.
• Clé d’Écriture (ou de chiffrement, ou publique) : utilisée pour transformer les enregistrements bruts en données chiffrées, elle peut être divulguée sans grand danger.
• Clé de Lecture (ou de déchiffrement, ou privée) : utilisée pour lire les données lors d’une procédure judiciaire, elle doit rester secrète.
• Clé Maître (ou primaire) : générée après (re)configuration du Witness Angel, elle sert à indirectement protéger tous les enregistrements ultérieurs.
• Clé Dérivée (ou secondaire) : générée et utilisée spécifiquement pour une tranche temporelle, elle est elle-même rendue secrète grâce à une clé Maître.
• Chaque clé du système est donc soit Maître soit Dérivée, et elle peut être en Écriture et/ou Lecture.
• Cryptosystème à seuil (ou système de secret partagé) : système de N entités qui partagent une donnée secrète, et qui nécessite qu’au moins M d’entre elles se manifestent (avec M ≤ N) pour que le secret soit reconstitué.

Invariants de l’ensemble du système

• Chaque Witness Angel dispose d’un identifiant unique, permettant de retrouver les morceaux de clés et de données dispersés entre les entités.
• Aucune entité ne doit avoir, au cours de son existence, accès à plus d’une clé de lecture “maître” d’une configuration de Witness Angel, même sous forme chiffrée.
• Par défaut, au grand minimum 3 entités independantes doivent être impliquées pour permettre de récupérer l’ensemble des clés de lecture d’un enregistrement. Pour ce qui est du stockage des enregistrements chiffrés, aucune limite minimale d’hôtes n’est fixée.
• Les clés maîtres sont obligatoirement des paires de clés, respectivement Écriture et Lecture (chiffrement asymétrique), pour assurer l’Écriture Seule. Les clés dérivées, elles, peuvent être en Écriture+Lecture (chiffrement symétrique), pour des raisons de performance ou d’autonomie.
• Une entité de stockage doit toujours sur-chiffrer localement les données qu’il reçoit (fragments de clés ou d’enregistrements), pour empêcher qu’elles puissent être récupérées sans passer par l’interface logicielle du système (interface qui se charge d’enlever ce chiffrement local avant de délivrer lesdites données).
• Chaque entité est garante de la préservation de ses morceaux de clés et de données, en utilisant les technologies génériques destinées à cela (bases de données répliquées, disques RAID, sauvegardes périodiques…).
• Les procédures décrites ci-dessous fixent le seuil minimal de sécurité exigé par le dispositif. Ces procédures pourront évoluer, mais uniquement pour davantage de confidentialité et d’ergonomie du dispositif, au gré des innovations technologiques (ex. chiffrement homomorphe) et des exigences citoyennes. Elles laissent une large liberté en ce qui concerne les implémentations du dispositif : matériels, langages de programmation, protocoles de communication réseau (NFC, Bluetooth, Wifi, 4G)…

Configuration manuelle du Witness Angel par son porteur

• Choix des entités utilisées pour stocker les clés, et de celles utilisées pour stocker les enregistrements (entités qui peuvent se recouper).
• Choix des capteurs à utiliser (audio, photo, vidéo, GPS, pouls…).
• Choix du mode d’activation de l’enregistrement (continu, manuel, sur un évènement comme un pic de stress..) ; les capteurs peuvent aussi être laissés actifs en permanence, mais ne commencer à sauvegarder les données qu’à partir des quelques dizaines de secondes précédant un évènement (comme c’est le cas pour les dashcams de voiture, qui réagissent aux chocs).
• Choix des métadonnées optionnelles à ajouter aux enregistrements (localisation approximative du porteur, nombre de personnes présentes…) pour aider à la recherche des données pertinentes lors d’une procédure judiciaire
• Choix de la durée des tranches temporelles, et de la durée de stockage des enregistrements.
• Ces paramètres peuvent être modifiés à tout moment par le porteur ; cela force la régénération des clés, mais n’impacte que les enregistrements ultérieurs.

Génération des clés cryptographiques

• Les entités spécifiquement requises en cas déchiffrement (le porteur, le serveur du système judiciaire…) génèrent chacun une paire de clés primaires asymétriques, fournissent la clé d’écriture au Witness Angel, et gardent au secret la clé de lecture.
• Pour les entités faisant partie d’un cryptosystème à seuil, une entité temporaire indépendante se charge de générer la paire de clés, de diffuser les fragments de la clé de lecture aux tiers de confiance, et de fournir la clé d’écriture au Witness Angel ; ce générateur temporaire ne connaît à aucun moment l’identifiant du Witness Angel (un identifiant de session temporaire est utilisé), et détruit sa copie des clés dès la fin de l’opération.

