revue

Numéro 60 - Semaine du 30 mai au 5 juin 2011

Le filtrage est de nouveau d’actualité cette semaine, et il n’y a rien d’étonnant à cela : c’est, dans tous les pays, la réponse qui semble la plus évidente lorsqu’il s’agit de contrôler les contenus diffusés sur Internet depuis l’étranger. Le filtrage est donc, en vertu du principe de neutralité technologique, une série de technologies qui ne sont intrinsèquement ni bonnes ni mauvaises, mais qui peuvent le devenir selon l’usage que l’on en fait.

Le filtrage est un moyen de censure politique. Il fut par exemple utilisé en Égypte par l’ancien président Moubarack au moment de la révolution. Le tribunal du Caire a condamné l’ancien chef d’État, cette semaine, pour avoir causé un préjudice à l’économie du pays en “coupant” Internet dans les principales villes du pays. La condamnation est hautement symbolique et constitue un message adressé aux dirigeants d’autres pays, comme la Syrie, dont les dirigeants songent à censurer Internet pour empêcher la diffusion d’idées qui leur sont hostiles.

Le filtrage peut aussi être utilisé pour arrêter les contenus illicites avant qu’ils atteignent le public local. Tel est le cas du filtrage prévu par la loi française dans le cadre de la réglementation des jeux d’argent et de hasard en ligne. Un rapport parlementaire vient d’être publié sur le sujet. Le rapport regrette que les décisions de blocage (jugements en la forme de référé, rendue sur demande de l’autorité administrative ARJEL) ne soient pas publiées dans la presse, que le filtrage soit largement inefficace s’agissant d’empêcher l’accès aux internautes déterminés à jouer sur des sites étrangers (comme en témoigne l’exemple de 5dimes.com, peu convaincant en pratique) mais qu’il a un effet dissuasif, que le décret sur l’indemnisation des intermédiaires qui doivent mettre en place les mesures de filtrage ne soit toujours pas publié.

Le filtrage peut aussi être légitime dans son but, mais aboutir à un résultat totalement disproportionné. Par exemple, il est légitime pour un pays de bloquer les contenus “obscènes” selon la loi locale. En revanche, il est excessif de bloquer un site dans sa totalité, comme l’a fait cette semaine la Turquie, sous prétexte que certains des contenus qu’il diffuse sont obscènes.

Le filtrage peut encore être légitime par son but, mais mis en oeuvre sans certaines garanties nécessaires afin d’éviter les abus. Si l’on considère ainsi qu’en tant que limite à la liberté d’expression le filtrage ne peut être actionné qu’a posteriori, contre des contenus jugés illicites, et non de manière préventive, l’on en déduira que sa mise en oeuvre doit être fondée sur une décision de justice et non laissée à l’initiative de l’administration. Selon cette position, le filtrage de la LOPPSI n’est pas justifié, mais l’éventuel filtrage à l’initiative de la DGCCRF, qui pourrait saisir le juge de demandes de blocage, le serait.

Selon la même logique, le filtrage préventif des fichiers afin de bloquer les contenus contrefaisants n’est pas légitime. Il est pourtant sérieusement envisagé dans le cadre de la loi HADOPI, afin d’étendre la sanction du téléchargement illicite aux sites de direct download et de streaming (qui devraient croître énormément dans les années à venir, selon Cisco), au besoin en plaçant le filtre dans les “box” ADSL des internautes.

L’information la plus importante de la semaine, dans notre domaine, est probablement la publication d’un rapport de l’ONU qui condamne à la fois les mesures de filtrage lorsqu’elles ont pour but la censure, et la coupure d’accès à Internet qui constitue, en France, la sanction du téléchargement illicite dans le cadre du système Hadopi. Le rapporteur demande aux États “d’abroger ou de modifier les lois de propriété intellectuelle actuelles qui permettent que des utilisateurs soient déconnectés de l’accès à Internet, et de s’abstenir d’adopter de telles lois”. Une telle mesure est en effet une limitation de la liberté d’expression (article 19 du Pacte international relatif aux droits civiques et politiques) qui apparaît au rapporteur disproportionnée avec l’objectif de protection du droit de propriété. Par ailleurs, le rapporteur dénonce les “mécanismes de blocage et de filtrage de plus en plus sophistiqués utilisés par les États pour la censure”. Ces mécanismes, comme nous l’avons dit plus haut, sont souvent opaques, et le filtrage n’est légitime, selon le rapporteur, que lorsqu’il est effectué dans la transparence. Le rapporteur “invite les États qui bloquent actuellement des sites web à fournir les listes des sites bloqués et les détails complets concernant la nécessité et la justification de tels blocages ou filtrages pour chacun des différents sites”. Enfin, le rapporteur dénonce la tendance actuelle(en) à confier aux intermédiaires techniques une mission de police sanctionnée pénalement.

dimanche 5 juin 2011 • 776 mots • Thème(s) : Internet, téléchargement, P2P, propriété intellectuelle, international, filtrage, Hadopi, LOPPSI, censure, liberté d'expression, économie, Égypte, FAI, intermédiaires
revue

Numéro 59 - Semaine du 23 au 29 mai 2011

La revue de cette semaine sera centrée sur l’eG8, le forum international (24-25 mai) en marge du G8 consacré à la régulation d’Internet.

Qu’est-ce que l’eG8 ? L’eG8 est un forum international dédié à Internet, c’est-à-dire une réunion de différentes personnes venant du monde entier, compétentes dans le domaine d’Internet et des nouvelles technologies. Le but d’un tel forum est de discuter des grands problèmes relatifs à la régulation d’Internet, en prenant en compte différents points de vue (politique, économique, social, juridique, etc.).

Qui était présent à l’eG8 ? Étaient présents les représentants de grandes entreprises comme Facebook ou Google, les représentants d’ayants droit, le pouvoir exécutif (président de la République et ministres), des personnes renommées dans le monde d’Internet comme John Perry Barlow, des représentants d’associations de défense des internautes (EFF, La Quadrature, etc.).

Problématique, louanges et critiques. On ne peut que louer, a priori, l’initiative française d’organiser un sommet international dédié à Internet. En effet, d’un côté le réseau est mondial et les grands opérateurs fournissant leurs services dans une multitude de pays et, de l’autre côté, la plupart des législations et des réglementations applicables dans le monde virtuel demeurent de source et de portée nationales. Discuter afin de comprendre ce qui se fait ailleurs et d’adapter en fonction de cela ses propres initiatives est donc une bonne chose. Cela étant dit, un tel sommet soulève aussi des craintes. Pourquoi, en effet, se réunir si ce n’est pour trouver des solutions communes ou coordonnées aux problèmes qui se posent ? La crainte majeure des associations de défense des droits des internautes est donc que l’eG8 tourne au complot, en quelque sorte, entre les dirigeants politiques et les grandes entreprises, afin d’imposer la surveillance des internautes et le contrôle des contenus du réseau.

La Quadrature du Net qualifie l’eG8 “d’écran de fumée derrière lequel se cache une inquiétante alliance de gouvernements cherchant à contrôler Internet et de quelques entreprises qui tirent profit des restrictions aux libertés en ligne”. Il est vrai que certains faits peuvent le laisser penser. D’abord, il y a une certaine forme de rhétorique employée de manière récurrente par le pouvoir exécutif français : l’on parle de “civiliser” Internet (ce que l’on peut comprendre comme un synonyme de “coloniser”, en imposant certaines valeurs occidentales), car le réseau peut véhiculer “le mal” (concept moral totalement ajuridique). Ensuite, il y a les dernières lois françaises, notamment Hadopi et Loppsi, qui vont clairement dans le sens de la prévention et de la répression, c’est-à-dire de la restriction (légitime ou non, ce n’est pas la question à ce stade) des libertés individuelles. Enfin et surtout la crainte que les opérateurs privés participent volontiers à la limitation des droits des internautes, en collaborant avec les gouvernements : l’exemple de l’entreprise américaine Cisco accusée d’avoir favorisé la répression politique en Chine est significatif.

Mais tout n’est pas aussi noir. La rhétorique de la “responsabilisation” remplace celle de la “civilisation”. Il s’agit là d’un concept juridique (et philosophique) très important : lorsqu’on est libre d’agir, il faut ensuite assumer ses actes et en répondre lorsqu’ils causent préjudice à autrui. “Responsabiliser” les opérateurs et les internautes n’est donc pas, a priori, une mauvaise idée. Le problème devient alors politique, puisque si l’on est libre et responsable, l’on doit faire des choix. L’exemple topique est celui de la transparence. D’un côté, la transparence la plus totale dans l’expression peut causer préjudice à autrui, en violant notamment le droit à la vie privée et les droits de propriété intellectuelle. D’un autre côté, à trop vouloir protéger ces droits, l’on restreint la liberté d’expression et l’on tombe rapidement dans la censure. Tout est donc une question de dosage.

Mais le bon dosage ne peut être trouvé, s’agissant d’Internet. Quoi que l’on fasse, il y aura trop de restrictions d’un côté ou de l’autre de la balance, selon que l’on adopte l’un ou l’autre des points de vue antagonistes (partisans de la liberté d’expression / partisans de la protection de la vie privée, par exemple). Pour autant, ce n’est pas une raison pour ne rien faire, car de telles divergences ont existé de tout temps, et le droit a dû faire avec elles. L’originalité du problème réside dans la dimension internationale d’Internet qui rend largement inopérantes les initiatives nationales et appelle des solutions internationales. L’exemple de l’affaire DSK, dont nous parlions la semaine dernière, l’illustre parfaitement : le débat vie privée et présomption d’innocence contre liberté d’expression existe depuis fort depuis longtemps, tant en France qu’aux États-Unis, mais la balance ne penche pas du même côté pour les Européens et pour les Américains ; lorsque le litige est interne, il peut tout simplement être tranché selon les valeurs locales ; en revanche, Internet étant mondial, ces réponses nationales entrent forcément en collision les unes avec les autres.

Cela étant dit, il reste permis de critiquer l’organisation de l’eG8, qui révèle certaines priorités de ses organisateurs. La CNIL, par exemple, n’a pas été invitée, contrairement à certaines grandes sociétés dont le modèle économique est fondé sur le traitement des données personnelles des internautes. Ensuite, le débat a été largement centré sur les questions de propriété intellectuelle, la loi française Hadopi étant présenté comme un exemple. Un tel exemple est-il pertinent ? Pour ceux qui l’invoquent, il n’est certainement ; mais d’autres voix se sont fait entendre, comme celle de John Perry Barlow qui milite pour la liberté de circulation de la culture, ou celle du célèbre juriste américain Lawrence Lessig pour qui le système Hadopi n’a pas d’avenir. Enfin et surtout, d’aucuns déplorent la sous-représentation de la société civile (i.e. les organismes de défense des droits des internautes) au sommet, en comparaison avec les gouvernements, les ayants droit et les industriels sur-représentés. Reprenant le slogan de Google, “Do No Harm” (“ne pas nuire”), les représentants de la société civile militent pour un Internet neutre et ouvert, loin de l’Internet fermé, destiné à protéger les intérêts des industriels, qu’ils dénoncent.

Dans ce contexte, la définition du principe de “neutralité du Net” s’annonce comme la prochaine grande bataille du droit des nouvelles technologies…

dimanche 29 mai 2011 • 1037 mots • Thème(s) : Internet, neutralité, données personnelles, libre, international, gouvernement, surveillance, Hadopi, LOPPSI, censure, FAI, régulation, eG8
revue

Numéro 58 - Semaine du 16 au 22 mai 2011

Au sommaire cette semaine : un nouveau scandale touchant la sécurité des données personnelles, la régulation d’Internet au programme du G8 et, comme si l’on n’en avait pas suffisamment parlé dans les médias traditionnels, l’affaire DSK.

Données personnelles

Nous parlions, la semaine dernière, des vols de données personnelles et de l’obligation incombant au responsable du traitement d’assurer la sécurité des données qu’il conserve. Nous en parlons à nouveau cette semaine, avec une nouvelle affaire grave et complexe : l’affaire TMG, du nom de la société française qui surveille les réseaux de partage P2P dans le cadre de la “riposte graduée” du système Hadopi.

Les faits : samedi dernier, plusieurs milliers d’adresses IP et de références de fichiers surveillés sur le réseau P2P BitTorrent ont été divulguées par erreur par la société TMG. Le site Numerama, qui a obtenu une archive des fichiers divulgués, rapporte que la fuite porte sur les données suivantes : les adresses IP des serveurs permettant la publication des fichiers, les adresses IP des clients connectés à ces serveurs, les adresses IP des pairs connectés à ces clients. Toujours selon Numerama, beaucoup d’adresses IP seraient étrangères, mais certaines auraient été attribuées à des internautes français. Par ailleurs, l’archive contient des fichiers anciens, qui remontent jusqu’au mois d’avril 2008, ce qui nous amène à nous interroger, avec Numerama, sur le respect des règles relatives à la durée de conservation des données (rappelons que la directive “data retention” de 2006 fixe un plafond de 2 ans, que l’article L34-1 CPCE et le décret n°2011-219 fixent un délai maximal de rétention de 1 an s’agissant des données de communication).

Première réaction : des moqueries, ou le fait que “l’arroseur arrosé” continue de faire rire. En effet, tout le système Hadopi repose sur une nouvelle incrimination, indépendante du délit de contrefaçon : la “négligence caractérisée” conduisant au “défaut de sécurisation” de l’accès à Internet, celui-ci ayant pu être utilisé afin de partager des fichiers illicites. Voilà donc qu’une société impliquée dans la “riposte graduée”, en collaboration avec l’Hadopi, se trouve à son tour accusée d’avoir fait preuve de négligence dans la sécurisation des données collectées.

Deuxième réaction : on se demande comment la CNIL va réagir, car les enjeux de cette réaction sont importants. Il ne s’agit pas seulement, en effet, de sanctionner la société TMG, en application de la loi “Informatique et Libertés”, si elle se révèle fautive. La collecte et le traitement des données dans le cadre de la “riposte graduée” du système Hadopi est soumise à une autorisation administrative délivrée par la CNIL (et non à une simple déclaration). Par conséquent, si la CNIL retirait son autorisation à TMG, la société nantaise ne pourrait plus collecter des données sur les réseaux de partage, pour les transmettre ensuite à l’Hadopi. Or, et c’est là que l’affaire prend des airs de fiasco, TMG est actuellement la seule société ayant l’autorisation de collecter des données dans le cadre de la riposte graduée. Il en résulte que, si la CNIL retirait son autorisation, tout le système Hadopi s’en trouverait paralysé !

Troisième réaction et première conséquence : l’Hadopi coupe les ponts avec TMG. Du moins provisoirement, par précaution, car un membre de l’Hadopi a avoué que la Haute autorité ignorait “ce qu’il se passe réellement dans les serveurs de TMG”. Concrètement, l’Hadopi ne recevra plus de nouvelles adresses IP relevées par TMG, mais elle poursuivra l’analyse des adresses communiquées jusqu’à présent. La durée de conservation maximale étant fixée par la loi à 1 an, les données antérieures à mai 2010 ne pourront pas être traitées, et les données relevées de mai 2010 à mai 2011 pourront être traitées jusqu’en mai 2012. En revanche, à partir de maintenant et jusqu’à ce que l’Hadopi reçoive de nouvelles données, le système de riposte graduée est paralysé. L’information est relayée à l’étranger(en).

Quatrième réaction : la parole est donnée à la défense, TMG. Selon la société, les données proviendraient d’un serveur de test, et non d’un serveur “de production” utilisé dans le cadre de la riposte graduée. L’argument peine à convaincre, lorsqu’on sait que les fichiers divulgués contiennent des adresses IP récentes attribuées à des internautes français. Dans le même temps, les ayants droit reprennent l’argumentation de TMG, avec une rhétorique plutôt hésitante.

Cinquième réaction et deuxième conséquence : la CNIL s’en mêle. C’est un tweet laconique qui l’indique : la CNIL est à Nantes pour contrôler TMG. Comme nous le disions précédemment, les enjeux de ce contrôle sont importants : si la CNIL rend rapidement un rapport favorable à TMG, la riposte graduée pourra reprendre ; en revanche, si la CNIL retire son autorisation à TMG, c’est tout le système Hadopi qui se retrouvera figé pendant une période indéterminée (et qui pourrait s’avérer longue…).

Sixième réaction et troisième conséquence : des poursuites sont envisagées. Les serveurs de TMG ayant été prétendument “piratés”, un délit d’intrusion dans un système informatique aurait été commis. TMG a donc annoncé avoir déposé une plainte contre les “pirates” puis, peu de temps après, l’avoir retirée. En effet, suivez la logique : si les données sont protégées, il n’y a pas de violation de la loi “Informatique et Libertés” qui impose leur sécurisation, et l’accès à ces données sans autorisation constitue un délit d’intrusion dans un système informatique, passible de poursuites ; en revanche, si les données sont librement accessibles, il n’y a pas de délit d’intrusion, mais il y a violation de l’obligation de sécurisation. En l’occurrence, les données étaient librement accessibles, la plainte était donc vouée à l’échec, et c’est probablement la raison pour laquelle elle fut retirée.

Septième réaction : les suites. Car il y en aura, des suites. Plusieurs questions se posent, notamment sur l’avenir du système Hadopi, sur le fonctionnement de TMG et plus généralement sur la “traque” des internautes sur les réseaux de partage, sur les moyens de sécurisation des données, etc. Nous aurons très certainement l’occasion d’en reparler.

Régulation, libertés et censure

L’autre information importante de la semaine, parfaitement scandaleuse, porte sur la politique française en matière de contrôle d’Internet, et plus particulièrement du “Web social”.

Le prochain sommet du G8, qui se tiendra à Deauville, aura notamment pour thème la régulation d’Internet. Mais quelle sera la position de la France sur cette question ? Il apparaît dans les travaux préparatoires du sommet qu’il y a un gouffre entre la position défendue par l’ancien ministre des Affaires étrangères, Bernard Kouchner, et celle soutenue par l’Élysée.

En parlant “gouffre”, nous ne faisons pas dans l’hyperbole. Voici, en effet, les deux positions, sans caricature aucune : <ul> <li>Pour le ministre des Affaires étrangères : la défense de la liberté d’expression sur le réseau, la lutte contre la censure et le filtrage, au niveau international, la réflexion sur les moyens de garantir que le réseau reste ouvert, neutre et respectueux de la vie privée de chacun.</li> <li>Pour l’Élysée : le contrôle, la surveillance, le filtrage, la censure.</li> </ul> <p>Pourquoi une telle divergence ? La raison est simple : le ministre et le président n’envisagent pas la “régulation” d’Internet pour les mêmes raisons, et ils n’ont pas les mêmes faits en tête.

Le ministre, d’abord, pense à l’importance revêtue par les réseaux sociaux et la communication directe entre les internautes lors des révolutions dans le monde arabo-musulman. Nous en avons déjà parlé ici : les réseaux sociaux ne sont ni la cause ni la conséquence de ces révolutions démocratiques, mais ils ont joué un rôle (très) important en permettant des soulèvements de masse rapides. S’ils ont pu jouer un tel rôle, c’est que leurs infrastructures sont physiquement localisées dans des États démocratiques, hors de portée des régimes dictatoriaux. Pour le ministre, il faut donc montrer l’exemple, et garantir qu’Internet reste libre et ouvert dans nos démocraties occidentales, afin que les internautes subissant la dictature puissent s’exprimer sans subir la répression du pouvoir local. En outre, la censure est contraire au droit français (qui consacre le principe de liberté en matière d’expression) ce qui rend, dans beaucoup de cas, le filtrage illicite. C’est donc aussi pour la protection des droits des internautes français (ou, plus largement, européens) qu’Internet doit rester ouvert et libre.

L’Élysée, au contraire, pense aux droits de propriété intellectuelle et aux intérêts financiers des ayants droit (l’argent, encore l’argent… rien de bien nouveau là-dedans). La dialectique et la rhétorique qui l’accompagne sont connues : le “piratage” est un “fléau”, il faut le “prévenir” et le “réprimer”, en “surveillant” les internautes (cf. Hadopi) afin de les dissuader, et en “contrôlant” les contenus échangés afin de les “filtrer” et de “bloquer” les fichiers illicites.

Les grands opérateurs d’Internet semblent préférer la position du ministre (ce qui est, en un sens, bien compréhensible, puisqu’elle favorise leurs activités). Google, par exemple, soutient cette semaine, par la voix d’Eric Schmidt (président du Conseil d’Administration)(en), que le filtrage d’Internet rapproche nos démocraties occidentales de la Chine, s’agissant du contrôle de l’expression. La société américaine s’oppose à l’usage de moyens disproportionnés, nuisibles à la liberté d’expression (et, au passage, au droit à la vie privée et à la protection des données), dans le cadre de la prévention et de la répression de la contrefaçon en ligne.

La Commission Européenne refuse pour l’instant d’instaurer un filtrage généralisé d’Internet au niveau européen. Mais dans le même temps, le filtrage arrive en Autriche, par une décision de justice ordonnant le blocage d’un site de streaming. Et la censure d’Internet continue de progresser dans le monde(en)

Digressions et participation à l’emballement médiatique

L’affaire judiciaire qui accapare actuellement l’attention des médias français est l’affaire DSK. Elle ne concerne pas directement l’actualité des nouvelles technologies ; aussi, ce qui suit est légèrement hors sujet. Nous avons toutefois décidé de faire deux remarques qui nous semblent pertinentes dans le cadre du thème de cette revue.

La première remarque concerne à la fois la diffusion des images de DSK menotté et la publication du nom de la victime alléguée dans la presse française. Ces deux informations sont perçues de manière différente selon le côté de l’Atlantique où l’on se place. Aux États-Unis, les victimes alléguées sont très protégées, et il est inconcevable pour la presse de publier leur nom dès le début d’une affaire telle que celle qui nous occupe ; en France, au contraire, si l’accusé est connu, il semble normal que l’accusatrice le soit aussi. Aux États-Unis, il est normal de montrer un suspect menotté, le présentant comme un coupable avéré plutôt que potentiel, alors qu’en France la diffusion d’un tel message est contraire à la présomption d’innocence et ouvre droit à réparation (article 9-1 Code civil).

Cela étant dit, voici où nous voulons en venir : si les deux informations ont été diffusées à la fois aux États-Unis et en France, c’est principalement grâce à Internet. Or, s’agissant de telles informations, en l’état actuel du droit et de la technologie, aucune mesure de filtrage ou de blocage ne peut empêcher leur diffusion. Quoi que l’on fasse, l’information parviendra au public visé ou la recherchant. Cela montre deux choses : d’abord qu’il est illusoire de vouloir contrôler à tout prix l’information, et surtout des informations de cette nature ; ensuite, qu’un Internet “civilisé”, contrairement à ce que dit M. Sarkozy, n’est pas un Internet “contrôlé”, filtré et censuré, mais un Internet libre et ouvert, fondé sur le respect de l’autre et de ses idées, sur lequel l’on navigue en gardant à l’esprit qu’il s’agit d’un “monde” virtuel et que tout le monde ne partage pas les mêmes valeurs.

La deuxième remarque porte justement sur ces valeurs, de liberté d’expression et de présomption d’innocence, que les français et les américains ont en commun, mais qu’ils ne conçoivent pas de la même manière. En France, l’expression est libre, mais les abus de cette liberté sont sanctionnés. Or, porter atteinte à la présomption d’innocence d’autrui constitue un abus de la liberté d’expression passible de sanctions. En d’autres termes, selon le droit français, la présomption d’innocence est à mettre en balance avec la liberté d’expression, elle intervient dans le domaine médiatique et peut fonder la censure d’une information. Aux États-Unis, tout raisonnement relatif à la diffusion d’une information a pour fondement le premier amendement à la Constitution fédérale. La liberté d’expression est un droit presque absolu : il est naturellement limité lorsque les propos tenus sont faux (diffamation), mais, d’une part, les “personnages publics” tels que DSK n’ont que peu de chances d’obtenir réparation en cas de diffamation (les conditions posées par la jurisprudence sont très restrictives – cf. New York Times v. Sullivan, 376 U.S. 254 (S. Ct. 1964) et, d’autre part, il ne s’agit pas en l’espèce de diffamation, mais de la représentation d’un fait brut et indiscutable, l’accusé sortant menotté du commissariat (le fondement d’une éventuelle action, si DSK était innocenté, pourrait alors être le délit de false light – cf. W. Prosser, Privacy, 48 California Law Review 383 (1960)(PDF) et le Restatement (Second) or Torts §652E). La présomption d’innocence n’intervient donc pas à ce niveau, en droit américain. Elle intervient en revanche dans la procédure juridictionnelle qui doit, à tout moment, respecter les droits de la défense de l’accusé (ce que l’on appelle la clause due process de la Constitution). Dernière précision pour éclairer la position américaine : la victime alléguée sera bientôt interrogée par la défense, et son exposition médiatique sera sans doute égale à celle dont pâtit actuellement DSK.

dimanche 22 mai 2011 • 2262 mots • Thème(s) : Internet, P2P, propriété intellectuelle, Google, vie privée, données personnelles, libre, international, filtrage, réseaux sociaux, piratage, Hadopi, censure, USA, liberté d'expression, régulation
revue

Numéro 57 - Semaine du 9 au 15 mai 2011

L’actualité du droit des nouvelles technologies est dominée, cette semaine, par plusieurs affaires relatives à la protection des données personnelles.

Protection des données personnelles

D’abord, un rebondissement dans une affaire ancienne : les serveurs de Sony, stockant les données personnelles des utilisateurs de PlayStation et des services en ligne de l’opérateur japonais, ont été “piratés” et les malfaiteurs ont dérobé les données de plusieurs millions d’internautes. Sony a réagi de plusieurs manières : la société “chasse” les données volées sur le Web, pour les retirer lorsqu’elles sont publiées, offre une récompense à toute personne en mesure de lui apporter des éléments concernant l’acte de “piratage”, et retarde le rétablissement de ses services jusqu’à ce qu’ils soient mieux sécurisés. Rappelons à ce titre que, selon le droit européen, le responsable du traitement des données personnelles d’autrui a l’obligation d’assurer la sécurité de ces données. Bien entendu, aucun système de protection informatique n’est en mesure d’assurer une sécurité parfaite ; l’obligation de sécurisation des données signifie donc que le responsable du traitement doit mettre en oeuvre tous les moyens nécessaires afin d’assurer la sécurité des données, et qu’il est juridiquement responsable en cas de fuite.

De son côté, le réseau de hackers Anonymous… a été hacké. Des centaines d’adresses IP ont été publiées, donnant ainsi aux autorités la possibilité d’identifier dans le monde réel des membres du groupe Anonymous. Qui est derrière cette opération ? À qui profite-t-elle ? Quelles en seront les conséquences ? Le réseau s’en remettra-t-il ?

Une autre polémique relative aux données personnelles touche Google et Facebook. On sait que les deux sociétés américaines s’affrontent pour la domination du Web social (mais se rejoignent volontiers lorsque leurs intérêts concordent), Facebook devenant petit à petit un “portail” vers d’autres contenus qui éloignerait les internautes du moteur de recherche de Google. Or, l’on a appris cette semaine que Facebook a financé une campagne de publicité contre Google. Cette campagne invitait à s’intéresser à la manière dont le service Google Circles révélait aux internautes des données relatives aux “amis de leurs amis”. Pas de chance pour Facebook, le service de Google semble être conforme à la loi américaine.

Et c’est l’arroseur arrosé : Facebook se retrouve à son tour au centre d’un scandale relatif à la sécurisation des données de ses utilisateurs. Une faille de sécurité découverte par Symantec (l’éditeur de l’antivirus Norton) aurait permis à des applications tierces, par le truchement des applications publicitaires intégrées à Facebook, d’accéder aux profils des membres du réseau social. Facebook a corrigé la faille et conseille à ses membres de changer leur mot de passe. Toute la question, dans cette affaire, est celle de savoir si la faille a été effectivement exploitée pour obtenir frauduleusement des données personnelles. Le Congrès américain s’intéresse au problème et demande des explications à Facebook.

En France, la CNIL constate la baisse du niveau de protection des données personnelles par les moteurs de recherche, en réagissant à la décision de Yahoo! (dont nous avions parlé) d’augmenter la durée de la rétention des données personnelles des internautes.

De son côté, le groupe européen en charge des questions relatives à la protection des données personnelles (le “G29”, créé par l’article 29 de la directive 1995/46), réagit à la polémique suscitée par la gestion des données de géolocalisation dans les terminaux mobiles Apple (dont nous avions également parlé, à plusieurs reprises). Le G29 devrait ainsi, dans un prochain avis, qualifier les données de géolocalisation de données personnelles, et préciser les conditions dans lesquelles leur collecte, leur traitement et leur stockage sont conformes au droit européen. Affaire à suivre.

Propriété intellectuelle

Changeons de sujet, et parlons un peu de propriété intellectuelle. Le système de la riposte graduée, que nous connaissons en droit français avec la loi Hadopi, vient d’être rejeté par le législateur belge. La question qui se pose désormais est donc celle de savoir quelle sera la réponse belge au phénomène du téléchargement illicite : filtrage ou licence globale ?

En France, selon une statistique récente, 50% des internautes avertis par l’Hadopi auraient cessé de télécharger des fichiers contrefaisants. D’un autre côté, sous pression constante des ayants droit, l’Hadopi envisage le filtrage des sites de streaming. Reste à savoir quelle sera la position des autorités européennes sur cette question, le filtrage n’étant possible que dans le cadre juridique défini par la directive “commerce électronique” de 2000.

Aux États-Unis, la répression bête et méchante continue, avec l’assignation de plusieurs FAI dans le but d’obtenir l’identité de plus de 23 000 internautes suspectés d’avoir téléchargé de manière illicite le film “The Expendables”.

dimanche 15 mai 2011 • 783 mots • Thème(s) : téléchargement, P2P, propriété intellectuelle, Google, Apple, Facebook, filtrage, piratage, sécurité, Hadopi, FAI, Anonymous
revue

Numéro 56 - Semaine du 2 au 8 mai 2011

Propriété intellectuelle – Hadopi

Le feuilleton Hadopi continue. Après les deux premières phases de la riposte graduée, c’est la troisième phase (la dernière) qui se met progressivement en place. Et cela ne va pas sans soulever certains problèmes. Le problème dont on a parlé cette semaine est celui du maintien de la possibilité d’échanger des e-mails lorsque l’accès à Internet est suspendu.

D’où vient ce problème ? La loi parle de suspendre les services de communication au public en ligne, ce qui ne concerne pas les services de messagerie, qui relèvent de la correspondance privée des internautes. En outre, la riposte graduée à pour but d’empêcher le partage illicite d’oeuvres soumises au droit d’auteur, qui ne se fait pas par e-mail.

Pourquoi ne pas tout couper ? Il y aurait discrimination entre les internautes. Soient deux internautes, le premier utilise le service de messagerie de son fournisseur d’accès (FAI) (dupont@orange.fr, martin@free.fr, etc.) ; le second utilise un service tiers (dupont@gmail.com, martin@hotmail.fr, etc.). Si le FAI annule les deux abonnements, le premier internaute perdra l’accès à son compte de messagerie, tandis que le second pourra toujours accéder à son compte, depuis la connexion d’un tiers.

Comment faire ? Il existe deux possibilités, l’une est acceptable et l’autre non. La première possibilité est de couper l’accès à Internet, ce qui interdit à l’internaute de consulter son courrier, tout en maintenant son compte de messagerie ouvert de manière à ce qu’il puisse relever son courrier depuis un autre point d’accès au réseau. La seconde possibilité est de maintenir l’accès au réseau de l’internaute, tout en discriminant selon la technologie : les connexions au service de courrier électronique seraient acceptées et les connexions à tous les autres services seraient refusées. Cette dernière option doit être rejetée. Elle est en effet contraire au principe de neutralité du Net selon lequel les intermédiaires techniques ne doivent pas opérer de discrimination en fonction des technologies utilisées ou des contenus échangés. Internet est un réseau d’ordinateurs offrant plusieurs types de services ; couper l’accès à Internet, c’est donc couper l’accès à tous ces services sans distinction et, réciproquement, offrir un accès à Internet c’est permettre l’accès à tous ces services sans distinction. En outre, le coût de la seconde mesure est beaucoup plus élevé que celui de la première, ce qui ne fait que rajouter au problème du financement de la riposte graduée.

Encore un grain de sable dans le mécanisme Hadopi, déjà bien mal huilé. Un spécialiste du réseau eDonkey a élaboré un logiciel réalisant des statistiques d’activité des clients (le même logiciel permet aussi de repérer le censeur chinois). Grâce à ces statistiques, il est très facile de distinguer les internautes “normaux” des ordinateurs des ayants droit qui espionnent les utilisateurs : ces derniers lancent des requêtes périodiques (en l’occurrence, toutes les 2 minutes). Une fois le “bot” (robot, ou logiciel, par opposition à utilisateur humain) repéré, il suffit de dresser la liste de ses requêtes pour savoir quels fichiers sont surveillés.

L’Hadopi envisage de s’attaquer aux sites de téléchargement direct, mais cela ne sera pas une mince affaire. En vrac : le régime de responsabilité des intermédiaires protège ces sites, souvent qualifiés d’hébergeurs ; les internautes peuvent utiliser un service de proxy VPN pour y accéder, et masquer ainsi leur adresse IP réelle ; même s’ils ne la masquent pas, l’adresse IP n’est accessible que si le site de téléchargement veut bien la révéler, ce qui est plus qu’incertain pour les sites hébergés en dehors de l’UE (et non soumis à la directive “data retention” de 2006) ; reste la solution du filtrage, mais il devrait reposer sur une analyse DPI, car tous les contenus hébergés par les sites de téléchargement ne sont pas illicites (et un tel filtrage violerait vraisemblablement le droit à la vie privée des internautes).

Filtrage

Poursuivons sur la question du filtrage. Aux États-Unis, la sécurité nationale est l’un des fondements du filtrage. Le gouvernement américain a ainsi demandé à la Fondation Mozilla de retirer un add-on pour Firefox qui permet de contourner le blocage de certains sites en redirigeant l’internaute vers un site miroir. La Fondation Mozilla a refusé de retirer l’add-on, expliquant qu’elle se conformait aux décisions de justice, mais ne cédait pas aux pressions politiques.

En France, le TGI de Paris a ordonné le blocage du site de paris en ligne 5dimes.com [décision, format PDF], sur la demande de l’ARJEL. Nous avions parlé de cette affaire dans un précédent numéro (54). Le site est costaricain, rédigé en anglais, et il ne vise pas particulièrement le public français. Il accepte toutefois les paiements en Euro. Mais peu importe : ce qui compte, pour le juge, c’est l’accessibilité du site en France. Le raisonnement est contestable…

Neutralité du Net

Une pratique très inquiétante s’instaure aux États-Unis : le fournisseur d’accès AT&T a décidé de facturer les dépassements de bande passante. Autrement dit, l’accès à Internet n’est plus illimité : il comprend un certain volume de données (150 ou 250 Go par mois) et, en cas de dépassement de ce volume, il y a facturation de chaque tranche de 50 Go au prix (exorbitant) de 10 dollars. Décryptons : les internautes qui téléchargement plus de 250 Go par mois sont présumés être des “pirates” partageant des fichiers contrefaisants ; faire payer au volume est donc un moyen de dissuader le partage de musique ou de films (tant mieux : on téléchargera des ebooks plutôt que le dernier blockbuster hollywoodien, et cela ne fera pas de mal au niveau intellectuel général).

Si Internet est devenu ce qu’il est, un moyen de communication populaire et démocratique, c’est en grande partie grâce aux abonnements ADSL, permettant une connexion illimitée dans le temps et en volume, qui ont remplacé les premiers forfaits des connexions analogiques (par Modem) prévoyant une facturation à la minute. Le haut débit de l’ADSL a aussi permis la mutation du Web d’un espace composé de texte en un espace contenant images, sons et vidéos.

Facturer à nouveau le temps passé sur Internet ou le volume de données transmises, c’est revenir 10 ans en arrière.

dimanche 8 mai 2011 • 1028 mots • Thème(s) : Internet, neutralité, téléchargement, responsabilité, vie privée, gouvernement, discrimination, filtrage, DPI, surveillance, Hadopi, droit d'auteur, Orange, bande passante, FAI, intermédiaires
revue

Numéro 55 - Semaine du 25 avril au 1er mai

Cette semaine fut relativement pauvre en actualités liées au droit des nouvelles technologies. L’article sera donc plutôt court, et reviendra sur des l’évolution de sujets abordés dans les numéros précédents.

Données personnelles

Nous parlions, la semaine dernière, des données de géolocalisation de l’iPhone, accessibles dans la sauvegarde en clair sur l’ordinateur avec lequel l’appareil est synchronisé. La première réaction vient de Steve Jobs, le patron d’Apple : l’iPhone stocke certes des données de localisation, mais celles-ci sont anonymisées et elles ne sont pas envoyées à Apple (en revanche, elles peuvent être utilisées par des logiciels pour offrir, par exemple, de la publicité ciblée). La seconde réaction d’Apple fut plus officielle, et prise la forme d’une FAQ : Apple ne “traque” pas les utilisateurs d’iPhone ; le problème vient surtout du fait qu’Apple a manqué de transparence dans cette affaire, et n’a pas suffisamment expliqué comment ces données étaient utilisées ; ce n’est d’ailleurs pas la position du téléphone qui est enregistrée, mais celle des relais GPS et hotspots Wifi à proximité ; les données sont transmises à Apple de manière chiffrée et sécurisée ; enfin, il y a des bugs dans le système (par exemple le fait que l’iPhone continue de stocker les données lorsque le GPS est désactivé), qui seront prochainement corrigés.

Il ne s’agit là que d’Apple. Il semblerait que les téléphones sous Android (Google) stockent également des données de localisation. Le problème est d’autant plus grave que le nombre d’utilisateurs de terminaux mobiles ne cesse d’augmenter, notamment dans des pays peu démocratiques comme la Chine. Aussi, une class action a été initiée aux USA (Floride) contre Apple, et des enquêtes ont été ouvertes dans d’autres pays. Selon la CNIL, le stockage des données sur le terminal est moins problématique que leur envoi éventuel à des tiers, suite à un consentement trop souvent hésitant de l’utilisateur.

Par ailleurs, un nouveau scandale touche Sony et sa console de jeux, la PlayStation. Un hacker mal intentionné se serait introduit dans les serveurs de Sony et aurait obtenu l’accès à la base de données de 77 millions utilisateurs. En France, la CNIL a annoncé qu’elle lancerait prochainement une enquête sur cette affaire. Rappelons au passage qu’il incombe au responsable du traitement de données personnelles, en vertu du droit communautaire et du droit français, d’assurer la sécurité de ces dernières –ce que Sony a échoué, en l’espèce, à faire.

Signalons, pour conclure sur le thème de la protection des données personnelles, que le décret sur la rétention des données de connexion, dont nous avons déjà parlé, à plusieurs reprises, vient de subir une nouvelle attaque, sous la forme d’un recours en annulation déposé devant le Conseil d’État par l’association Internet Sans Frontières.

Commerce électronique

L’on a appris cette semaine que des contrôles réalisés par la DGCCRF avaient révélé que près de 40% des sites contrôlés ne respectaient pas les règles relatives au commerce électronique. Une fois de plus, le problème n’est pas la règle de droit, mais son application (ou plutôt, le fait qu’elle ne soit pas appliquée).

Responsabilité des intermédiaires

Un jugement important a été rendu. Nous avions parlé, il y a quelques semaines, d’un jugement imposant à un opérateur qualifié d’hébergeur de contrôler la remise en ligne de fichiers contrefaisants précédemment retirés. Nous critiquions cette décision, en soutenant qu’elle revenait à imposer à un intermédiaire technique une obligation générale de surveillance des contenus. Dans le jugement présenté cette semaine, les demandeurs ont été déboutés, au motif qu’ils n’avaient pas utilisé le système d’identification du contenu mis à disposition par YouTube pour empêcher la remise en ligne de fichiers contrefaisants. Cette décision fait donc un pas dans la bonne direction : YouTube n’est pas condamnée. Mais, pour autant, cela n’est pas suffisant, et cela pourrait même être contre-productif. En effet, la décision laisse penser que si les demandeurs avaient utilisé le système de contrôle de contenu de YouTube, celle-ci aurait eu l’obligation d’empêcher la remise en ligne des fichiers. Or, ce n’est pas parce qu’un opérateur met un outil de contrôle du contenu à disposition des ayants droit qu’une obligation de contrôler le contenu est mise à sa charge. Une telle obligation est explicitement exclue par le droit communautaire pour les intermédiaires techniques. Si l’on veut se fonder sur une telle obligation, il faut donc modifier la qualification de l’opérateur, et retenir qu’il est éditeur plutôt qu’hébergeur. Mais il est clair, désormais, que la jurisprudence ne s’oriente pas dans cette direction.

Propriété intellectuelle

Campagne pour les élections présidentielles de 2012 oblige, Nicolas Sarkozy a remis en cause la loi Hadopi. Verra-t-on bientôt une “hadopi 4” marquant la fin de la riposte graduée ? Affaire à suivre (sans trop d’illusions, toutefois).

Régulation

Après un Internet “civilisé”, c’est d’un Internet “sain” dont on parle. La rhétorique est plutôt fascisante… pourquoi ne pas parler, tout simplement, d’un Internet “licite” ?

dimanche 1 mai 2011 • 823 mots • Thème(s) : Internet, propriété intellectuelle, commerce électronique, responsabilité, données personnelles, Apple, sécurité, USA, intermédiaires, régulation
revue

Numéro 54 - Semaine du 18 au 24 avril 2011

Rien de vraiment nouveau, cette semaine, dans l’actualité des nouvelles technologies. C’est l’occasion de revenir sur certains sujets déjà abordés dans le passé et d’en constater l’évolution.