Enregistrement des flux de données

• Les capteurs actifs délivrent des flux de données en clair, qui peuvent être cantonnés à la mémoire volatile (ex. buffer circulaire) tant que la persistance des données n’a pas commencé.
• Une fois l’enregistrement commencé, le flux de données est segmenté en tranches temporelles (ex. 10 minutes de captation), qui sont envoyées dans le système de chiffrement.
• Pour chaque tranche temporelle, des clés dérivées sont générées à partir des clés maîtres.
• La tranche de données est chiffrée successivement avec chacune des clés d’écriture dérivées, en utilisant divers algorithmes parmi les plus solides actuellement recensés.
• Optionnellement, des tiers peuvent horodater et signer la tranche de données chiffrées (mais indirectement, grâce à une signature aveugle).
• La clé dérivée de déchiffrement est elle-même rendue illisible, en la chiffrant grâce à la clé d’écriture maître.
• Différentes métadonnées (date, différents tiers de confiance et algorithmes utilisés, paramètres de configuration, informations optionnelles…) sont chiffrées uniquement avec la clé d’écriture dérivée du Porteur, et jointes à la tranche chiffrée. Une empreinte de la tranche de données précédente peut aussi être ajoutée aux métadonnées, afin de garantir la non-altération ultérieure de la chaîne des enregistrements.
• L’ensemble des données nécessaires à l’indexation et au déchiffrement de la tranche temporelle (hors clés primaires) est mis dans un conteneur, prêt à être stocké.

Archivage distant des conteneurs chiffrés

• Même pour une conservation courte durée des données, l’archivage distant reste une option utile, car il empêche qu’un malfaiteur puisse détruire des preuves en brisant le Witness Angel du porteur.
• Les conteneurs sont de préférence fragmentés en “secrets partagés”, et envoyés vers diverses entités de stockage (tiers de confiance et/ou serveurs personnels).
• Le porteur peut aussi garder (ou faire garder) des copies complètes des conteneurs, au prix d’une sécurité amoindrie.
• Les entités mènent en autonomie leurs tâches de maintenance :
  - Effacement des conteneurs expirés
  - Purge immédiate, ou sur-chiffrement d’urgence des secrets d’un utilisateur en dérivant sa clé d’écriture maître (publique), si une vulnérabilité cryptographique est signalée (action prédéterminée par le porteur)
• Un client logiciel permet au porteur, grâce à des comptes utilisateurs et à sa clé maître de lecture, de rechercher, visualiser, vérifier, annoter, effacer les conteneurs qu’il a stockés (cette clé suffit à déchiffrer les métadonnées de chaque conteneur). Le porteur peut aussi configurer les entités de stockage via cette interface (ex. action à effectuer en cas d’alerte de vulnérabilité cryptographique).

Procédure de déchiffrement

• Cette action ne peut avoir lieu que dans le cadre d’une action judiciaire, donc publiquement (même si les investigations et débats peuvent être à huis clos).
• De nombreuses questions seront à trancher via la législation : à partir de quel niveau de gravité du délit le Witness Angel est-il mobilisable pour obtenir des éléments de preuve ? Quels types d’enregistrements et outils d’analyse automatique sont autorisés, et quelles mesures de confidentialité (floutage sélectif…) sont imposées, suivant ladite gravité ? Les tribunaux d’autres nationalités que celle du porteur sont-ils compétents ? Où publier la procédure de déchiffrement (ex. dans un registre distribué de type blockchain), pour que toute entité puisse être informée de cet évènement assez sensible ?
• Le concept fondamental du Witness Angel doit être respecté : les enregistrements ne sont qu’une extension de la mémoire et de la parole du porteur, il est donc seul responsable du choix des données qu’il souhaite présenter pour compléter et étayer ses dires. Si le porteur ne permet pas la pleine vérification des faits, en tronquant les données qu’il soumet à la cour (pour des raisons qui peuvent être légitimes comme illégitimes), elle doit le traiter comme tout témoignage lacunaire (demander davantage de détails, corroborer avec d’autres éléments de preuve…)
• Le porteur peut présélectionner en toute autonomie, typiquement via son client logiciel, les groupes de conteneurs chiffrés qui l’intéressent ; quitte à en inclure de très larges ensembles, s’il n’est pas sûr des tranches temporelles pertinentes.
• Les fragments des conteneurs de données chiffrées sont rapatriés sur un terminal dédié, par tout moyen (réseau, support de type DVD ou clé USB etc.)
• Les clés de lecture dérivées propres à ces conteneurs sont récupérées sur le terminal dédié
  - Cela nécessite l’accord préalable des tiers de confiance et des autorités judiciaires, avec vérifications d’identité voire échanges en visioconférence (la présence physique des représentants des entités n’est pas nécessaire).
  - Chaque entité effectue elle-même son déchiffrement partiel sur les clés dérivées chiffrées qu’on lui présente ; à aucun moment une entité ne récupère les clés maîtres de lecture des autres entités.
  - Pour les entités faisant partie de cryptosystèmes à seuil, des entités temporaires indépendantes sont utilisées pour récupérer les fragments de clés de lecture maîtres, et mener ces déchiffrements partiels des clés dérivées chiffrées.
  - Le respect de cette procédure doit être garanti par ses divers témoins, et vérifiable a posteriori, grâce à… leur propre Witness Angel.
• (optionnel) Le terminal est physiquement déconnecté de tout réseau, pour éviter toute fuite de données non chiffrées.
• Les conteneurs sont reconstitués puis déchiffrés par le terminal (en commençant par traiter les fragments de conteneurs qui auraient été sur-chiffrés par le tiers de confiance responsable de leur maintenance).
• Les enregistrements sont mis à l’entière disposition du porteur, qui peut les lire, les tronquer, les analyser avec divers logiciels pré-autorisés
• Le porteur peut décider d’être assisté dans sa tâche de sélection par des avocats, par des experts assermentés, etc.
• Les morceaux d’enregistrement sélectionnés sont écrits sur un support non modifiable a posteriori (ex. DVD finalisé), qui est mis à la disposition de l’autorité judiciaire comme élément de preuve (et donc contrôlé par la loi en ce qui concerne sa diffusion).
• Le terminal est réinitialisé pour s’assurer que toute trace des clés et des données déchiffrées en ait disparu.
• Noter qu’à aucun moment le périphérique portatif Witness Angel lui-même n’est requis pour le déchiffrement ; le porteur doit juste apporter sa clé maître de lecture (secrète).