Filtrage

Le filtrage, thème récurrent dans cette revue d’actualité, a un peu progressé aux États-Unis et en France. On le sait, les deux pays filtrent les sites de jeux en ligne, principalement de poker, lorsqu’ils permettent aux joueurs locaux de participer à des parties, sans être se mettre en conformité avec la loi locale. Les autorités américaines ont adopté une approche très offensive en recherchant le déréférencement des noms de domaine, tandis que la loi française, elle, permet leur filtrage.

L’Autorité de Régulation des Jeux en Ligne (ARJEL) a émis, cette semaine, trois nouvelles demandes de filtrage de sites permettant la participation des joueurs français. L’un de ces trois sites est hébergé en France, ce qui rend son retrait plus facile que son filtrage. Mais le site et son hébergeur résistent, et ce sera au juge de trancher le litige. Affaire à suivre.

Le thème du filtrage revient aussi à propos de la protection des droits de propriété intellectuelle, et plus précisément dans le système Hadopi. La haute autorité a publié mercredi un nouveau projet de spécifications techniques des moyens de sécurisation de l’accès à Internet (rappelons au passage que, dans le système Hadopi, ce n’est pas le téléchargement ou la contrefaçon qui sont sanctionnés, mais le défaut de sécurisation de l’accès à Internet qui rend la contrefaçon possible). Ce projet propose de placer un logiciel de surveillance et de filtrage au sein des “box” ADSL. On ne reviendra pas sur l’atteinte à la vie privée des internautes, qui est évidente.

En Italie, une décision de justice a ordonné le filtrage du site BTJunkie par les FAI locaux. Cela confirme que la tendance au filtrage s’étend de plus en plus dans le monde, y compris dans les démocraties occidentales.

Données personnelles

Google Street View ne cesse de faire polémique. Nous en avons déjà parlé à plusieurs reprises et nous y revenons, cette semaine. Google risque une forte amende aux Pays-Bas, et la justice belge a été saisie par l’homologue belge de la CNIL.

Le géant américain Yahoo a, quant à lui, décidé de conserver les données de connexion des internautes pendant 18 mois. La société avait, il y a quelques années, décidé de ne conserver les données que pendant 3 mois, afin de préserver la vie privée des internautes. Elle justifie le passage à une durée de rétention de 18 mois par des raisons tenant à l’amélioration de son moteur de recherche. Une durée plus longue de rétention des données permettrait à Yahoo d’innover (on comprend donc : les données ne sont pas seulement conservées, elles subissent aussi un traitement) et de se maintenir au niveau de la concurrence. Yahoo risque un conflit avec les autorités européennes de protection des données, celles-ci ayant recommandé une durée maximale de rétention de 6 mois. Précisons toutefois que le droit européen (la directive “data retention” de 2006) permet aux États membres de définir une durée légale de conservation des données comprise entre 6 mois et 2 ans ; Yahoo pourrait donc violer la loi de certains États membres tout en se conformant à la loi d’autres pays européens. Là aussi, c’est une affaire à suivre.

Apple se retrouve également, cette semaine, au centre d’une polémique liée au respect de la vie privée de ses clients. Les terminaux mobiles Apple dotés d’un GPS (iPhone, iPad) stockent dans un fichier non chiffré l’historique de localisation. On en a beaucoup entendu parler dans la presse, et beaucoup d’erreurs ont été commises. Alors, rétablissons la vérité. D’abord, les données ne sont pas directement accessibles depuis l’appareil. Y accéder depuis l’appareil n’est pas aisé, ce n’est pas à la portée du premier venu. Ensuite, les données sont accessibles sur l’ordinateur avec lequel l’appareil est synchronisé, sous deux conditions : 1) il doit y avoir, sur cet ordinateur, une sauvegarde du système de l’appareil (iTunes la réalise automatiquement, mais il est possible de la supprimer manuellement) ; 2) cette sauvegarde ne doit pas être chiffrée (iTunes permet, en cochant une simple case, de chiffrer la sauvegarde). Enfin, il s’agit d’un historique lié au système d’exploitation de l’appareil ; il suffit donc, pour le supprimer, de réinitialiser l’appareil (sans restaurer la sauvegarde locale, bien entendu). Cela étant dit, les données peuvent être exploitées en installant un petit logiciel qui se charge de récupérer le fichier d’historique et d’afficher les coordonnées stockées dans ce fichier sur une carte. Notons bien –c’est important– que ces données-là ne sont pas conservées ou traitées par Apple : elles sont simplement stockées sur l’appareil et dans la sauvegarde locale. Le meilleur moyen de prévenir les abus est donc de chiffrer la sauvegarde.

dimanche 24 avril 2011 • 811 mots • Thème(s) : téléchargement, propriété intellectuelle, Google, vie privée, données personnelles, Apple, jeux en ligne, surveillance, Hadopi
revue

Numéro 53 - Semaine du 11 au 17 avril 2011

Au sommaire, cette semaine, la question du filtrage d’Internet en Europe et la protection des données personnelles aux États-Unis.

Filtrage (affaire Scarlet c. Sabam)

Le fait marquant dans l’actualité du droit des nouvelles technologies est, cette semaine, la publication des conclusions de l’Avocat général près la Cour de Justice de l’Union Européenne (CJUE) dans l’affaire Scarlet c. Sabam.

Les faits sont assez classiques : la Sabam, société belge d’ayants droit, assigne le fournisseur d’accès (FAI) Scarlet devant le juge belge, et demande à ce dernier d’ordonner des mesures de filtrage d’Internet afin de bloquer les contenus contrefaisants échangés sur les réseaux de partage de pair-à-pair. Le juge belge saisit alors la CJUE afin de déterminer la conformité de ces mesures au droit communautaire, et lui pose la question de savoir s’il peut “ordonner à un FAI de mettre en place, à l’égard de toute sa clientèle, in abstracto et à titre préventif, aux frais exclusifs de ce FAI et sans limitation dans le temps, un système de filtrage de toutes les communications électroniques, tant entrantes que sortantes, transitant par ses services, notamment par l’emploi de logiciels peer to peer”.

Dans ses conclusions, l’Avocat général estime le filtrage contraire au droit communautaire. Voyons son raisonnement :

1) Il faut d’abord distinguer “filtrage” et “blocage”, car “le «système» à mettre en place est double. Il doit garantir, en premier lieu, le filtrage de toutes les communications de données transitant par le réseau de Scarlet, en vue de détecter ou si l’on préfère, d’isoler, celles qui impliquent une atteinte au droit d’auteur. À partir de ce filtrage, le système doit garantir, en second lieu, le blocage des communications qui impliquent effectivement une atteinte au droit d’auteur, que ce soit «au niveau de la requête» ou que ce soit «à l’occasion de l’envoi». Dans la mesure où l’efficacité du système de filtrage est une condition d’efficacité du mécanisme de blocage, ces deux opérations, bien qu’étroitement liées, s’avèrent d’une nature très différente et ont donc des implications différentes” (point 46). Le filtrage, “pour être efficace, [doit] être à la fois systématique, universel et évolutif” (point 48). Les modalités du filtrage doivent être déterminées par les juridictions nationales, mais ces caractères systématique, universel et évolutif ont des incidences en droit communautaire. S’agissant du blocage, ses modalités n’ont pas été fixées par les juridictions belges et “ni son impact concret sur les échanges de données ni son coût économique global, en particulier le coût d’installation et les coûts de maintenance, ne peuvent être déterminés a priori” (point 52).

2) Les mesures de filtrage ou de blocage sont ordonnées au FAI par le juge. L’avocat général constate à ce propos que “la portée très générale du système à déployer fait que les champs d’application ratione personae et ratione materiae de la mesure sollicitée sous forme d’injonction sont eux-mêmes forcément de caractère général, tout comme l’est son champ d’application ratione temporis” (point 53), le filtrage n’étant pas limité dans le temps. Cela revient à mettre à la charge du FAI une “obligation de résultat sous peine d’astreinte”, “à la fois permanente et perpétuelle”, et “les coûts de mise en place du système de filtrage et de blocage” (points 54 et 56). En outre, toutes les communications de tous les clients du FAI doivent être filtrées ; “par voie de conséquence, la mesure sollicitée, présentée comme une simple injonction adressée à un FAI (…) tend, en réalité, à la mise en place permanente et perpétuelle d’un système systématique et universel de filtrage de l’ensemble des communications électroniques” (point 58). Il s’agit là d’une obligation générale de surveillance, contraire à l’article 15 de la directive 2001/31 dite “commerce électronique” (point 66).

3) Une telle mesure de filtrage, reposant sur l’analyse des adresses IP, a notamment des incidences sur le droit de chacun au respect de sa vie privée (et au secret de ses correspondances). Or, à ce propos, l’Avocat général considère “[qu’]une adresse IP peut être qualifiée de donnée à caractère personnel dans la mesure où elle peut permettre l’identification d’une personne, par référence à un numéro d’identification où à tout autre élément qui lui soit propre “. Le droit de la protection des données personnelles est donc applicable en l’espèce. Mais le droit à la protection des données n’est pas absolu : il admet des limitations, notamment lorsqu’il s’agit de protéger les droits des tiers. Or, c’est bien le cas en l’espèce, puisque le filtrage a pour vocation de préserver le droit de propriété des ayants droit. La question qui se pose est donc celle de savoir si l’ingérence dans la vie privée des internautes est nécessaire et proportionnée au but poursuivi. La même analyse peut être menée pour départager le droit de propriété des ayants droit et la liberté d’expression des internautes. L’Avocat général répond par la négative : “dans la perspective des utilisateurs des services de Scarlet et plus largement des internautes, le système de filtrage exigé a vocation, indépendamment des modalités de son fonctionnement concret, à s’appliquer de façon systématique et universelle, permanente et perpétuelle, mais sa mise en place n’est assortie d’aucune garantie spécifique, en ce qui concerne notamment la protection des données personnelles et la confidentialité des communications” (point 106).

La conclusion est claire : le filtrage, tel que présenté ici, est contraire aux libertés publiques (vie privée, liberté d’expression) garanties par le droit communautaire, car il ne respecte pas les principes de nécessité et de proportionnalité. Reste à savoir ce que décidera la Cour, car c’est elle qui aura le dernier mot. Avec d’autres, nous espérons qu’elle suivra les conclusions de l’Avocat général.

Revenons un instant en France, avec la réaction d’un FAI aux conclusions de l’Avocat général : même si la loi permet au juge d’ordonner le filtrage, la mesure doit être, au cas d’espèce, proportionnée à la finalité poursuivie. Il serait donc par exemple excessif d’ordonner aux FAI français de bloquer “par tout moyen” l’accès à un site. Cette réaction est exactement celle que nous avions face au jugement rendu dans l’affaire Stanjames (v. n°17), à propos duquel nous écrivions qu’il “va beaucoup trop loin en ordonnant aux FAI français de mettre en oeuvre “toutes mesures de nature à permettre l’arrêt de l’accès au service en cause, soit toute mesure de filtrage, pouvant être obtenu (…) par blocage du nom de domaine, de l’adresse IP connue, de l’URL, ou par analyse du contenu des messages, mises en oeuvre alternativement ou éventuellement concomitamment, de manière à ce qu’elles soient suivies de l’effet escompté sur le territoire français”. Le juge met à la charge des FAI une obligation de résultat : le contenu doit être bloqué, peu important les moyens employés pour y parvenir. Ce faisant, il laisse la responsabilité aux FAI de prendre des mesures attentatoires à la neutralité du Net et aux droits fondamentaux (respect de la vie privée, liberté d’expression, notamment), comme le filtrage DPI qu’il suggère et qui ne se limite pas, par définition, aux contenus illicites. Si le juge avait ordonné aux FAI de prendre une mesure précise de blocage, sur un nom de domaine, une adresse IP ou un URL déterminés, quitte à rendre une nouvelle ordonnance de référé en cas de contournement de cette mesure, le principe de neutralité aurait moins souffert de sa décision.”.

Filtrage (autres)

En Russie, le gouvernement a désavoué un officier des services secrets qui préconisait le blocage de certains logiciels de communication permettant les échanges chiffrés (Skype, Gmail, Hotmail).

En Allemagne, le projet de loi de filtrage des sites pédopornographiques, lancé en janvier 2009, vient d’être abandonné. Ces contenus seront donc retirés, comme tous les autres contenus illicites, en suivant la procédure classique issue de la directive “commerce électronique” (notification à l’hébergeur, qui engage sa responsabilité s’il ne retire pas le contenu).

Vie privée

Le droit américain protège, comme le droit européen, la vie privée des citoyens (et des internautes). Cependant, le droit européen va plus loin que le droit américain en protégeant également les individus contre les traitements abusifs de leurs données personnelles. En droit américain, les données personnelles que les internautes laissent notamment sur les réseaux sociaux sont des données publiques (ne concernant donc pas la vie privée) qui tombent sous la protection du premier amendement. Dans un contexte de développement à outrance des réseaux sociaux et de surexposition des personnes, cette situation est jugée insatisfaisante par la doctrine majoritaire. Ainsi, régulièrement, le Congrès examine des propositions de loi visant à encadrer la collecte et le traitement des données personnelles des internautes.

Cette semaine, une proposition importante(en) a été déposée conjointement par deux anciens candidats à la présidence, John Kerry (démocrate) et John McCain (républicain). – [version PDF].

Les mesures phare de la proposition de loi sont les suivantes :

  • Obligation pour les personnes qui collectent des données personnelles d'en assurer la sécurité ;
  • Droit du sujet du traitement d'être informé de l'existence de ce dernier, de le faire cesser (opt-out), d'accéder aux données traitées et de les rectifier le cas échéant ;
  • Principe de nécessité : seules les données nécessaires à l'accomplissement de la finalité du traitement peuvent être collectées ; en outre, les données ne peuvent être conservées que tant que cette conservation demeure nécessaire ;
  • Transmission par contrat de ces obligations à tout tiers qui recevrait les données ;
  • Sanction du respect de la loi par la Federal Trade Commission (l'autorité fédérale de régulation de la concurrence et de la consommation) ;

Cette proposition de loi constitue une avancée pour la protection de la vie privée en droit américain (reste à savoir si le Congrès la votera). Elle fait cependant (déjà) l’objet de nombreuses critiques, sur lesquelles nous ne nous étendrons pas. Disons simplement que, d’un côté, certains pensent que les données publiques devraient rester librement accessibles ou que les personnes devraient recevoir un droit de propriété sur leurs données et être libres de les échanger ; alors que, d’un autre côté, les partisans d’une protection plus forte de la vie privée soutiennent que la proposition de loi ne va pas encore assez loin. L’EFF, en particulier, soulève certains défauts de la proposition de loi : elle ne prend pas en compte la proposition Do Not Track de la FTC ; étant une réglementation fédérale, elle empêche les États fédérés d’élaborer des lois plus protectrices des personnes ; elle est trop centrée sur l’utilisation des données au détriment des conditions de leur collecte ; elle ne restreint pas suffisamment l’échange des données avec les tiers, etc.

dimanche 17 avril 2011 • 1758 mots • Thème(s) : Internet, neutralité, commerce électronique, vie privée, données personnelles, gouvernement, filtrage, sécurité, liberté d'expression, FAI, régulation
Internet

Stallman énonce 8 dangers d'Internet pour la démocratie

Dans une conférence (11 avril 2011) à l'Université de Stanford (Californie, USA), le fondateur de la Free Software Foundation, Richard Stallman, a énoncé 8 problèmes relatifs aux nouvelles technologies, et en particulier à Internet, qui représentent selon lui de graves dangers pour la démocratie et les libertés individuelles. Cet article a pour but de présenter et de commenter ces 8 points, dans les grandes lignes, afin que les lecteurs non-anglophones puissent en profiter. Pour les autres, l'intervention de Stallman a été filmée, et le film est disponible à l'adresse suivante : http://cyberlaw.stanford.edu/node/6657. jeudi 14 avril 2011 • 2537 mots • Thème(s) : Internet, Informatique, sécurité, société, software, Juridique, Web, loppsi, serveur, réseaux, liberté, USA, Neutralité du Net, Google, Droit américain, Régulation, NTIC, Logiciels, Système
revue

Numéro 52 - Semaine du 4 au 10 avril 2011

Au sommaire d’un numéro très juridique, cette semaine, la responsabilité des intermédiaires, la protection des données personnelles, la neutralité du Net aux États-Unis et la compétence internationale des tribunaux français dans le contentieux des cyber-délits.

Responsabilité des intermédiaires

Nous parlions la semaine dernière des critiques formulées à l’encontre d’un rapport sénatorial proposant de créer une troisième qualification pour les opérateurs du Web, outre celles d’hébergeur et d’éditeur, et de lui associer certaines obligations de surveillance et de contrôle du contenu. Cette proposition a finalement été abandonnée. Les auteurs du rapport expliquent que la directive “commerce électronique”, qui interdit aux États d’imposer aux intermédiaires techniques locaux une obligation générale de surveillance du réseau, rend difficile la création de cette troisième qualification.

Pour autant, il nous semble que l’idée d’une troisième qualification était intéressante, et qu’il ne faut pas l’abandonner si vite. Le contentieux de la responsabilité des opérateurs du Web 2.0 est en effet marqué, depuis plusieurs années, par une forte insécurité juridique. Celle-ci provient de l’application du principe de neutralité technologique dans la rédaction de la règle de qualification. Grâce à ce principe, la loi est suffisamment générale et abstraite pour être appliquée aux technologies futures ; elle n’est pas dépassée dès sont entrée en vigueur, parce qu’une nouvelle technologie différente a remplacé la technologie dominante pour laquelle la loi a été pensée. Corollaire de ce caractère abstrait, la loi est plus difficile à appliquer, car son application nécessite une plus forte dose d’interprétation. De cette interprétation provient l’insécurité juridique.

Ainsi, pour ce qui nous occupe ici, les grands opérateurs du Web 2.0 (eBay, Google, YouTube, etc.) ont été tantôt qualifiés d’éditeurs (directement responsables du dommage causé par la diffusion du contenu litigieux), tantôt d’hébergeurs (bénéficiaires d’un régime spécial d’irresponsabilité pour les dommages causés par la diffusion du contenu, mais responsables pour carence lorsque, sachant qu’un contenu est illicite et disposant des moyens d’en faire cesser la diffusion, ils n’ont pas agi). L’incertitude dans la qualification réside dans le fait que la loi (article 6 LCEN du 21 juin 2004) qualifie d’hébergeur “les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services”. Les hébergeurs se bornent donc à assurer le stockage d’un contenu diffusé à l’initiative de l’internaute ; ils ne sont clairement pas intéressés dans cette diffusion : que le contenu soit une page blanche ou un site complet, cela revient pour eux au même.

Et si, pourtant, cela ne revenait pas au même, ces opérateurs pourraient-ils encore être qualifiés de simples intermédiaires techniques ? Tel est le coeur de la question de la qualification des “hébergeurs intéressés” du Web 2.0 : par exemple, un site d’hébergement de vidéos tel que YouTube propose bien aux internautes d’héberger leurs vidéos (à ce titre, il est hébergeur), mais son modèle économique est fondé sur la diffusion du contenu, et non sur son seul hébergement. Cela signifie, dans le cas de YouTube, qu’il bénéficie de la quantité et de la qualité des vidéos hébergées, parce que ce sont elles qui amènent les internautes à visiter son site. Est-il, dans ce contexte, toujours un simple hébergeur ? La jurisprudence semble dernièrement s’être fixée sur une réponse positive (notamment depuis l’arrêt de la CJUE dans l’affaire Google AdWords ; v. cependant et par exemple, contra, CA Paris, 3 sept. 2010). De la même manière, YouTube participe à l’organisation des vidéos sur son site, en les classant notamment par popularité ou par thème, ou en proposant à l’internaute qui visionne une vidéo de voir des vidéos “semblables”. Est-ce là une simple mesure d’organisation du contenu (tel un kiosquier qui déciderait de mettre en avant tel journal plutôt que tel autre, sans pour autant être responsable du contenu de ces journaux), ou une mesure de sélection du contenu qui relève d’une activité d’édition ? Là aussi, après avoir tergiversé, la jurisprudence tend désormais à considérer qu’il s’agit d’une simple mesure d’organisation, qui permet à l’opérateur de bénéficier de la qualification d’hébergeur. La jurisprudence en la matière est très riche, et très fluctuante. Certaines décisions mettent en scène des situations où, par exemple, l’opérateur est qualifié d’hébergeur d’une partie de la page, et d’éditeur d’une autre partie. Une autre tendance s’oriente progressivement vers le “Notice & Stay Down”, c’est-à-dire vers une obligation pour les intermédiaires techniques de surveiller l’ensemble du contenu afin de s’assurer qu’un contenu particulier qui a été juge illicite et retiré ne soit pas remis en ligne par d’autres internautes (pour un exemple en jurisprudence, v. n°50).

Voilà pourquoi une troisième qualification, correspondant aux opérateurs qui hébergent des fichiers et qui, sans être éditeurs du contenu mis en ligne par les internautes, ont un intérêt dans la diffusion de ce contenu. Toutefois, cette troisième qualification doit déboucher sur un système juridiquement plus sûr et plus juste, et non constituer une manière de détourner l’interdiction faite aux États européens d’imposer aux intermédiaires une obligation générale de surveillance du réseau. Elle doit permettre de s’assurer que chacun prend ses responsabilités, mais elle ne doit pas être une arme placée entre les mains des ayants droit pour réprimer un peu plus le partage d’oeuvres sur Internet au mépris de la vie privée et de la liberté d’expression d’autrui.

Vie privée et données personnelles

Nous parlions dans un précédent numéro du décret n°2011-219 relatif à la conservation des données d’identification des internautes par les opérateurs. Nous disions alors que la conservation de certaines données allait à l’encontre des principes de nécessité et de proportionnalité qui gouvernent la matière. La conservation des mots de passe, par exemple, semble être excessive. Tel est également l’avis des grands acteurs du Web 2.0, tels que Google, Facebook, Microsoft ou Yahoo qui, réunis au sein de l’Association des Services Internet Communautaires (ASIC), ont déposé un recours en annulation contre ce décret devant le Conseil d’État.

Les deux principales critiques(es) formulées contre le décret portent sur la forme pour la première et sur le fond pour la seconde. En premier lieu, le décret a été pris sans consultation de la Commission européenne, alors qu’une telle consultation est obligatoire pour les textes relatifs à la conservation des données (art. 15.2 de la directive 2006/24). En second lieu, s’agissant du fond, les requérants soutiennent que certaines données dont le décret impose la conservation, comme les mots de passe, ne sont pas des données d’identification de l’internaute. En effet, il n’est pas nécessaire (violation du principe de nécessité) de connaître le mot de passe lié au compte de l’utilisateur d’un service du Web pour savoir qui se cache derrière le pseudonyme associé à ce compte. Les opérateurs estiment en outre que la durée de conservation (1 an) est excessive, et que la conservation d’un grand volume de données pendant une telle durée sera pour eux très coûteuse.

Neutralité du Net

L’autorité américaine de régulation des télécommunications (Federal Communications Commission ou FCC) a publié, en décembre 2010, une série de règles visant à garantir la neutralité du Net (v. n°37). Ces règles furent rapidement très controversées : les partisans de la neutralité du Net estimèrent qu’elles n’allaient pas assez loin, tandis que les opérateurs (et le camp républicain) trouvèrent en elle une restriction excessive de la liberté du commerce. Dès janvier 2011, deux grands opérateurs américains, Verizon et MetroPCS, saisirent la justice afin d’obtenir l’annulation de la réglementation de la FCC. Le tribunal saisi du dossier (DC Columbia) a jugé que ces actions étaient prématurées et a débouté les demandeurs. Mais ce n’est qu’un début, d’autres actions seront, à n’en pas douter, engagées dès que la réglementation de la FCC entrera en vigueur.

Dans le même temps, la réglementation de la FCC et l’autorité elle-même font face à une attaque de bien plus grande ampleur, provenant directement du Congrès. Le législateur américain (comprendre: le parti républicain) veut, par la loi, annuler la réglementation de la FCC et priver cette dernière du pouvoir d’imposer aux opérateurs le respect de la neutralité du Net. Une proposition dans ce sens a été déposée à la Chambre des représentants(en). Il lui reste donc encore à être votée, puis à être soumise à l’examen du Sénat et, enfin, à celui du Président qui pourrait lui opposer son veto. Affaire à suivre, donc.

Conflits de juridictions

On appelle “conflits de juridictions” une branche du droit international privé visant à déterminer quel est le tribunal compétent, dans l’ordre international, pour connaître d’une affaire. Il y a un conflit de juridictions, par exemple, lorsqu’un délit est commis sur le territoire d’un État et que le préjudice est subi par la victime sur le territoire d’un autre État. Ce conflit est résolu par des “règles de conflit” qui, en l’occurrence (art. 46 CPC en droit interne, art. 5.3 du règlement n°44/2001 en droit communautaire), confèrent une compétence générale du tribunal du fait générateur du délit pour réparer tous les préjudices qui en découlent, et une compétence particulière des juridictions de chaque pays dans lequel une fraction du préjudice est subi, pour réparer cette fraction du préjudice.

Cela étant dit, voyons un cas pratique : un site Web diffuse depuis l’étranger un message qu’une personne résidant en France estime préjudiciable. Cette personne peut-elle saisir le juge français, en soutenant que la diffusion en France lui cause préjudice ? Deux réponses sont possibles. La première est un oui franc et massif. Elle se fonde sur la théorie dite de l’accessibilité : dès lors qu’un contenu est accessible en France, les tribunaux français sont compétents pour connaître des dommages qu’il cause. Cela semble logique, et pourtant, dans le cadre d’Internet, cela ne l’est pas. En effet, tous les sites sont, par hypothèse (c’est-à-dire sauf filtrage, ce qui reste exceptionnel) accessibles en France comme en tout endroit où une connexion à Internet est possible. Le critère de l’accessibilité revient donc, peu ou prou, à consacrer une compétence universelle des juridictions françaises. Or, une telle compétence présente plus d’inconvénients que d’avantages. En particulier, elle est largement inefficace, puisqu’elle amène les tribunaux français à juger des situations totalement détachées de la France et à condamner des personnes étrangères qui pourront être protégées par leur loi locale au moment de l’exequatur de la décision française (tel est le cas notamment aux États-Unis: en raison du premier amendement à la Constitution, les tribunaux américains refusent généralement l’exécution des décisions étrangères de condamnation d’une personne résidant aux États-Unis dans les affaires relatives à la liberté d’expression). La compétence universelle est donc généralement nuisible à la bonne circulation des décisions. Elle est aussi source d’insécurité juridique pour les justiciables : imaginons, par exemple, un français condamné à l’étranger pour avoir diffusé un message sur Internet, qui est licite en droit français et qui n’était destiné qu’au public français. Il existe d’autres arguments, plus techniques encore, sur lesquels nous passons.

La deuxième réponse est un “oui” conditionné ; c’est-à-dire, un “oui mais”. Oui, les juridictions françaises peuvent être compétentes, mais encore faut-il que le site litigieux ait un lien avec la France ou le public français (v. p. ex. ces deux décisions). Un tel critère permet de restreindre la compétence des tribunaux français de manière “raisonnable”, c’est-à-dire en évitant la compétence universelle tout en évitant tout déni de justice.

La jurisprudence a utilisé, ces dernières années, l’un ou l’autre des deux critères. Elle a d’abord utilisé le critère de l’accessibilité (v. p. ex. Cass Com, 20 mars 2007), avant de s’orienter peu à peu vers une appréciation plus restrictive. Ainsi, plusieurs arrêts du pôle propriété intellectuelle de la Cour d’appel de Paris, rendu depuis 2007, ont exigé que le site litigieux entretienne un lien “suffisant, substantiel ou significatif” avec la France. Le pôle droit international privé de la même Cour en était, quant à lui, resté au critère de l’accessibilité (v. CA Paris, 3 sept. 2010). La Cour de cassation était partagée entre une application pure et simple du critère de l’accessibilité par la première chambre civile (arrêt Castellblanch/Cristal), et une exigence timide par la chambre commerciale d’un lien entre le site et le public français (arrêt Hugo Boss).

C’est dans ce contexte qu’intervient l’arrêt de la chambre commerciale du 29 mars 2011. Au visa de l’article 46 CPC, la Cour explique d’abord que la Cour d’appel a appliqué le critère de l’accessibilité : “Attendu que pour débouter les sociétés Ebay de leur exception d’incompétence à l’égard de la société de droit américain Ebay Inc. l’arrêt retient qu’il est établi que le site exploité aux États-Unis d’Amérique est accessible sur le territoire français et que le préjudice allégué, ni virtuel, ni éventuel, subi sur ce territoire, peut être donc être apprécié par le juge français, sans qu’il soit utile de rechercher s’il existe ou non un lien suffisant, substantiel ou significatif entre les faits allégués et le territoire français” ; et juge ensuite que ce critère ne suffit pas à établir la compétence des juridictions françaises : “Attendu qu’en se déterminant ainsi alors que la seule accessibilité d’un site internet sur le territoire français n’est pas suffisante pour retenir la compétence des juridictions françaises, prises comme celles du lieu du dommage allégué et sans rechercher si les annonces litigieuses étaient destinées au public de France, la cour d’appel a privé sa décision de base légale”.

dimanche 10 avril 2011 • 2250 mots • Thème(s) : neutralité, propriété intellectuelle, responsabilité, vie privée, données personnelles, hébergement, LCEN, surveillance, FCC, Web 2.0, droit international, intermédiaires, régulation
revue

Numéro 51 - Semaine du 28 mars au 3 avril 2011

Au sommaire cette semaine, Amazon et son nouveau service d’hébergement de musique “in the cloud”, les problèmes de Google avec les autorités, en Chine et ailleurs, et certaines actualités relatives à des thèmes récurrents : la protection de la vie privée et des données personnelles, la liberté d’expression et le filtrage d’Internet, le droit de la propriété intellectuelle.

Amazon et la musique dans les nuages

La première actualité importante de la semaine concerne la musique en ligne, et plus particulièrement le nouveau service “dans les nuages” que vient d’ouvrir le libraire américain Amazon. Nommé “Cloud Drive”, ce service offre aux internautes de stocker leurs fichiers musicaux en ligne, sur les serveurs de l’opérateur, afin de pouvoir les diffuser en streaming vers un périphérique mobile (tel qu’un smartphone sous Android). Le Cloud Drive ne permet pas d’acheter de la musique en ligne (ce que la boutique d’Amazon permet par ailleurs), mais seulement de stocker et de jouer des morceaux que l’on possède déjà. Amazon compare donc ce nouveau service à un simple lecteur de musique, comme un tourne-disque, un lecteur de cassettes ou un baladeur CD ou MP3, et soutient ainsi qu’il peut être utilisé sans accord supplémentaire des ayants droit(en). Bien entendu, les majors de l’industrie musicale ne partagent pas cet avis(es) ; Sony a été la première maison de disque à exprimer son désaccord et à faire savoir qu’elle examine “l’ensemble des recours légaux possibles” contre le service d’Amazon. L’on sait, par ailleurs, que Google et Apple préparent chacun de leur côté des services de stockage de musique dans le cloud ; si ces services n’ont pas encore vu le jour, c’est que les deux entreprises, contrairement à Amazon, cherchent à obtenir des accords avec les ayants droit.

Google

Chaque semaine apporte son lot de nouveaux problèmes à Google. Il est vrai que l’entreprise américaine semble être sur tous les fronts de l’économie numérique, parfois en position dominante, toujours en proposant des produits ou services innovants.

Cette semaine, c’est donc en premier lieu Google Maps qui se trouve dans le collimateur de Pékin, les autorités chinoises ayant toujours cherché à contrôler les services de cartographie disponibles dans le pays. Cela n’est pas sans rappeler le bras de fer engagé l’année dernière entre Google et les autorités chinoises sur la censure des résultats de recherche. La pression du gouvernement chinois sur Google s’est encore accentuée cette semaine, avec l’ouverture d’une enquête pour fraude fiscale contre trois sociétés liées à Google.

En Europe, Google est attaquée par un autre géant de l’informatique, Microsoft, qui l’accuse d’abus de position dominante dans la recherche et la publicité en ligne. Microsoft a ainsi déposé une plainte devant la Commission européenne (en charge des questions de concurrence au niveau européen), dans laquelle la société explique que Google possède 95% des parts du marché de la recherche en ligne en Europe. Mais le simple fait de se trouver en position dominante n’est pas contraire au droit de la concurrence ; l’illicéité est dans l’abus de cette position. Or, Microsoft soutient que Google abuse de sa position, par exemple en restreignant la disponibilité des méta-données de YouTube à sa propre plateforme mobile, Android, au détriment de Windows Phone 7(es). Microsoft semble donc désormais décidée à utiliser les mêmes armes qui, par le passé, lui ont fait tant de mal (on se souviendra de l’amende record infligée à Microsoft par la Commission européenne, ou de l’obligation qui lui a été faite de présenter le ballot screen de choix du navigateur aux utilisateurs de Windows). Cependant, Google adoptera probablement une défense bien différente de celle mise au point en son temps par Microsoft et consistant à refuser tout compromis. Cette défense pourrait viser la recherche d’un accord à l’amiable avec les autorités, en faisant quelques concessions afin d’éviter la condamnation. Google a déjà utilisé cette stratégie aux États-Unis, avec succès.

Google est en effet parvenue à un accord dans l’affaire “Buzz”, cette semaine, avec l’autorité américaine de régulation de la concurrence et de protection des consommateurs, la Federal Trade Commission (FTC). Rappelons que Google Buzz est une forme de réseau social se greffant sur Gmail, le service de messagerie de Google. Lors de son ouverture publique, Google Buzz transmettait des informations personnelles relatives au titulaire du compte Gmail, de manière automatique et sans que ce dernier puisse s’y opposer. Ce faisant, Google violait le contrat le liant aux internautes(en) ainsi que le droit européen, selon lesquels tout nouveau traitement des données personnelles collectées doit être consenti par les personnes concernées. Le lancement de Google Buzz avait alors engendré une vaste polémique, et la saisine de la FTC par une organisation de défense du droit à la vie privée, l’Electronic Privacy Information Center (EPIC). Google est finalement parvenue à un accord avec la FTC [format PDF], qui implique la reconnaissance des fautes de l’opérateur(en) et la mise en place d’un audit indépendant du niveau de protection de la vie privée garanti par ses services, tous les 2 ans pendant 20 ans.

Commerce électronique

Le Parlement européen a approuvé le 24 mars des nouvelles règles faisant passer de 7 à 28 jours le délai légal donc dispose un consommateur pour se rétracter et renvoyer le produit après un achat en ligne. La Fédération française du e-commerce et de la vente à distance (Fevad) s’oppose à ces règles et demande au gouvernement français de ne pas les soutenir devant les instances européennes.

Responsabilité

Lacoste et Priceminister s’opposent aux conclusions d’un rapport sénatorial proposant la création d’une troisième qualification, à mi-chemin entre éditeur et hébergeur.

Selon le rapport, les “éditeurs de services” devraient mettre en place des mesures d’identification des pratiques illicites (la contrefaçon est clairement visée) et des internautes ayant créé le contenu hébergé, tout en étant responsables s’ils ne font pas cesser la diffusion d’un contenu illicite dont ils ont la connaissance. Cette nouvelle catégorie est taillée sur mesure pour les sites communautaires du Web 2.0, tels que YouTube, DailyMotion, ou eBay : en plus des obligations propres à tout hébergeur, il leur incomberait de surveiller le contenu soumis par les internautes. Il s’agit donc de passer d’un schéma répressif (notice & takedown) à un schéma préventif, c’est-à-dire à la censure.

Filtrage

Les arguments pratiques contre le filtrage du réseau sont bien connus : le filtrage est soit inefficace soit trop efficace. Cette semaine, c’est un nouvel exemple de trop grande efficacité qui est donné par un fournisseur d’accès canadien ayant bloqué le jeu en ligne World of Warcraft en tentant de bloquer les échanges de pair-à-pair sur son réseau(en). La validité de l’argument théorique principal contre le filtrage, selon lequel il participe de la censure, est également démontrée cette semaine, par le blocage en Côte d’Ivoire de certains sites dénonçant le gouvernement en place de Gbagbo et prenant parti pour son opposant soutenu par l’ONU.

En France, l’Hadopi, qui fonctionne à plein régime, prépare une analyse du streaming afin de déterminer l’opportunité du filtrage. Peu importe que la “troisième qualification” proposée par le rapport sénatorial soit rejetée, car l’on y revient d’une manière ou d’une autre : les intérêts économiques de l’industrie culturelle sont tellement importants qu’ils engendrent chez certains une volonté de contrôler et de censurer Internet. Les mesures de surveillance et de contrôle pourraient même, selon le souhait de Vivendi, prendre place directement dans la “box” (le modem ADSL) des internautes.

Heureusement, il existe certains outils, comme le réseau Tor auquel la Free Software Foundation vient décerner le prix du “projet d’intérêt social”, qui permettent d’accéder à une information libre. Heureusement, il existe des opérateurs privés soucieux du droit à la vie privée des internautes, comme la fondation Mozilla et l’agence Associated Press qui viennent de s’entendre sur l’utilisation de la fonction “Do Not Track” de Firefox 4, permettant de limiter le profilage des internautes. Heureusement, il existe des tribunaux protégeant les libertés publiques, comme la Cour constitutionnelle de la République Tchèque qui vient de juger, à l’instar de ses homologues allemande, roumaine, hongroise et chypriote, que la loi nationale de transposition de la directive “Data Retention” de 2006 était contraire à la Constitution et à l’article 8 (vie privée) de la Convention européenne de sauvegarde des droits de l’Homme.

dimanche 3 avril 2011 • 1402 mots • Thème(s) : Internet, P2P, propriété intellectuelle, Google, vie privée, données personnelles, filtrage, hébergement, LCEN, surveillance, Hadopi, censure, liberté d'expression, économie, Web 2.0, FAI, Amazon, Cloud
revue

Numéro 50 - Semaine du 21 au 27 mars 2011

Gouvernance d’Internet

L’ICANN (Internet Corporation for Assigned Names and Numbers), la structure privée à but non lucratif de droit californien qui gère les extensions des noms de domain (.com, .org, .net, …) a finalement décidé, cette semaine, de créer une nouvelle extension, “.xxx”, dédiée aux sites pornographiques. La dernière grande décision relative aux noms de domaine, prise en octobre 2009, était celle de permettre l’utilisation de caractères n’appartenant pas à l’alphabet latin.

La décision de l’ICANN alimente une controverse(es). D’un côté, cette nouvelle extension devrait permettre de mieux identifier les sites pornographiques et d’améliorer, par exemple, l’efficacité des logiciels de contrôle parental. D’un autre côté, elle rend la censure plus aisée. L’Inde a déjà annoncé sa volonté de bloquer les domaines .xxx, et d’autres pays devraient suivre. Enfin, luttant contre les deux arguments à la fois, le fait que l’utilisation des domaines .xxx soit facultative, les sites pornographiques pouvant continuer d’utiliser d’autres domaines plus habituels (.com, etc.).

Vie privée, données personnelles

Nous avions déjà parlé, à plusieurs reprises de Google Street View et des “Google Cars” sillonnant les routes du monde à la recherche de données. Plus précisément, Google voulait améliorer ses services de géolocalisation en dressant la liste des hotspots Wifi. En sachant qu’un internaute est connecté depuis tel point d’accès et l’endroit où ce situe ce point d’accès, Google peut proposer à l’internaute des contenus directement en relation avec l’endroit où il se trouve.

Il était reproché à Google, dans plusieurs pays, d’avoir capté des données personnelles transitant sur des réseaux Wifi non sécurisés. C’est pour ce motif que la CNIL a condamné Google à payer 100 000 euro d’amende.

La CNIL avait mené des contrôles en 2009 et 2010, au cours desquels elle avait constaté que les Google Cars captaient des “données de connexion à des sites web, mots de passe de messagerie, adresses de courrier électronique, échanges de courriels révélant notamment des informations sensibles sur l’orientation sexuelle ou la santé des personnes. Google s’est défendue en soutenant que la collecte était involontairele logiciel utilisé pour scanner les réseaux Wifi aurait été configuré, par défaut, pour enregistrer les données, et Google aurait omis de modifier ce paramètre–, sans pour autant accéder de bon gré aux demandes de la CNIL (ni, d’ailleurs, à celles de son homologue espagnole(es)). La société américaine continue d’ailleurs de soutenir que certaines données collectées, comme les SSID et les adresses MAC, ne sont pas des données personnelles.

En Allemagne, Google s’en est mieux tirée, et a échappé à la condamnation. Mais l’affaire, en France, n’est peut être pas terminée : Google a jusqu’au 17 mai pour exercer un recours devant le Conseil d’État contre la décision de la CNIL.

Liberté d’expression

La Chine filtrerait la messagerie de Google, Gmail. C’est du moins ce qu’affirmait en début de semaine la société américaine. La stratégie chinoise serait, selon Google, très subtile : plutôt que de bloquer totalement Gmail, les intermédiaires chinois rendraient l’accès à la messagerie lent et incertain, afin d’inciter les internautes à changer de fournisseur de courrier électronique (en se tournant de préférence vers un fournisseur local, plus facilement contrôlable par les autorités…). Après plusieurs vérifications, Google n’a trouvé aucune anomalie dans ses infrastructures, ce qui l’a amenée à en déduire que les intermédiaires chinois étaient à l’origine du blocage.