Procédures d’audit

• Le sources logicielles des différentes implémentations du Witness Angel doivent être disponibles sur des dépôts publics sur Internet, afin que tout expert puisse les auditer et vérifier leur cohérence avec les spécifications.
• Les périphériques portatifs spécifiquement créés pour abriter un Witness Angel doivent pouvoir être ouverts, pour vérifier les différents composants matériels qu’ils contiennent (limitations : exiger que ces composants soient open source semble en revanche trop complexe pour l’instant, et on ne peut pas auditer matériellement les Witness Angels qui sont sous forme d’applications pour des smartphones/smartwatches existants).
• Tout individu peut se connecter à un périphérique portatif, et vérifier que le logiciel installé a bien une empreinte correspondant à l’une des versions officiellement autorisées sur le marché.

Encadrement Légal Nécessaire

Aspect à retravailler avec des experts en Droit

Il faut étudier les lois et jurisprudences actuelles, qui ont des VIDES JURIDIQUES car elles ne connaissent pas les dispositifs en écriture seule.

Il y aura nécessité d’un encadrement légal du dispositif : DROIT pour un citoyen d’avoir un Witness Angel (même caché) et de l’activer quand il le souhaite, DROIT de l’utiliser dans les procédures judiciaires d’une certaine gravité, DROIT de cesser à tout moment de l’utiliser (et de détruire ses propres données), DROIT de refuser de produire les enregistrements existants (extension du “droit au silence”), DROIT d’auditer tout Witness Angel en circulation, DEVOIR de n’utiliser que des logiciels et matériels auditables et conformes aux principes fondamentaux du Witness Angel… et enfin, sanctions sévères contre quiconque essaye de voler/saboter le Witness Angel d’autrui, ou de détourner le dispositif à des fins illicites.

La loi devra par ailleurs définir certains aspects de l’écosystème du Witness Angel : obligations déclaratives (ou non) pour les porteurs, nombre minimum d’entités à impliquer lors d’un déchiffrement, procédure d’homologation des “tiers de confiance”, liste actualisée des algorithmes cryptographiques considérés comme assez robustes pour être utilisés, longueur minimale des clés, règles supplémentaires à respecter lors d’une procédure de déchiffrement…

L’aspect contractuel vis à vis des constructeurs de dispositifs Witness Angel, ainsi que des stockeurs de données, devra être normalisé, afin que les utilisateurs gardent à tout moment la contrôle de leurs données : prévention du “vendor lock in” (grâce à des procédures de transfert standardisées), garanties fermes sur la pérennité des données, empêchement des pratiques tarifaires déloyales…

Il sera possible que la loi permette des procédures de déchiffrement plus souples (ex. nécessité de 2 clés de lecture seulement, le porteur et l’État), pour certains cas d’usage précis où l’accès aux données est presque systématiquement nécessaire (par exemple pour remplacer les caméras-piétons des policiers dans le cadre de manifestations et émeutes). De même, une procédure accélérée pourrait être prévue pour des enregistrements en zone publique (ex. pour des manifestants qui craignent des violences policières), avec le droit de diffuser l’enregistrement pour alerter l’opinion publique de ce qui se passe ; mais dans ce cas, le Witness Angel devra être clairement visible, signaler son mode de fonctionnement spécial, et des mesures seront à prendre pour éviter les (si nombreuses actuellement) tentatives de manipulation. Ces procédures spécifiques restent cependant sujet à de complexes débats, elles ne doivent donc pas occuper les esprits tant que le fonctionnement par défaut du Witness Angel, ultra-sécurisé et respectueux du “droit à l’image”, n’est pas entré dans le droit.

Noter que dans son principe même, le Witness Angel requiert que l’on ne puisse pas s’opposer à être enregistré par le Witness Angel de quelqu’un d’autre. La grande robustesse du dispositif devra donc être comprise et acceptée par l’ensemble de la société.