Le gouvernement chinois a rapidement réagi en parlant d’accusations inacceptables et en niant l’existence d’une quelconque mesure de censure(en) à l’encontre de Gmail. Il est difficile de savoir qui dit la vérité dans cette affaire : on sait que la Chine censure Internet, mais un problème technique indépendant de la volonté du gouvernement chinois est aussi possible.

De son côté, l’Iran a bloqué le réseau sécurisé TOR, probablement grâce à une mesure de filtrage par DPI (Deep Packets Inspection). Le blocage a eu lieu en janvier, et a vraisemblablement servi à tester l’efficacité du filtrage DPI. Reste à savoir comment l’Iran a procédé : certains suspectent une aide de grandes sociétés occidentales comme Cisco ou Siemens.

Propriété intellectuelle

Une fois encore, l’on retrouve Google. La société a été, en France, lourdement condamnée pour contrefaçon. Il s’agit de quatre décision du 14 janvier 2001 de la Cour d’appel de Paris. Il y a dans ces décision, à notre sens, du bon et du mauvais.

La Cour d’appel a reconnu à Google le statut d’hébergeur de la LCEN : l’hébergeur n’est pas responsable de la diffusion d’un contenu illicite, à moins qu’en toute connaissance de cause, il ne la fasse pas cesser. En l’espèce, c’est le fait de ne pas avoir empêché la remise en ligne des vidéos retirées qui est reproché à Google. Autrement dit, Google aurait dû, une fois les contenus illicites retirés, opérer un contrôle des contenus qui lui sont soumis afin d’empêcher leur remise en ligne. Cela est contraire à l’idée essentielle de la directive “commerce électronique” et de la LCEN, selon laquelle les intermédiaires techniques ne sont tenus à aucune obligation de surveillance des contenus.

La Cour d’appel a également décidé que Google avait engagé sa responsabilité en assurant la représentation des vidéos hébergées par d’autres (YouTube, Dailymotion…) sur son propre site (Google Videos). Ce faisant, Google perdait, selon la Cour, sa qualité d’intermédiaire technique. Ce raisonnement là doit être approuvé.

Dans un autre registre, Apple a attaqué Amazon, aux États-Unis, pour contrefaçon de sa marque “AppStore”(es) et concurrence déloyale.

Aux États-Unis toujours, un tribunal fédéral a annulé l’accord de 2008 entre Google et les ayants droit qui avait pour objet de permettre à la société américaine de numériser des livres dans les bibliothèques. Le système, reposant sur l’opt-out (le consentement à la numérisation est présumé) a été jugé inéquitable, inadéquat et déraisonnable. Un accord fondé sur l’opt-in (le consentement à la numérisation doit être explicite) aurait été préférable. Le ministre français de la culture se déclare satisfait de cette décision et demande à Google de mieux respecter les ayants droit. L’EFF, en revanche, trouve qu’il y a du bon et du mauvais dans cette décision, et souligne notamment que le demandeur (the Authors Guild) agit dans un but économique, et non dans celui de favoriser l’accès au savoir. Les obstacles au projet de bibliothèque numérique de Google sont nombreux, tant aux États-Unis qu’en Europe.

dimanche 27 mars 2011 • 1075 mots • Thème(s) : Internet, propriété intellectuelle, responsabilité, vie privée, Apple, LCEN, liberté d'expression, infrastructure, intermédiaires, ICANN
revue

Numéro 49 - Semaine du 14 au 20 mars 2011


Twitter

Cette semaine, l’on reparle de Twitter, qui fête ses 5 ans(es). Après des débuts pénibles, le réseau social de “micro-blogging” connaît aujourd’hui un véritable succès avec 460 000 nouveaux comptes créés chaque jour. En France, où 24 millions de personnes se connectent quotidiennement à Internet, c’est toujours Facebook qui croît le plus (bien que le site continue d’être critiqué pour sa faible protection des données personnelles), mais Twitter est également sur la pente ascendante. Ce dernier a décidé d’offrir aux internautes la possibilité de se connecter avec le protocole sécurisé HTTPS. Cette initiative est louable, sachant que les réseaux sociaux sont utilisés par individus de par le monde pour s’opposer aux régimes dictatoriaux ; les événements récents dans le monde arabo-musulman en témoignent (en Lybie, par exemple, l’activité des opposants sur les réseaux sociaux a “suffi à inquiéter le régime”, selon l’ambassadeur de France, qui a réagi en coupant Internet). Certains s’étonnent ainsi que l’usage du protocole HTTPS ne se soit pas encore généralisé(en) sur le Web. Par ailleurs, la FTC a conclu à la responsabilité de Twitter dans le “piratage” de certains comptes (Obama, Britney Spears…) : les responsables du réseau social doivent assurer la sécurité des données personnelles publiées par les internautes, et indemniser ces derniers lorsqu’une faille de sécurité est exploitée par un tiers pour “voler” ces données (selon une étude récente, 30% des sites Web présenteraient une faille de sécurité exploitable). D’un autre côté, un juge américain vient de décider que Twitter a l’obligation de communiquer les données relatives à ses membres lorsque celles-ci sont réclamées par les autorités dans le cadre d’une enquête criminelle, en l’espèce l’enquête sur la fuite des documents secrets publiés par Wikileaks.

Japon

Au Japon, malgré l’important séisme et le tsunami dévastateur qui s’ensuivit, les grandes infrastructures d’Internet ont bien résisté, sans doute grâce à la résistance des câbles sous-marins. Et c’est heureux, car Internet constitue un outil efficace pour s’informer de l’évolution de la situation au Japon. Certains sites, comme Google, ont même mis en place des pages exclusivement dédiées aux informations relatives à la catastrophe (séisme, tsunami et centrale nucléaire), à la recherche de survivants, à l’information des familles, etc. Le Web chinois est, en revanche, bien différent : alors que 130 000 cyber-cafés ont fermé en 6 ans, le gouvernement de Pékin a décidé qu’il était nécessaire de bloquer les mots-clé “fuite” et “nucléaire” sur le Web pour tranquilliser le peuple, plutôt que de le maintenir informé sur l’évolution de la situation au Japon et sur les risques du nucléaire.

Liberté d’expression & sécurité

En France aussi, une certaine forme de censure semble avoir fait son apparition sur le Web. C’est, en tout cas, l’avis de Reporters Sans Frontières (RSF) qui place la France dans la liste des pays “à surveiller”, en raison du vote récent de la loi LOPPSI 2 (v. notamment n°44 et n°48). Selon la carte publiée par RSF, la France est classée au même rang que la Russie, la Turquie ou l’Australie ; elle censure moins que la Chine ou l’Arabie Saoudite, mais plus que tous les autres pays européens et nord-américains. RSF insiste sur un argument que nous avons plusieurs fois présenté ici : les lois récentes ayant pour vocation de lutter contre le téléchargement illicite (Hadopi), les sites illicites de jeu en ligne (après l’affaire Stanjames, l’ARJEL veut d’ailleurs filtrer, cette semaine, un nouveau site, ce que les FAI considèrent comme inefficace), la pédopornographie, le terrorisme et le crime organisé (LOPPSI), mettent en place des mesures de surveillance et de filtrage qui pourraient, par la suite, être étendues à d’autres domaines. Autrement dit, RSF craint que ces lois servent de cheval de Troie et aboutissent à une diminution de la liberté d’expression sur le Web français.

Malgré le filtrage et la censure, Internet demeure un outil de communication libre et parfois terriblement efficace pour révéler ce qui avait vocation à rester caché. Un nouvel exemple est fourni cette semaine, non par Wikileaks, mais par le réseau de pirates Anonymous (s’illustrant notamment par des attaques contre le système Hadopi) qui publie sur le site bankofamericasucks.com de nombreux documents compromettants pour Bank of America. Cette publication appelle deux réflexions. D’abord, il est clair que Wikileaks, qui devait à l’origine publier des documents concernant Bank of America, a été totalement pris de court par le groupe Anonymous. On sait qu’en réponse aux critiques dont il a fait l’objet, selon lesquelles la diffusion incontrôlée d’informations secrètes peut mettre des vies en danger, le site Wikileaks a réagi en publiant les données petit à petit, après les avoir vérifiées. Wikileaks, chantre de la transparence, a donc mis en œuvre une forme d’auto-censure qui se retourne aujourd’hui contre lui. Ensuite, l’on peut s’interroger sur la fiabilité des informations publiées. Le groupe Anonymous est, comme son nom l’indique, composé de personnes souhaitant garder l’anonymat. Ce faisant, elles se protègent contre d’éventuelles représailles. Mais il est également possible pour une personne mal intentionnée de diffuser une fausse information, que l’on ne remettra pas en cause sous prétexte qu’elle provient d’une “fuite”. Certains s’interrogent ainsi sur la pertinence des informations relatives à Bank of America : la fuite aurait pu être organisée.

Le système Hadopi se met en place peu à peu. Cette semaine, le décret permettant l’automatisation du volet pénal de la loi a été publié (décret n°2011-264 du 11 mars 2011). Ce décret intervient à partir de la 3ème phase de la répression, c’est-à-dire après le 2ème avertissement et au moment de la saisine du parquet, jusqu’au jugement et à son exécution (suspension de l’abonnement à Internet). Son intérêt est de mettre en place la transmission automatique (certains diront “industrielle”) au parquet du dossier à charge constitué contre l’internaute.

La LOPPSI (qui suit la logique “la répression est la meilleure des préventions”), quant à elle, vient d’être promulguée, dans sa version censurée par le Conseil constitutionnel (v. n°48).

Signalons également, dans le registre de la surveillance et du filtrage, que l’Avocat général devrait rendre ses conclusions dans une affaire pendante devant la Cour de justice de l’Union Européenne (C-70/10). Il s’agit pour la Cour de répondre à une question préjudicielle posée par les juridictions belges qui souhaitent savoir si elles peuvent, dans le respect du droit communautaire, “ordonner à un FAI de mettre en place, à l’égard de toute sa clientèle, in abstracto et à titre préventif, aux frais exclusifs de ce FAI et sans limitation dans le temps, un système de filtrage de toutes les communications électroniques, tant entrantes que sortantes, transitant par ses services, notamment par l’emploi de logiciels peer to peer”.

Neutralité du Net

Parlons encore du filtrage judiciaire, avec une ordonnance de référe du TGI de Montpellier, qui ordonne à Google de désindexer certains sites. L’affaire est assez classique : une institutrice ayant tourné dans un film porno amateur se rend compte que la diffusion de cette vidéo sur le Web ne fait pas beaucoup de bien à sa réputation. Elle constate également que Google renvoie des liens vers des sites diffusant cette vidéo lorsqu’on lui soumet une requête avec certains mots-clé précisément identifiés. Elle demande alors à Google de supprimer ces liens. Le moteur de recherche lui oppose qu’il ne lui appartient pas de surveiller le contenu auquel il permet d’accéder : en tant qu’intermédiaire technique, il est déchargé de toute obligation de surveillance (selon le droit européen et, en France, la LCEN du 21 juin 2004). L’institutrice saisit alors le juge des référés et lui demande d’ordonner à Google de supprimer les liens vers les sites diffusant la vidéo qui apparaissent sur la page présentant les résultats des requêtes formées à partir de certains mots-clés. Le juge accède à la demande et l’on peut lire, dans le dispositif de la décision, qu’il est ordonné à Google, sous astreinte de 1000 euro par jour de retard, “de supprimer de ses moteurs de recherche tous résultats (titre, descriptif, adresse URL) apparaissant à la suite des requêtes effectuées avec les termes “Marie C. swallows” et “Marie C.” + “école de laetitia” renvoyant directement ou indirectement à la vidéo à caractère pornographique mettant en scène Madame Marie C.”. En quoi cela est-il problématique ? Analysons ce que doit faire Google pour exécuter la décision. Google doit effectuer certaines requêtes sur son moteur de recherche, qui sont indiquées dans le dispositif de l’ordonnance. Elle doit ensuite trier les résultats de recherche et vérifier lesquels renvoient vers la vidéo incriminée. Enfin, elle doit supprimer les liens ainsi identifiés des résultats des requêtes précédemment effectuées. Le problème est que c’est à Google qu’il incombe d’identifier les liens à retirer, en fonction d’un contenu qui lui est signalé. Cette mission d’identification est contraire à l’activité d’intermédiaire de Google, puisqu’elle suppose une analyse du contenu. En outre, la mesure est inefficace, puisqu’elle ne porte que sur les résultats de certaines requêtes : les adresses de la vidéo restent dans la base de données de Google, et elles pourront être affichées en réponse à toute autre requête non mentionnée dans le dispositif de la décision. Il aurait mieux valu, dans ce contexte, que la demanderesse identifie chaque URL, et demande à Google de retirer toutes les URL incriminées, indépendamment de la requête de recherche effectuée par l’internaute (à défaut de pouvoir obtenir le retrait de la vidéo auprès de ses hébergeurs, probablement étrangers). Cette affaire montre que la neutralité des intermédiaires (et, partant, celle du Net) est bien précaire. On en a même parlé à l’étranger(es).

Insolite

Pour finir avec une note d’humour (quoi que…), mentionnons que certains s’interrogent sur l’application sur Internet de l’interdiction de porter la burka dans les lieux ouverts au public. Ainsi va l’argumentation : Internet est un ensemble de lieux privés, mais peu importe : la loi est applicable à tous les lieux privés ou publics, dès lors qu’ils sont ouverts au public. Or, l’accès à Internet étant libre, on peut considérer qu’Internet est un lieu ouvert au public… Bien entendu, tout cela ne tient pas debout ! Internet n’est pas un lieu, c’est un réseau d’ordinateurs ! Les juristes ont parfois recours à des “fictions juridiques”, de pures abstractions qui permettent d’appliquer la règle de droit à des situations qui n’avaient pas été prévues lors de son élaboration, mais celles-ci doivent tout de même être cohérentes. Considérer qu’Internet est un lieu, c’est pousser le bouchon un peu trop loin. Les lieux appartiennent au monde physique, pas au monde virtuel. Le lieu où il est interdit de porter le voile n’est pas tel ou tel site Web sur lequel se rend l’internaute, mais celui où se situe le terminal grâce auquel il accède à ce site. Ainsi, on peut parfaitement “surfer” voilé chez soi, mais pas dans un cyber-café, dans le train, à la terrasse d’un café…

dimanche 20 mars 2011 • 1842 mots • Thème(s) : Internet, neutralité, téléchargement, responsabilité, Google, données personnelles, Facebook, filtrage, réseaux sociaux, LCEN, piratage, surveillance, sécurité, Hadopi, LOPPSI, Wikileaks, censure, USA, liberté d'expression, Twitter, FAI, intermédiaires, Anonymous
revue

Numéro 48 - Semaine du 7 au 13 mars 2011

Sécurité

Le ministère des Finances, à Bercy, a subi cette semaine une attaque informatique de grande ampleur (à tel point que le ministre du Budget s’est exprimé à ce propos à la radio). Il s’agit de la première attaque de cette importance contre le gouvernement français, bien qu’il y ait eu des précédents ailleurs dans le monde, notamment en Estonie en 2007 ou au Canada cette année. D’autres administrations auraient été touchées (notamment le ministère des Affaires étrangères), dans une moindre mesure, ou au moins prises pour cible par les attaquants.

L’attaque en elle-même est plutôt complexe. Les attaquants se sont d’abord introduits dans les serveurs de messagerie (e-mail) du ministère, afin d’envoyer des courriers électroniques vers certains postes de travail. Ces messages contenaient des fichiers PDF infectés par un cheval de Troie. L’ANSSI note plusieurs choses intéressantes à propos de cette attaque : 1) elle a été réalisée par des experts, avec des techniques et des moyens divers ; 2) elle a été bien préparée (le cheval de Troie a été spécifiquement élaboré pour cette attaque, il n’est pas détecté par les logiciels antivirus) ; 3) elle a visé très spécifiquement les postes de travail des personnes travaillant sur le sommet du G20, et a eu pour objet de copier leurs documents de travail.

Surveillance / LOPPSI 2

Le Conseil constitutionnel a rendu sa décision sur la loi LOPPSI2 (DCC n°2011-625). De nombreux articles ont été censurés, si bien que la décision a été présentée comme un désaveu pour la politique sécuritaire du gouvernement. Pour ce qui nous intéresse ici, c’est-à-dire les articles relatifs aux nouvelles technologies en général et à Internet en particulier, il y a une censure, une validation et un silence.

Article 53 (censure)

L’article 53 a été censuré. Cet article sanctionnait pénalement (15 000 euro d’amende) le fait de revendre plus cher que leur prix d’achat, des billets d’entrée à des manifestations sportives, culturelles ou commerciales. On a en effet pu voir, ces dernières années, des billets atteindre des prix exorbitants sur eBay ou d’autres sites de vente aux enchères. Mais le législateur ne visait pas vraiment ces pratiques : il entendait notamment empêcher certains supporters d’équipes sportives de contourner les mesures prises par les organisateurs des rencontres pour les séparer des supporters de l’équipe adverse. Le Conseil constitutionnel a estimé que les moyens (interdiction générale, pour l’ensemble des manifestations sportives, culturelles et commerciales) étaient disproportionnés par rapport à l’objectif poursuivi (entre autres, empêcher les “dérapages” lors de certaines manifestations à base de ballon rond), et a trouvé dans l’article 53 une violation du principe de nécessité des délits et des peines.

Article 4 (validation)

L’article 4, sur le filtrage d’Internet, en revanche, a été validé. Rappelons que l’article 4, plusieurs fois dénoncé ici, permet à l’administration, sans saisine de l’autorité judiciaire, d’ordonner aux intermédiaires techniques français de bloquer des sites diffusant des contenus pédopornographiques. Parmi les critiques formulées contre cette disposition, les deux principales étaient les suivantes : 1) le filtrage est inefficace (il risque de toucher des sites légitimes, il n’est utile que face aux néophytes et non face aux réseaux criminels organisés qui savent parfaitement le contourner) ; 2) le filtrage est une forme de censure, donc de restriction de la liberté d’expression, qui doit être assorti de garanties juridictionnelles. Le Conseil constitutionnel a rejeté ces deux critiques. À la première, il a répondu qu’étant juge du droit et non de l’opportunité, il “ne saurait rechercher si les objectifs que s’est assignés le législateur auraient pu être atteints par d’autres voies, dès lors que les modalités retenues par la loi ne sont pas manifestement inappropriées à l’objectif visé”. À la deuxième critique, le Conseil constitutionnel a opposé que la décision de blocage faisait grief et que par conséquent, elle “est susceptible d’être contestée à tout moment et par toute personne intéressée devant la juridiction compétente [le juge administratif], le cas échéant en référé”. L’article 4 est donc déclaré conforme à la Constitution, malgré le caractère peu convaincant des arguments avancés par le gouvernement pour le défendre.

On se souviendra que dans sa décision relative à la loi Hadopi 1 (DCC n°2009-580 du 10 juin 2009), le Conseil constitutionnel avait exigé l’intervention de l’autorité judiciaire pour couper l’accès à Internet des personnes ayant téléchargé des fichiers contrefaisants. Cette intervention se manifestait par le caractère essentiel pour l’exercice de la liberté d’expression qu’a acquis, depuis quelques années, l’accès à Internet. Le même raisonnement aurait pu être suivi ici, puisque la coupure d’accès ou la censure d’un site poursuivent le même objectif (empêcher que telle ou telle information parvienne à l’internaute). Pourquoi, alors, ne l’a-t-il pas été ? Le site PCInpact a recherché, dans les cahiers de travail du Conseil constitutionnel, des explications plus détaillées (les motifs de la décision ne le sont pas vraiment) sur la validation de l’article 4. Il a ainsi trouvé que la lutte contre la pédopornographie peut, selon le Conseil constitutionnel, “justifier des mesures que la préservation de la propriété intellectuelle ne peut fonder”. Autrement dit, la censure du réseau serait justifiée, en l’espèce, par la gravité des comportements incriminés, mais elle ne saurait être étendue à n’importe quelle infraction. De manière détournée, le Conseil constitutionnel nous dit que si l’article 4 avait prévu le blocage des sites proposant des liens vers des contenus contrefaisants, il aurait certainement été déclaré contraire à la constitution (mais cela suffira-t-il à répondre aux craintes exprimées par l’AFNIC et par tant d’autres ?). La question est d’autant plus importante que les ayants droit tentent, comme l’atteste une récente condamnation de Google, de rendre les intermédiaires responsables du filtrage des contenus diffusés sur Internet (doctrine du “take down & stay down”).

Pendant que le ministre de la Culture parle d’un Internet civilisé aux États-Unis, les opposants au filtrage du réseau, déçus par la décision du Conseil constitutionnel, se préparent à saisir la Cour de justice de l’Union Européenne ou la Cour européenne des droits de l’homme, qui constitueraient le “dernier rempart au filtrage”.

Article 2 (silence)

Pour le reste, le Conseil constitutionnel ne s’est pas autosaisi de l’article 2 de la loi, qui incrimine notamment le fait de “faire usage d’une ou plusieurs données de toute nature permettant [d’identifier une personne] en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération”. Le problème avec l’article 2 n’est pas tant l’incrimination que la peine qui lui est associée. On comprend en effet parfaitement que le législateur réagisse aux nouvelles possibilités de nuire offertes par les nouvelles technologies (l’article vise en premier lieu l’usurpation d’identité), et notamment les réseaux sociaux. En revanche, la peine d’un an de prison et de 15 000 euro d’amende est beaucoup plus lourde que les peines destinées à sanctionner les délits de presse (pour lesquels il n’y a plus depuis longtemps de privation de liberté). Or, le fait de “faire usage d’une ou plusieurs données” peut parfaitement être compris comme incluant la publication d’informations. Comme le relève Numerama, le doute existe quant à la portée de cette disposition, notamment dans le cadre de l’utilisation des réseaux sociaux. Plusieurs scénarios sont envisageables : l’article pourrait faire l’objet d’une question prioritaire de constitutionnalité (la fameuse “QPC” dont on a parlé cette semaine à propos du procès de Jacques Chirac), ou être interprété par la jurisprudence judiciaire d’une manière qui exclut la peine de prison dans le cas d’un usage des données sur Internet. Cette dernière hypothèse est très probable : le juge pourrait décider que l’article 2 de la LOPPSI constitue le droit commun et en déduire, en application d’une jurisprudence constante selon laquelle l’application des dispositions spéciales relatives aux abus de la liberté d’expression est exclusive de l’application du droit commun, que les faits incriminés doivent recevoir la sanction du délit de diffamation.

dimanche 13 mars 2011 • 1332 mots • Thème(s) : Internet, propriété intellectuelle, Google, gouvernement, filtrage, réseaux sociaux, piratage, surveillance, sécurité, Hadopi, LOPPSI, censure, liberté d'expression, FAI, intermédiaires
revue

Numéro 47 - Semaine du 28 février au 6 mars 2011

Les thèmes de la protection des données (1) et de la neutralité du Net (2) dominent, cette semaine, l’actualité du droit des nouvelles technologies.

Protection des données, surveillance

Alors que 44% des internautes français se disent vigilants avec leurs données personnelles, l’événement marquant concernant la protection des données et la surveillance des internautes est la publication, près de 7 ans après l’entrée de vigueur de la Loi pour la Confiance dans l’Économie Numérique (LCEN), du décret d’application n°2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne.

Ce décret définit les données que les intermédiaires devront collecter, et la durée de leur conservation, lorsqu’un internaute publie un contenu sur Internet. L’article 1er du décret énumère la liste des données à conserver par chaque type d’intermédiaire.

1) Ce sont d’abord les données à collecter à chaque opération qui sont énumérées. Ces données doivent toujours être collectées, c’est une obligation : les intermédiaires devront donc modifier leurs infrastructures, si nécessaire, pour les collecter et les conserver.

Pour les fournisseurs d’accès, les données à conserver sont les suivantes : a) L’identifiant de la connexion (c’est-à-dire ? le numéro de téléphone ? et dans le cadre d’un accès par Wifi, sans ligne téléphonique associée ? de quoi parle-t-on exactement ?) ; b) L’identifiant attribué par ces personnes à l’abonné (le numéro d’abonné ? l’adresse IP ?) ; c) L’identifiant du terminal utilisé pour la connexion lorsqu’elles y ont accès (l’adresse MAC du périphérique ? son numéro de série ?) ; d) Les dates et heure (sic) de début et de fin de la connexion ; e) Les caractéristiques de la ligne de l’abonné (notamment le débit, le type de connexion, filiaire ou wifi, etc.).

Les hébergeurs doivent conserver : a) L’identifiant de la connexion à l’origine de la communication (adresse IP ?) ; b) L’identifiant attribué par le système d’information au contenu, objet de l’opération (en pratique, cela se résumera souvent à la colonne “id” de la table MySQL…) ; c) Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus (Http pour le Web, Smtp, Pop, ou Imap pour le courrier électronique, etc.) ; d) La nature de l’opération (si l’on se contente de stocker le type de requête http, GET, POST, PUT, DELETE, cela suffit-il ?) ; e) Les date et heure de l’opération ; f) L’identifiant utilisé par l’auteur de l’opération lorsque celui-ci l’a fourni (pseudonyme).

2) Ensuite, les données à conserver lors de l’inscription de l’utilisateur au service. Ces données ne doivent être conservées que si les intermédiaires “les collectent habituellement”. Autrement dit, pas d’obligation de modifier son infrastructure pour collecter ces données. Il s’agit : a) Au moment de la création du compte, l’identifiant de cette connexion (l’adresse IP ? quel intérêt si celle-ci est dynamique ?) ; b) Les nom et prénom ou la raison sociale (heureusement, ces données ne sont à conserver que si la personne les fournit) ; c) Les adresses postales associées (idem) ; d) Les pseudonymes utilisés ; e) Les adresses de courrier électronique ou de compte associées (idem) ; f) Les numéros de téléphone (idem) ; g) Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour (le hash MD5 ou SHA1, c’est-à-dire le mot de passe chiffré ? ou bien, le mot de passe en clair !?).

Doivent en outre être conservées les données relatives au paiement lorsque le service fourni est payant.

L’article 3 définit la durée de conservation : pour les données relatives aux opérations, 1 an à compter du jour de la création du contenu ; pour les données relatives au compte utilisateur, 1 an à compter de la fermeture du compte ; pour les données relatives au paiement, 1 an à compter du jour d’émission de la facture ou de l’opération de paiement (ce n’est pourtant pas la même chose…).

L’article 4 précise que la conservation des données est soumise aux règles de la loi Informatique et Libertés, notamment ses dispositions concernant la sécurité des données. Le décret n’est pas plus précis que la loi, et l’on reste dans le flou…

En 2007, l’ARCEP avait émis un avis dans lequel elle s’inquiétait de la conservation de certaines données qui, manifestement, “n’ont que peu de rapport ou même aucun avec l’identification de la personne ayant créé un contenu” : les caractéristiques de la ligne de l’abonné ; la nature de l’opération ; les mots de passe ou données permettant de le vérifier ou de le modifier ; les données relatives au paiement. En effet, toutes les données énumérées plus haut n’ont pas un rapport direct avec l’identification de l’abonné. Par exemple, l’adresse e-mail ou le numéro de téléphone n’entrent pas en compte dans la procédure d’identification, qui consiste généralement à associer un pseudonyme ou une adresse IP à un nom réel. Peu importe que l’on connaisse l’adresse e-mail ou le numéro de téléphone de l’internaute, car dès lors que l’on connaît son nom, celui-ci est bel et bien identifié. La conservation de ces données doit donc avoir un autre motif : préparer le terrain pour mettre en oeuvre rapidement et efficacement une surveillance complète de l’internaute, après qu’il ait été identifié.

Le site Numérama identifie un autre “bug” dans le décret : les intermédiaires (FAI et hébergeurs) ont l’obligation de conserver certaines données (celles relatives à chaque opération) pendant 1 an “à compter du jour de la création des contenus” ; or, puisqu’ils sont de simples intermédiaires (et non des éditeurs), ils n’ont pas à savoir qu’un contenu a été créé… Certains hébergeurs pourront satisfaire à cette obligation : par exemple, un logiciel de blog peut enregistrer dans la base de données MySQL l’heure de création de chaque enregistrement. D’autres hébergeurs, en revanche, auront plus de mal : tel est le cas de ceux qui se contentent de fournir les machines, l’internaute pouvant créer ou transférer du contenu avec les outils qu’il désire (par exemple avec le protocole FTP, sans passer par MySQL). Quant aux FAI, ils se contentent de fournir un accès à Internet, c’est-à-dire une adresse IP… ils n’ont strictement rien à voir avec les contenus créés sur les sites visités par l’internaute, et n’ont aucun moyen direct de savoir si telle ou telle requête crée un contenu. Pour le savoir, il faudrait mettre en oeuvre un filtrage DPI des données transmises sur le réseau. Or, un tel filtrage ne serait efficace que lorsque les données sont transmises au clair (exit, donc, les connexions SSL et celles passant par un proxy VPN).

On le voit, le décret sur la conservation des données est loin d’être parfait. Un recours devant le Conseil d’État devrait prochainement être déposé afin d’en obtenir l’annulation.

Neutralité du Net

Aux États-Unis, la question de la neutralité du Net fait toujours l’objet d’une polémique entre républicains et démocrates, depuis la publication du réglement de la FCC. Les républicains accusent la FCC de vouloir “contrôler” le Net. Plutôt étrange lorsqu’on sait que les républicains n’ont jamais hésité à élaborer des lois liberticides, comme le PATRIOT Act, au nom de la lutte contre le terrorisme…

En France, la proposition PS sur la neutralité du Net a été rejetée le 1er mars par 311 voix contre 218.

Nous parlions la semaine dernière de la volonté de Google d’amoindrir la visibilité des “fermes de contenu”. Sachant que ces sites sont au Web ce que les spams sont au courrier électronique, on est tenté de dire qu’il s’agit d’une bonne chose. Néanmoins, les mesures prises par Google posent deux problèmes. D’abord, les effets collatéraux, ou le déréférencement de sites parfaitement légitimes. Ensuite et surtout, le rôle de Google. La société américaine se présente comme un intermédiaire, qui n’est pas responsable des résultats de recherche (dans le cas où les liens pointent vers des contrefaçons, par exemple). Mais en opérant un tri des résultats selon un critère fondé sur le contenu des sites référencés, n’exerce-t-elle pas une forme d’activité éditoriale ?

dimanche 6 mars 2011 • 1366 mots • Thème(s) : Internet, Google, données personnelles, blog, DPI, LCEN, surveillance, FCC, infrastructure, FAI, intermédiaires
revue

Numéro 46 - Semaine du 21 au 27 février 2011

Au sommaire cette semaine, la protection de la vie privée des internautes, notamment dans le cadre des réseaux sociaux et de la téléphonie par Internet ; le système Hadopi en plein fonctionnement ; le filtrage et la régulation du réseau aux États-Unis.

Vie privée, réseaux sociaux et données personnelles

Le droit au respect de la vie privée est de nouveau dans l’actualité, cette semaine. C’est d’abord des “fuites” de données personnelles dont on a parlé. On sait que le droit au respect de la vie privée est un droit fondamental consacré à la fois en droit interne (par le Conseil constitutionnel) et en droit international (CEDH, notamment). Or, pour que ce droit soit garanti, il est nécessaire de réglementer l’usage des données personnelles (c’est-à-dire des données se rapportant à une personne et l’identifiant) : tel est l’esprit de la loi française “Informatique et Libertés” et de plusieurs directives communautaires. Cette réglementation crée, schématiquement, trois séries d’obligations pour les personnes responsables d’un traitement de données personnelles : des obligations relatives à la collecte des données (p. ex. le consentement de la personne intéressée), des obligations relatives à leur traitement (p. ex. la finalité du traitement qui doit être déterminée) et, enfin, des obligations relatives à leur sécurité. Il incombe ainsi au responsable du traitement d’assurer la sécurité des données, c’est-à-dire, pour ce qui nous occupe ici, d’assurer qu’elles ne soient pas accessibles par n’importe qui et, a fortiori, qu’elles ne soient pas librement accessibles sur le Web. Cette semaine, le bureau britannique des passeports a annoncé avoir perdu des données personnelles tout comme, en France, le site de l’UMP afficherait une liste d’adhérents facilement accessible sur le Web. Pour y accéder, il serait nécessaire d’exploiter une faille de sécurité et c’est précisément en ne corrigeant pas cette faille que le responsable du traitement violerait ses obligations.

Il arrive ainsi parfois que des données personnelles soient librement accessibles, en violation de l’obligation de sécurisation. Mais ce n’est certainement pas l’obligation issue de la loi Informatique et Libertés qui est le plus souvent méconnue. Ainsi, sur le Web, de nombreux sites utilisent des “cookies” (petits fichiers placés lors de la navigation sur le disque dur de l’ordinateur de l’internaute) afin de dresser un profil du visiteur. L’UE s’intéresse de près à la question, tout comme les éditeurs de logiciels (Microsoft, Google, Mozilla…) qui tentent d’élaborer des mécanismes de “navigation privée” plus efficaces.

Mais le principal problème n’est pas là. Le volume de données collectées grâce à une faille de sécurité est bien moins important que celui des données volontairement publiées par les internautes. De même, la pertinence des données obtenues à l’insu de l’internaute par des cookies ou d’autres technologies plus ou moins invasives est bien inférieure à celle des données librement mises à disposition sur les réseaux sociaux. Il est ainsi inquiétant que près de la moitié des internautes américains soient inscrits sur Facebook (selon une étude américaine, le réseau social aurait le plus de succès auprès des femmes de 18 à 34 ans), d’autant plus que le réseau social est propice au “click-jacking” (intercepter le clic de l’internaute sur un lien pour l’envoyer sur un site où il n’avait aucune intention de se rendre). Alors aux États-Unis, dans le New Jersey, le chef de la police d’une petite ville conseille aux parents de “pirater” le compte Facebook de leurs enfants pour les surveiller.

Et avec tout cela, le juriste se pose une question : la preuve obtenue sur Facebook est-elle recevable ?

Vie privée et contenu des communications

Le très populaire logiciel de VoIP (“Voice over IP”, téléphonie par Internet) Skype ne respecterait pas la loi française. Pour comprendre, il faut commencer par se poser la question de la qualification de la société éditrice de Skype : est-elle un simple éditeur de logiciel, ou est-elle un opérateur de télécommunications ? En tant que simple éditeur de logiciel, elle est libre d’implémenter dans Skype les fonctions qu’elle désire. En tant qu’opérateur télécom, en revanche, elle doit se conformer à certaines obligations que lui impose la loi française. Il s’agit notamment des obligations d’acheminer les appels d’urgence vers la police, les pompiers ou les secours médicaux, et de permettre les écoutes ordonnées par la justice. L’Arcep, l’autorité française de régulation des télécoms, considère depuis 2007 que Skype est un opérateur de télécommunications, et qu’il viole donc la loi française en n’exécutant pas les obligations qu’elle lui impose. Si la question refait surface aujourd’hui, c’est parce que Skype prépare son entrée en bourse et que la SEC (autorité américaine de régulation des marchés financiers) s’intéresse à cette situation.

Propriété intellectuelle, Hadopi

Selon Numerama, qui surveille de près l’activité de l’Hadopi grâce aux témoignages des internautes, la Haute autorité fonctionnerait à plein régime, envoyant toujours plus d’e-mails de menace. Pour autant, tout cela se déroule dans la plus grande opacité, puisque le juge n’est saisi que dans la dernière phase de la procédure et qu’en attendant l’Hadopi peut traiter des adresses IP et envoyer des courriers sans contrôle judiciaire et sans recours pour les personnes concernées (selon le ministère de la Culture, le recours pour excès de pouvoir devant les juridictions administratives n’est pas plus ouvert contre les courriers de l’Hadopi, ceux-ci ne faisant pas grief à l’internaute…CQFD).

Pour autant qu’on critique le système Hadopi, on doit lui reconnaître un mérite. Il permet en effet une répression du téléchargement illicite plus “juste” que celle qui est menée aux États-Unis, à coup de “reverse class action” et d’amendes exorbitantes. Mais il aurait été parfaitement possible d’aboutir à un système juste et équitable sans la lourdeur et la complexité de la procédure Hadopi. En Suède, par exemple, un internaute a été condamné à payer 229 euro d’amende pour avoir téléchargé 44 chansons (soit 5,2 euro par chanson ; pour information, la plupart des morceaux sur iTunes sont vendus entre 0,99 euro et 1,5 euro).

Liberté d’expression, Filtrage

En Lybie, une révolution est en cours, un peu comme celles qui viennent d’avoir lieu en Tunisie et en Égypte. En Lybie, comme ce fut le cas en Tunisie et en Égypte, le pouvoir tente de censurer le Web. Cela montre, une fois encore, la peur que les dictateurs ont de ce nouveau moyen de communication permettant des échanges directs et libres entre les personnes. Les dirigeants chinois ne s’y trompent pas, et intensifient encore la censure d’Internet.

Les autorités américaines reconnaissent le blocage de 84 000 sites licites dans le cadre de la lutte contre la pédopornographie en ligne. Comme nous l’avions dit la semaine dernière, cela incite à s’interroger sur le bien fondée du filtrage prévu par la loi française LOPPSI. Celle-ci est actuellement devant le Conseil constitutionnel, qui devrait rendre sa décision prochainement. Une autre décision, de la Cour constitutionnelle allemande, devrait être rendue sur la loi allemande sur le blocage des sites pédopornographiques, qui est comparable sur certains points à la LOPPSI.

Régulation, neutralité du Net

Le blocage de sites légitimes aux États-Unis soulève une autre question : la place occupée par ce pays dans la régulation du réseau. La plupart des infrastructures d’Internet sont aux États-Unis, si bien qu’elles se trouvent soumises aux lois et à la justice de ce pays(es). En cas de conflit de lois ou de décisions de justice, le droit américain aura toujours le dernier mot. Certains, et notamment l’ICANN, y voient une menace pour la gouvernance d’Internet.

Au même moment, le géant Google se trouve au centre de trois questions importantes relatives à la neutralité du Net. 1) D’abord, la société américaine fait l’objet d’une nouvelle plainte auprès de la Commission européenne. Google est accusée d’abuser de sa position dominante dans le domaine de la recherche, en privilégiant ses propres sites dans son algorithme de recherche(en). 2) Ensuite, Google a justement annoncé cette semaine une modification de son algorithme visant à privilégier les sites fournissant un contenu original au détriment des “fermes de contenu”(es). Il s’agit de sites qui “aspirent” le plus de contenu possible, en provenance de diverses sources, afin d’attirer le plus d’internautes possible et de gagner de l’argent grâce à la publicité ; cependant, les contenus aspirés ne sont pas classés ou analysés, ils n’ont aucune valeur ajoutée, et ne sont souvent utiles en rien aux internautes. Autrement dit, ces sites sont au Web ce que le Spam est aux e-mails. Il est donc difficile de reprocher à Google de les filtrer… même si, ce faisant, il perd de sa neutralité ! 3) Enfin, Google a déposé un amicus curiae (en common law, mémoire donné au tribunal par un tiers dans lequel ce dernier expose son analyse juridique de l’affaire) dans l’affaire IsoHunt (moteur de recherche de fichiers .torrent). Pour Google, IsoHunt est bien destiné au téléchargement illicite ; il ne peut donc être protégé par la jurisprudence Grokster. Cependant, Google estime que cela ne devrait pas suffire à exclure la protection conférée par la loi DMCA aux intermédiaires (telle est la qualification des moteurs de recherche), car les deux questions sont indépendantes l’une de l’autre.

dimanche 27 février 2011 • 1534 mots • Thème(s) : Internet, neutralité, téléchargement, Google, vie privée, données personnelles, Facebook, filtrage, réseaux sociaux, LCEN, Hadopi, LOPPSI, censure, USA, liberté d'expression, droit international, régulation, ICANN
revue

Numéro 45 - Semaine du 14 au 20 février 2011

L’actualité des nouvelles technologies est, cette semaine, très judiciaire. Hormis la saisine(pdf) du Conseil constitutionnel contre la loi LOPPSI2, elle est en effet dominée par plusieurs décisions de la Cour de cassation relatives à la responsabilité des intermédiaires.

LOPPSI 2

C’est l’article 4 de la LOPPSI2 qui continue de faire polémique. On sait que cet article permet le filtrage du réseau dans le cadre de la lutte contre la pédopornographie. Bien entendu la finalité, parfaitement légitime, n’est pas contestée. Ce sont les moyens (le filtrage), et leurs conséquences qui sont dénoncés.

D’aucuns craignent en effet que l’autorisation de censurer des sites pédopornographiques soit ensuite étendue à d’autres sites, comme les sites de partage illicite d’œuvres protégées par le droit d’auteur. Un tel filtrage existe en Australie, et il a servi à bloquer, notamment, des sites de jeu en ligne, des pages de Wikipédia ou de Wikileaks.

Ensuite, ce sont les effets “collatéraux” des mesures de filtrage qui sont dénoncés. Le filtrage basé sur des “listes noires” et reposant sur un blocage DNS ne ferait pas dans la dentelle et causerait, pour bloquer un site illicite, la censure de nombreux sites licites et légitimes. Aux États-Unis, par exemple, ce ne sont pas moins de 84000 sites qui ont été bloqués à tort par des mesures prises pour lutter contre la pédopornographie.

Cette situation a amené la Commission des libertés civiles du Parlement européen à rappeler que le filtrage devait répondre aux principes de nécessité et de proportionnalité, et que les titulaires de sites bloqués devaient être en mesure d’exercer un recours en justice contre la mesure de blocage.

LCEN

La Loi pour la Confiance dans l’Économie Numérique (LCEN) du 21 juin 2004, transposant la directive européenne “commerce électronique”, prévoit à son article 6 un régime spécial de responsabilité pour les “intermédiaires” d’Internet, et plus particulièrement pour les “hébergeurs”. Les hébergeurs permettent à des tiers de diffuser du contenu sur le réseau, sans opérer eux-mêmes de contrôle sur ce contenu. N’exerçant pas d’activité éditoriale, ils sont en principe exonérés de responsabilité pour la diffusion de contenus illicites et les dommages causés par cette diffusion. En revanche, ils engagent leur responsabilité lorsqu’ayant été notifiés de la diffusion d’un contenu manifestement illicite, ils n’ont rien fait pour la faire cesser. Leur faute ne réside donc pas dans un comportement actif (la diffusion du contenu, qui est le fait de l’éditeur ou de l’auteur), mais dans leur passivité (ils n’ont rien fait pour faire cesser la diffusion d’un contenu qu’ils savaient illicite).

Les avantages d’un tel système sont évidents pour qui est qualifié d’hébergeur : la garantie de pouvoir diffuser du contenu sans être tenu responsable civilement ou pénalement de son illicéité. Cela profite également à la liberté d’expression, puisque les hébergeurs n’ont pas à opérer de censure (contrôle a priori) des contenus diffusés. Ce n’est qu’a posteriori, après la diffusion, que l’hébergeur doit contrôler la licéité d’un contenu, si et seulement si celui-ci lui est dûment signalé (le formalisme est drastique) comme étant illicite.

On comprend donc qu’un grand nombre d’opérateurs du Web 2.0 aient tenté d’obtenir la qualification d’hébergeur. La définition de l’hébergeur a été élaborée au début des années 2000, à l’époque où le Web 2.0 ou “social” n’existait pas encore, en des termes technologiquement neutres. On se retrouve donc dans une situation où la loi, bien que n’ayant pas été prévue pour s’appliquer à ces nouveaux sujets, peut s’appliquer à eux grâce à sa formulation plutôt abstraite. La jurisprudence en la matière est très dense (on n’y reviendra pas ici), et l’on compte autant de décisions qui admettent que YouTube, Dailymotion, eBay, Facebook ou d’autres sites semblables sont des hébergeurs, que de décisions qui rejettent cette qualification. La question a été soulevée en France comme ailleurs, sans jamais être réellement tranchée.

Une nouvelle étape a cependant été franchie cette semaine, par la première chambre civile de la Cour de cassation, dans un arrêt du 17 février 2011 où elle qualifie Dailymotion d’hébergeur (voir aussi l’arrêt rendu dans l’affaire Fuzz). La Cour revient ainsi sur sa jurisprudence précédente, résultant de l’arrêt Tiscali du 10 janvier 2010. L’arrêt rendu entre temps par la CJCE n’y est sans doute pas pour rien.

La qualification d’hébergeur attribuée à Dailymotion constitue un sérieux obstacle pour les ayants droit lancés dans la lutte contre la contrefaçon. En effet, ces derniers ne pourront plus assigner directement en justice les sites communautaires ; ils devront d’abord contacter l’internaute à l’origine de la diffusion du contenu pour lui en demander le retrait (ou échouer à le contacter) puis, s’il refuse d’obtempérer, signaler l’illicéité de ce contenu à l’hébergeur et attendre qu’il le retire. Ce n’est que si l’hébergeur ne retire pas le contenu qu’ils pourront l’assigner en responsabilité.

On l’aura compris : les ayants droit veulent que les sites communautaires soient qualifiés d’éditeurs, pour que l’application du régime de responsabilité de droit commun les incite à filtrer a priori les contenus publiés par les internautes, tandis que les sites communautaires eux-mêmes soutiennent qu’ils agissent en tant qu’hébergeurs, de manière à être exonérés de responsabilité tout en profitant parfois (souvent, pour certains) de la diffusion de contenus illicites. Il y a donc une part de mauvaise foi dans les deux camps : les ayants droit tentent par tout moyen de censurer Internet, et les sites communautaires font semblant de croire que l’enjeu du contentieux est le régime de responsabilité des intermédiaires (en réalité, celui-ci n’est jamais contesté) alors qu’il réside en réalité dans leur qualification juridique. Autrement dit, il n’est pas contesté que les hébergeurs n’ont pas d’obligation de surveillance des contenus hébergés, il est contesté que les sites communautaires soient des hébergeurs (et l’on trouve la raison de cette contestation dans ce qui a été dit plus haut : la rédaction de la loi dans des termes technologiquement neutres, à une époque où le Web 2.0 n’existait pas).

C’est dans ce contexte qu’intervient un récent rapport sénatorial proposant une troisième voie, à mi-chemin entre hébergeur et éditeur. Les sénateurs constatent d’abord que les sites communautaires, contrairement aux hébergeurs traditionnels (ceux qui ne font qu’offrir des machines à la location), ont un intérêt économique direct à diffuser le contenu fourni par les internautes. Plus ce contenu est intéressant pour les internautes, plus il y aura de visites et plus les revenus issus de la publicité contextuelle augmenteront. Or, l’on sait que les contenus contrefaisants sont particulièrement attrayants… Cette constatation des sénateurs est parfaitement fondée. En revanche, leur proposition l’est moins, puisqu’elle réintroduit une obligation à la charge des sites communautaires “de mettre en place tous moyens propres à assurer une surveillance des contenus qu’ils hébergent”. Cela revient à imposer la censure, alors qu’elle devrait être interdite et le sort des contenus déterminé a posteriori par leur licéité.

La question de la qualification des sites communautaires fera donc sans doute couler encore beaucoup d’encre…

dimanche 20 février 2011 • 1162 mots • Thème(s) : Internet, responsabilité, Facebook, LCEN, surveillance, Hadopi, LOPPSI, droit d'auteur, liberté d'expression, FAI, intermédiaires
revue

Numéro 44 - Semaine du 7 au 13 février 2011

Nous revenons cette semaine sur le vote de la loi LOPPSI 2 (1), l’affaire de la présence d’un commissaire du gouvernement à l’ARCEP (2), la taxation de l’iPad avec la redevance pour la copie privée (3), le filtrage du réseau et le rôle des intermédiaires (4).

LOPPSI 2

L’événement marquant dans l’actualité des nouvelles technologies, cette semaine, est le vote de la loi LOPPSI 2 (dont nous avions parlé à plusieurs reprises lors de son élaboration). Avant de parler à nouveau de la LOPPSI, rappelons 3 choses : 1) il s’agit d’une loi sécuritaire à portée générale, qui contient des dispositions relatives aux nouvelles technologies, sans toutefois se cantonner à ce domaine ; 2) le danger représenté par certaines dispositions n’est pour le moment que potentiel : tout dépendra de la mise en œuvre de la loi ; 3) il faudra donc attendre, pour pouvoir formuler des critiques concrètes, que les décrets d’application soient publiés et que la jurisprudence sur l’interprétation de la LOPPSI se forme. En outre, on précisera que le Conseil constitutionnel pourrait être saisi par l’opposition afin d’examiner la conformité de la LOPPSI à la constitution.

Ce rappel étant effectué, on peut signaler les 3 points les plus importants pour le droit des nouvelles technologies :

  • L'article 4 permet la mise hors ligne d'images pédopornographiques. La critique principale formulée à l'encontre de cet article est l'automaticité de la procédure (administrative) qui pourrait conduire, craignent les contempteurs de la LOPPSI, à une censure du réseau.
  • L'article 36 (ancien article 23) permet à la police, sur autorisation judiciaire, de mettre en œuvre des mesures d'espionnage informatique. L'une des mesures est l'installation d'un spyware/keylogger.
  • L'article 2 sanctionne l'usurpation d'identité en insérant un nouvel article dans le Code pénal, ainsi formulé : « Art. 226-4-1. – Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000 € d’amende. » -- « Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne. » La critique principale de cet article réside dans le risque d'atteinte à la liberté d'expression.

La LOPPSI contient bien d’autres dispositions relatives au droit des nouvelles technologies. On remarquera ainsi que, sans créer de nouveau dispositif, elle adapte plusieurs articles de loi aux nouvelles technologies. Par exemple, l’article 3 complète des dispositions pénales en ajoutant, après « en bande organisée », « ou sur un réseau de communication au public en ligne ».

ARCEP et commissaire du gouvernement

Dans un tout autre domaine, celui de la régulation des télécommunications, le gouvernement a décidé d’être représenté à l’ARCEP. Rappelons que l’ARCEP est une autorité de régulation des télécoms indépendante du pouvoir exécutif.

L’ARCEP, qui compte bien rester indépendante, s’oppose à la proposition du gouvernement. L’Union européenne rejoint l’ARCEP en désapprouvant la position du gouvernement. Le Sénat également, voit d’un mauvais œil cette ingérence de l’exécutif dans l’activité d’une autorité de régulation indépendante.

Redevance copie privée

Le prix de l’iPad devrait augmenter de 12 euro. L’augmentation est due à l’application de la taxe pour la copie privée qui a pour but de compenser le manque à gagner, pour les ayants droit, résultant de la copie privée d’œuvres protégées par le droit d’auteur (car si l’on copie une œuvre, on ne l’achète pas une deuxième fois).

Cette mesure est jugée absurde par de nombreux experts. En effet, elle porte uniquement sur les appareils sous Apple iOS et Google Android, à l’exclusion de ceux sous Linux et Windows.

Pourquoi cela est-il incohérent ? Deux raisons peuvent être invoquées. La première prête à sourire : Android est un système Linux ; il est donc contradictoire de taxer Android tout en exonérant Linux.

La deuxième est plus sérieuse. Commençons par nous demander pourquoi taxer les tablettes. Comme il a été dit plus haut, la redevance pour la copie privée a pour but de compenser le manque à gagner résultant de la copie privée. On taxe donc les tablettes parce qu’elles permettent de réaliser des copies privées d’œuvres soumises au droit d’auteur, tout comme les baladeurs MP3 ou les CD vierges (qui sont aussi taxés). Poursuivons en nous demandant si les tablettes iOS/Android sont différentes, à ce titre, des tablettes Windows/Linux. La réponse est affirmative : les tablettes iOS/Android (particulièrement les iPad), évoluent dans un écosystème plus fermé que les tablettes Windows/Linux, ce qui rend la copie privée plus difficile (notamment chez Apple, avec les DRM). On en conclut que les tablettes Windows/Linux ont plus de raisons encore que les tablettes iOS/Android d’être soumises à la taxe pour la copie privée.

Alors, pourquoi distinguer entre les tablettes iOS/Android et les tablettes Windows/Linux ? Il y a une raison théorique et une raison pratique.

La raison théorique est la suivante : les systèmes iOS/Android sont conçus spécifiquement pour les tablettes, qui se distinguent à ce titre des véritables “ordinateurs” ; en revanche, Windows et Linux sont des systèmes d’exploitation d’ordinateur. Or, iOS et Android partent du principe, dans leur conception, que les tablettes servent principalement à consulter du contenu. Windows et Linux ne partent pas de ce principe, et ne distinguent pas entre création et consultation de contenus. On peut donc en conclure (bien qu’en pratique une telle conclusion soit hautement contestable) que l’utilisateur d’iOS/Android fera des copies privées, alors que celui de Windows/Linux n’en fera pas nécessairement.

La raison pratique est moins légitime. Le premier fabricant français de tablettes (Archos) produit des tablettes sous Windows/Linux, et non sous iOS/Android. Il échappe donc à la taxation, contrairement à la majorité de ses concurrents qui sont des sociétés étrangères produisant des tablettes sous iOS/Android. Il s’agirait donc simplement d’une mesure protectionniste.

Propriété intellectuelle, neutralité du Net et filtrage

La Cour de cassation a rendu cette semaine un arrêt très attendu. Le problème était le suivant : les sites de partage illicite (direct download, streaming, liens bittorrent…) sont financés, en grande partie, par la publicité ; un des meilleurs moyens de les faire cesser étant de couper leur financement, les ayants droit se sont attaqué aux annonceurs. Les annonceurs font appel à une régie publicitaire qui, à son tour, achète des emplacements publicitaires sur les sites. La Cour relève que les annonceurs ne sont pas en contact direct avec ces sites, et qu’ils ne sont pas au courant du caractère illicite des informations qu’ils diffusent. Par conséquent, ils ne sont pas responsables.

Une autre affaire, actuellement pendante devant la CJUE, concerne la segmentation par pays des boutiques en ligne de musique ou de vidéos. Or, l’avocat général près la CJUE estime, dans ses conclusions, qu’une telle segmentation est contraire au principe de liberté de prestation de services consacrée par le traité instituant l’UE.

Plus inquiétant, le projet de loi COICA revient à l’ordre du jour au Congrès américain. Ce projet (donc nous avions déjà parlé à plusieurs reprises) a pour but d’impliquer les intermédiaires (les fournisseurs d’accès et les hébergeurs, principalement), les services de paiement en ligne et les régies publicitaires, dans la lutte contre la contrefaçon en ligne.

Sur le même thème du filtrage, une étude d’OpenDNS nous apprend que la censure touche principalement les sites pornographiques et Facebook (au vu des événements récents en Tunisie et en Égypte, on comprend pourquoi…). En France, le FAI Orange confirme à nouveau qu’il refuse le filtrage DPI (rappel : il s’agit d’analyser le contenu des communications sur le réseau, comme si La Poste ouvrait les enveloppes pour lire les lettres). Cette position courageuse risque de ne pas tenir, car il existe bel et bien une tendance générale, au niveau mondial, à transformer les intermédiaires techniques en “gendarmes de la toile”(en).

Aux États-Unis, l’association d’ayants droit MPAA a porté plainte contre l’hébergeur de fichiers Hotfile. La MPAA reproche à Hotfile d’avoir construit un modèle économique sur le partage de fichiers contrefaisants. Cela est en effet indéniable : si les hébergeurs comme Hotfile, Rapidshare et Megaupload ont tant de clients, c’est bien parce qu’ils hébergeur de la musique et des films. Peu de gens ont besoin de disposer d’un énorme espace de stockage pour partager leurs créations musicales ou leurs films de vacances. Les services d’hébergement et de téléchargement n’auraient pas connu un tel succès s’ils ne permettaient d’échanger que des fichiers licites. Pourtant, l’action de la MPAA va probablement échouer. En effet, d’une part, s’il est possible de prouver que tel ou tel fichier illicite est hébergé par tel ou tel service, il est quasiment impossible de prouver que ce service a fondé son modèle économique sur l’hébergement de fichiers illicites. D’autre part, les hébergeurs sont protégés, aux États-Unis comme en Europe, par un régime spécial qui les exonère de responsabilité à moins qu’ils aient refusé de mettre hors ligne un contenu manifestement illicite qui leur est dûment signalé.

En Espagne, la lutte contre le partage illicite de fichiers protégés par les droits d’auteur continue, avec la loi Sinde dont nous avions parlé en décembre dernier, et qui (es) revient aujourd’hui sur le devant de la scène. La loi devrait être votée prochainement et entrer en vigueur cet été.

dimanche 13 février 2011 • 1566 mots • Thème(s) : téléchargement, linux, LOPPSI, USA, Tunisie, Orange, COICA, Sinde, FAI, intermédiaires
revue

Numéro 43 - Semaine du 31 janvier au 6 février 2011

La coupure totale d’Internet en Égypte, dont nous parlions la semaine dernière, n’a pas duré. L’accès à commencé à être rétabli vers le milieu de la semaine. Pendant ce temps, Google proposait de “twitter” par téléphone, l’armée utilisait les SMS, et la Chine en profitait pour bannir le mot clé egypte des réseaux sociaux (ainsi que les lapins en colère). Au final, la coupure aurait coûté 65 millions d’euro selon l’OCDE.

L’actualité du P2P est également intéressante cette semaine. En France, le dossier eMule-Paradise est renvoyé à l’instruction, une partie de la procédure étant frappée de nullité. Rappelons qu’eMule-Paradise était un site de partage de liens pour le réseau eDonkey/eMule vers des fichiers contrefaisants (300 000 visiteurs par jour). Le procès du site devait servir d’exemple.

L’Hadopi évolue vers une plus grande automatisation, avec la transmission informatisée des dossiers au parquet. Le décret a été examiné par la CNIL, il devra l’être par le Conseil d’État. Dans le même temps, l’on se demande quelle est l’efficacité de la loi Hadopi : une guerre des sondages fait rage et l’on peine à savoir si la riposte graduée dissuade vraiment les internautes d’utiliser le P2P. La loi Hadopi est une nouvelle fois dénoncée comme étant archaïque, puisqu’elle ne vise que les réseaux P2P à l’exclusion des sites de téléchargement direct ou de streaming.

En tout cas, la loi Hadopi a un effet qui était prévisible, mais qui fut ignoré par le législateur : elle incite les internautes à chiffrer leurs échanges afin de mettre en échec la surveillance. Or, une fois les échanges chiffrés, toute surveillance devient plus difficile, qu’elle porte sur le téléchargement ou non. C’est pourquoi les services secrets voient le système Hadopi d’un mauvais oeil. La position de l’administration américaine est bien différente : leur priorité est de fermer les sites fournissant des liens vers les contenus illicites. La même idée a été avancée au Royaume-Uni, dans la loi Digital Economy Act dont l’adoption vient, une fois de plus, d’être retardée. L’industrie culturelle américaine, quant à elle, continue de faire feu de tout bois. Elle a inventé une procédure de “reverse class action”(en) par laquelle une plainte en justice pour téléchargement illicite vise un grand nombre de défendeurs.

Toujours concernant la propriété intellectuelle, une affaire de plagiat a opposé, cette semaine, Google et Microsoft. Google a accusé Microsoft, en début de semaine, de copier les résultats de son moteur de recherche pour les insérer dans Bing. Google a mis en place un “piège”. Dans un premier temps, des requêtes totalement improbables (par exemple : “hiybbprqag”), qui ne renvoient normalement aucun résultat, ont été dotées de certains résultats choisis (bien entendu, sans aucun rapport avec la requête). Dans un deuxième temps, Google a demandé à ses employés de lancer ces requêtes sur son moteur de recherche depuis un ordinateur avec Windows et la barre Bing du navigateur Internet Explorer. Dans un troisième temps, ils se sont rendu compte que Bing avait repris certaines de ces requêtes, et qu’il fournissait les mêmes résultats improbables que Google. La barre Bing serait donc, en quelque sorte, un “cheval de Troie” permettant à Microsoft de connaître les requêtes émises par les internautes sur Google, et les résultats choisis par les internautes parmi ceux renvoyés par le moteur de recherche. En fin de semaine, après la réponse de Microsoft, c’est toutefois Google qui a pris la place du méchant dans l’affaire : il semblerait qu’il s’agisse d’une opération de dénigrement montée par Google à l’encontre de son concurrent le plus sérieux. Les algorithmes de recherche des deux moteurs étant secrets, il est difficile de savoir qui dit vrai.

Parlons ensuite d’une autre affaire, beaucoup plus inquiétante. Le site Rojadirecta.org diffusait en streaming et fournissait des liens vers des matchs sportifs à l’attention du public espagnol. Le site, bien que jugé licite en Espagne, était considéré par les autorités américaines comme étant contraire à la loi. Le département de la justice des États-Unis et l’Immigration and Customs Enforcement faute de pouvoir atteindre la société espagnole gérant le site ou son hébergeur, situé en dehors des USA, se sont attaqué au nom de domaine “.org” géré par une société américaine. Le nom de domaine a donc été désactivé, rendant le site inaccessible pour un temps. Par la suite, d’autres noms de domaine ont pris le relai, et le site a retrouvé sa visibilité sur le réseau. L’affaire pose deux questions importantes : 1) celle de la légitimité de l’action américaine, clairement extraterritoriale, face à un site jugé licite en Espagne ; 2) celle de l’efficacité de la mesure prise par les autorités américaines, sachant que d’autres domaines continuent de diriger vers le site incriminé.

Pour finir, mentionnons deux autres informations importantes cette semaine. D’abord, la sortie de Debian 6 “Squeeze” ce week-end. Ensuite, une nouvelle alerte concernant la pénurie d’adresse IPv4(en) qui semble, cette fois, être sérieuse(en).

dimanche 6 février 2011 • 838 mots • Thème(s) : Internet, téléchargement, P2P, propriété intellectuelle, Google, gouvernement, réseaux sociaux, piratage, surveillance, Hadopi, USA, Espagne, Égypte, Twitter, droit international, DNS
revue

Numéro 42 - Semaine du 24 au 30 janvier 2011

Il y a deux semaines, dans le numéro 40, nous parlions de la révolution tunisienne et du rôle des réseaux sociaux du Web 2.0 dans le mouvement populaire de protestation contre le régime de Ben Ali. Cette semaine, l’on en apprend un peu plus sur le filtrage mis en place par l’ancien pouvoir tunisien et sur les contremesures prises par les réseaux sociaux. Facebook a été particulièrement visé. Le gouvernement tunisien avait lancé, dès décembre, une attaque de type “man in the middle” contre le site. Le but d’une telle attaque est de se placer entre l’émetteur d’un message (l’internaute) et son destinataire (Facebook), afin d’intercepter ce message et de le rediriger vers un autre destinataire. Une telle attaque est possible, à l’échelle d’un pays, grâce au concours des intermédiaires locaux, comme les fournisseurs d’accès. La police tunisienne a donc tenté de rediriger les visiteurs de Facebook vers de fausses pages, afin d’obtenir leurs mots de passe. Facebook s’est récemment exprimé sur cette attaque(en). Le site a expliqué avoir réagi en sécurisant toutes ses connexions depuis la Tunisie par un passage forcé au protocole HTTPS. Après le “piratage” des comptes de Nicolas Sarkozy et de Marc Zuckerberg (le fondateur du site) ces derniers jours, Facebook a décidé de chiffrer systématiquement les connexions en utilisant le protocole HTTPS. Officiellement, la mesure vise à empêcher le “piratage” de comptes par l’interception des données de connexion transitant en clair sur les réseaux Wifi publics(en). Outre le chiffrement de la connexion, Facebook utilise désormais un système de contrôle “intelligent”, capable de détecter des incohérences qui pourraient révéler que la sécurité d’un compte a été compromise ; par exemple, si un internaute se connecte depuis la France à 19h et depuis le Japon à 19h10, c’est très probablement que son compte a été “piraté” par un tiers.

Aujourd’hui, l’histoire se répète en Égypte. Le peuple égyptien manifeste contre le pouvoir d’Hosni Moubarak, comme le peuple tunisien a manifesté contre celui de Ben Ali ; le Web égyptien favorise la contestation, comme l’avait fait un peu plus tôt fait le Web tunisien. Mais la réponse du gouvernement égyptien diffère en large mesure de celle de l’ancien gouvernement tunisien. La police de Ben Ali filtrait le réseau, c’est-à-dire qu’elle censurait certains sites. Tel n’est pas le cas en Égypte, où la censure est considérée (à juste titre) contraire à la liberté d’expression, et interdite. Malheureusement, la réponse du pouvoir égyptien n’en est pas moins sordide, puisque le pouvoir en place a décidé, dans un premier temps, de s’en prendre directement aux internautes. Un blogueur civil a ainsi comparu, il y a quelque temps, devant une Cour martiale.

Dans un deuxième temps, le mercredi 26 janvier, le gouvernement Égyptien a décidé de réagir “à la tunisienne” (ou “à l’iranienne”, au choix), en filtrant les réseaux sociaux Facebook et Twitter. Car ces sites ont tenu un rôle majeur dans l’organisation des manifestations contre le pouvoir en place. Bien sûr, le Web social n’est pas à l’origine de la révolte populaire (pas plus en Égypte qu’en Tunisie ou ailleurs), et il ne fait pas à lui seul une révolution. Ce sont les gens qui la font. Mais, précisément, les réseaux sociaux permettent de mobiliser et de coordonner les personnes dans le monde réel. L’effet mobilisateur est évident : il est difficile de se lever contre une dictature lorsqu’on est seul, mais cela devient plus aisé lorsqu’on sait que l’on n’est pas seul, que des milliers d’autres partagent les mêmes aspirations à la liberté. L’effet coordinateur est également facilement perceptible : les communications étant instantanées sur Internet, et l’information se propageant comme une trainée de poudre, des manifestations “spontanées” peuvent rapidement devenir très importantes.

Dans un troisième temps, le mouvement de protestation populaire s’intensifiant, le pouvoir égyptien a décidé de prendre une autre mesure, que l’on pourrait qualifier de drastique : le blocage de l’ensemble du réseau du pays. Cette mesure ne vise pas à censurer tel ou tel site (c’est le filtrage), mais à empêcher l’accès en bloc à tous les sites. Le jeudi 27 janvier 2011, l’Égypte a donc été “débranchée” du réseau Internet, comme l’illustre le graphique ci-dessous représentant l’évolution du trafic provenant des internautes égyptiens (source Harbor Networks, repris par Le Monde) :

[caption id=”attachment_245” align=”aligncenter” width=”540” caption=”Courbe de l'évolution du trafic Internet en provenance d'Égypte”]Courbe de l'évolution du trafic Internet en provenance d'Égypte[/caption]

C’est la première fois qu’un pays décide d’un blocage total d’Internet. Car le blocage ne porte pas que sur le Web (protocole HTTP/S), mais sur l’ensemble du réseau, c’est-à-dire également d’autres protocoles comme FTP (transfert de fichiers), SMTP/POP/IMAP (les e-mails), etc. Techniquement, le blocage égyptien repose sur la neutralisation des protocoles DNS et BGP. Il a un double effet : d’une part, les internautes égyptiens ne peuvent plus accéder à Internet (comprendre : aux sites locaux et étrangers) et, d’autre part, les internautes étrangers ne peuvent plus accéder aux sites égyptiens.

Comment cela est-il possible ? La réponse tient en quelques mots : grâce aux intermédiaires locaux, principalement les fournisseurs d’accès (FAI). Les FAI sont absolument indispensables dans l’accès au réseau, et ils sont nécessairement locaux. Ils constituent donc une cible de choix pour un gouvernement souhaitant établir une censure du réseau ou le bloquer comme c’est le cas en Égypte. C’est là l’une des principales failles du réseau : s’il est extrêmement difficile, voire impossible, de le contrôler en entier, il est en revanche facile de le bloquer au niveau local.

Le pouvoir égyptien a trouvé l’arme ultime contre Internet, face à laquelle même les hackers du groupe Anonymous se trouvent désemparés. On sait que ce groupe avait défendu le site Wikileaks en lançant des attaques par déni de service contre certains opérateurs participant à la croisade de l’administration américains contre le site de Julian Assange. Certains membres du groupe ont été arrêtés cette semaine, notamment en France, et risquent des peines de prison. Leur défense est d’ailleurs originale, puisqu’elle assimile attaque informatique à manifestation publique.

Mais revenons au blocage d’Internet, avec une nouvelle très inquiétante. Un sénateur indépendant américain remet en effet sur la table la fameuse proposition de loi contenant un “kill switch”(en) (Protecting Cyberspace as a National Asset Act of 2010). L’expression “kill switch” peut être traduite par le mot “interrupteur”. Nul besoin d’en dire plus pour comprendre qu’il s’agit de permettre à l’administration américaine de “couper Internet”, comme vient de le faire le gouvernement égyptien. La coupure pourrait être ordonnée par le Président en cas d’urgence et afin de préserver l’intégrité des infrastructures américaines. Cette loi était déjà dangereuse dans sa première version, mais elle l’est encore plus dans sa nouvelle rédaction qui exclut tout contrôle judiciaire de la mesure de coupure(en).

Quelles conclusions tirer de tout cela ?

1) D’abord, l’importance des intermédiaires techniques dans l’accès au réseau n’est plus à démontrer, et leur pouvoir sur les échanges ne fait aucun doute (interception, filtrage, blocage…). Il est donc absolument nécessaire d’assurer la neutralité du Net, c’est-à-dire l’absence de discrimination à raison du contenu des messages transitant sur le réseau, de leur provenance ou de leur destination, et du protocole qu’ils utilisent (Web, e-mail, chat, etc.). Cette idée-là n’est pas nouvelle.

2) Ensuite, la nécessité d’un contrôle judiciaire. L’idée n’est pas nouvelle non plus. On l’a vue en Tunisie et on le voit maintenant en Égypte, les mesures ordonnées unilatéralement et sans contrôle par le pouvoir exécutif sont rarement de nature à servir la démocratie. Elles tendent plutôt à renforcer ce pouvoir. C’est pourquoi il est nécessaire que les règles sur la neutralité du Net soient systématiquement sanctionnées par un contrôle judiciaire de légalité.

3) Enfin, une idée plutôt nouvelle que l’on peut tirer des événements actuels en Égypte : si le pouvoir exécutif peut faire la pluie et le beau temps sur le réseau national, allant même jusqu’à le bloquer totalement, il est nécessaire que sa neutralité soit garantie à l’échelle internationale. C’est une bonne chose que les législateurs nationaux adoptent des règles visant à garantir la neutralité du Net, mais des règles de source internationale, qui s’imposent aux États, semblent nécessaires au vu des derniers événements. Ces règles devraient pouvoir être sanctionnées par des juridictions internationales, car il est douteux que les juridictions nationales désavouent le pouvoir politique dans des pays qui connaissent la dictature.

Pour résumer : assurer la neutralité du Net par des règles de droit nationales et au besoin internationales, sanctionnées par les juridictions nationales et au besoin internationales.

dimanche 30 janvier 2011 • 1443 mots • Thème(s) : Internet, neutralité, blog, international, gouvernement, Facebook, filtrage, réseaux sociaux, piratage, sécurité, Wikileaks, censure, USA, Tunisie, liberté d'expression, infrastructure, Égypte, Twitter, Web 2.0, droit international
revue

Numéro 41 - Semaine du 17 au 23 janvier 2011

Une nouvelle affaire domine cette semaine l’actualité technologique sur le Web. Elle a trait au principe de neutralité du Net, mais elle est d’un genre nouveau. Il s’agit d’une bataille à trois protagonistes, tous “intermédiaires” : Orange, Cogent et Megaupload.

Décrivons d’abord l’origine du contentieux. Megaupload est un site hébergeant des fichiers mis en ligne par les internautes, et permettant à d’autres internautes de télécharger ces fichiers. Les internautes peuvent télécharger gratuitement, à bas débit, ou payer un abonnement à Megaupload et bénéficier d’un débit maximal (c’est-à-dire théoriquement égal au débit maximal de leur connexion). Le problème est que les abonnés du fournisseur d’accès Orange ne bénéficient presque jamais du débit maximal de leur ligne lorsqu’il téléchargent des fichiers hébergés par Megaupload. Il est même fréquent que la vitesse de téléchargement ne change pas, que l’internaute utilise la formule gratuite ou la formule payante de Megaupload. Ce dernier a donc accusé le FAI français de brider le débit des échanges avec son site. Orange s’est défendu en impliquant le troisième protagoniste de notre histoire : Cogent. Cogent est un intermédiaire technique pur et dur, qui permet aux opérateurs d’utiliser les “tuyaux” (techniquement, en fibre optique ; v. la carte du réseau Cogent) et leur garantit une certaine bande passante. L’interaction des trois opérateurs est illustrée par le schéma suivant :

[caption id=”attachment_228” align=”aligncenter” width=”300” caption=”Répartition des rôles Orange/Cogent/Megaupload Cliquez pour agrandir”][/caption]

Lorsqu’un internaute télécharge un fichier hébergé par Megaupload, les trois opérateurs interviennent dans la détermination du débit :

  • Megaupload achète de la bande passante à Cogent. Le débit dépend donc 1) de la capacité d'émission de Megaupload ; 2) de la bande passante achetée par Megaupload à Cogent.
  • Cogent achemine les données. Le débit dépend donc de la bande passante qu'il utilise pour acheminer les données de Megaupload à Orange.
  • Les données originaires de Megaupload et acheminées par Cogent parviennent à Orange. Le débit dépend donc 1) de la bande passante allouée par Orange à la réception des données transmises par Cogent ; 2) de la bande passante allouée par Orange à la transmission de ces données à ses clients.

Il suffit qu’un des trois intervenants limite la bande passante pour que l’internaute constate une baisse du débit. Dans le cas de l’affaire Megaupload, la question qui se pose est celle de savoir lequel des trois opérateurs limite la bande passante. Et bien sûr, ils ne sont pas d’accord entre eux, chacun accusant l’autre.

C’est Megaupload qui a lancé l’offensive, dirigée contre Orange, en affichant sur son site un message à l’attention des clients du FAI :
<blockquote>Il est probable que votre fournisseur Internet restreigne intentionnellement votre accès à des parties importantes de l’Internet! Nos statistiques de réclamations indiquent que la plupart des utilisateurs qui ont ce problème ont accès à l’Internet via France Télécom, souvent sous la marque “Orange”.

Si vous êtes concerné, veuillez appeler le service d’assistance téléphonique Orange au 3900 et dites-leur que vous ne pouvez vous connecter aux sites hébergés sur Cogent et TATA. Dites-leur également que vous envisagez de passer à un fournisseur Internet avec une excellente connectivité mondiale, tel que SFR ou Iliad (free.fr, Alice). Si vous êtes impatient et que vous avez besoin d’un bon service immédiatement, envisagez de changer votre fournisseur pour l’un d’entre eux, et assurez-vous de dire à Orange la raison de cette décision de résilier votre ligne!</i>

</blockquote>

La réponse du FAI français ne s’est pas fait attendre : Orange ne comprend pas pourquoi Megaupload a subitement décidé de faire parvenir aux internautes un tel message, d’autant que celui-ci a rapidement été retiré. Orange et Megaupload sont en contact permanent afin d’offrir le meilleur service possible. Toutefois, s’il est vrai que le débit est parfois assez lent, cela est dû, selon Orange, à l’affluence des internautes aux heures de pointe. Toujours selon Orange, le même problème existerait également chez d’autres FAI, peut être dans une moindre mesure du fait de leur nombre moins important de clients. Enfin, l’essentiel de l’argumentation d’Orange consiste à se défausser sur Megaupload qui devrait, selon le FAI français, mettre à niveau son infrastructure afin de fournir un service correct à tous ses clients. On perçoit dès lors plus aisément ce qui semble être, à ce stade, le cœur du problème : Orange ou Megaupload ou les deux opérateurs devraient réaliser des dépenses importantes pour améliorer leurs services, et aucun des deux ne veut payer.

C’est là une question importante qui se pose dans le cadre du débat sur la neutralité du net : qui doit payer ? Est-ce l’intermédiaire technique fournissant un accès à l’internaute qui doit permettre à celui-ci, en échange du paiement d’un abonnement, d’avoir accès à plein débit et sans aucune restriction à l’ensemble de la Toile ? Ou bien, est-ce l’opérateur fournissant du contenu aux internautes qui doit s’assurer que ce contenu parvient à ses destinataires dans de bonnes conditions ? Le site PCInpact rapporte le témoignage d’un opérateur anonyme : le fournisseur de bande passante de Megaupload ne ferait aucun effort pour assurer un bon transit des données des États-Unis et de Hong-Kong vers l’Europe, préférant laisser à Orange le soin d’aller chercher le contenu, en quelque sorte, là où il se trouve pour le ramener en Europe. La question “les bits sont-ils quérables ou portables ?” devra être tranchée dans le cadre du débat sur la neutralité du Net, car les deux positions sont a priori valables.

Suite de l’affaire, et intervention du troisième opérateur, Cogent. Celui-ci accuse à son tour Orange : l’opérateur français refuserait depuis des années d’augmenter la capacité de sa bande passante, jusqu’à provoquer intentionnellement ou par négligence une situation de congestion du réseau. Dès lors, on comprend mieux pourquoi MegaUpload a subitement décidé d’afficher le message cité plus haut aux abonnés Orange. Comme le révèle une interview du porte-parole de Megaupload dans Le Point, le but de ce message est de faire pression sur Orange afin d’aider Cogent dans ses négociations avec le FAI français. Cogent n’avait aucun moyen de pression sur Orange, car il ne pouvait atteindre directement ses clients. Megaupload, au contraire, peut les atteindre en leur faisant parvenir des messages.

En conséquence, Megaupload a décidé de mettre à nouveau le message en ligne. L’opérateur continue de soutenir que le problème vient d’Orange, qui refuse d’augmenter sa capacité de connexion à l’infrastructure Cogent (qui sert approximativement 17% d’Internet et plus d’un milliard d’internautes).

Pendant qu’Orange continue de pointer Cogent du doigt, ce dernier publie une réponse cinglante aux accusations du FAI français. Pour Cogent, le problème de débit vient non d’une négligence d’Orange mais d’un refus de négocier. Et ce refus trouverait une explication économique très simple : Orange revêt la double casquette d’intermédiaire technique et de fournisseur de contenu ; le FAI privilégierait donc les contenus qu’il fournit lui-même au détriment des contenus fournis par d’autres opérateurs. Selon Cogent, “France Telecom s’exprime volontiers publiquement sur la congestion des réseaux, mais force est de constater que lorsqu’il s’agit de fournir à ses clients des flux de données de plusieurs mégabits pour ses propres services (vidéo à la demande), cette prétendue congestion ne semble pas poser de problèmes…”. On le voit, très clairement, le principe de neutralité du Net doit intégrer certaines règles du droit de la concurrence afin d’éviter pratiques déloyales et abus de position dominante.

L’affaire Orange/Cogent/Megaupload se fait de plus en plus importante (alors qu’elle n’est pourtant pas nouvelle). Aux trois intervenants initiaux, se rajouteront probablement d’autres opérateurs et régulateurs. Le PDG de Cogent appelle Google à le rejoindre dans la bataille contre Orange. Il indique en effet, dans une interview au Point, qu’Orange bride volontairement le débit avec Cogent afin de pousser les opérateurs à recourir aux services de sa filiale OpenTransit, concurrente direct de Cogent sur le marché international. Il s’agirait, selon lui, d’une sorte de “taxe” (illégale, car issue d’une pratique de concurrence déloyale) imposée par Orange aux fournisseurs de contenu : “Google, par exemple, paie la filiale de France Télécom, OpenTransit, pour que YouTube soit pleinement accessible aux abonnés d’Orange !”.

Cette affaire, aussi obscure qu’elle soit (car l’on ne sait toujours pas qui dit vrai, dans tout cela), met en lumière certaines questions auxquelles le principe de neutralité du Net devra répondre :

  • Qui doit supporter le coût de l'acheminement des données : le destinataire ou l'émetteur ? Ce coût peut-il être partagé ?
  • Quelles règles doivent s'imposer à un fournisseur d'accès (intermédiaire technique) qui veut également fournir du contenu, afin qu'il ne soit pas en mesure d'exercer des pratiques déloyales à l'encontre de ses concurrents ?
  • Comment s'assurer qu'un fournisseur d'accès qui fournit également de la bande passante ne privilégie pas les sites qu'il sert au détriment de ceux servis par d'autres fournisseurs de bande passante ?
  • Comment garantir la "véritable" neutralité du transit, indépendamment de son émetteur (p.ex. Megaupload), de son destinataire (p. ex. le client d'Orange) et des intermédiaires qui disposent des "tuyaux" (p. ex. Cogent et OpenTransit) ?
  • Pourquoi l'ARCEP n'est-elle pas intervenue ? Comment devrait-elle intervenir ? De même, au niveau européen pour la Commission européenne (et notamment la "DG Comp" en charge des questions de concurrence). N'est-il pas nécessaire de s'entendre, au niveau mondial, pour régler ces questions ?
  • etc... (v. dans les semaines à venir, les suites de cette affaire)
dimanche 23 janvier 2011 • 1576 mots • Thème(s) : Internet, neutralité, téléchargement, Google, international, USA, Orange, Megaupload, Cogent, infrastructure, bande passante, économie, concurrence
Informatique

Quand apt-get réclame une fin de ligne

Le système de paquets Debian/Ubuntu est diablement efficace : les dépendances sont gérées automatiquement, il suffit d'une ligne dans la console, commençant par la fameuse commande "apt-get" pour installer ou supprimer un logiciel. Mais voilà : il y a parfois des problèmes qui, si petits soient-ils, parviennent à bloquer ladite commande. Tel est le cas du problème auquel cet article est dédié qui, d'après mes recherches, ne trouve aucun écho sur Google -- il doit donc être extrêmement rare ! mercredi 19 janvier 2011 • 1537 mots • Thème(s) : Informatique, Humour, Linux, Unix, Technique, Logiciels, Système
revue

Numéro 40 - Semaine du 10 au 16 janvier 2011

Pour commencer avec la revue du Web de la semaine, présentons quelques chiffres, un phénomène, une conséquence, un enseignement.

Les chiffres. Le site Clubic présente quelques chiffres relatifs à l’évolution d’Internet en 2010, provenant d’une étude de Pingdom(en). En décembre 2010, on a ainsi compté 255 millions de sites Web, dont 21,4 millions ont été créés dans l’année, pour un total de 202 millions de noms de domaine, soit une augmentation de 7% par rapport à 2009 (88,8 millions en .com, 13,2 millions en .net, 8,6 millions en .org, 79,2 millions pour les TLD de pays comme .fr pour la France). En juin 2010, le nombre d’internautes dans le monde a été évalué à 1,97 milliard, ce qui constitue une augmentation de 14% par rapport à l’année précédente. Ces internautes sont répartis ainsi : 42% en Asie, 24,2% en Europe, 13,5% en Amérique du nord, 10,4% en Amérique du sud, 5,6% en Afrique, 3,2% du Proche Orient, 1,1% en Australie et Océanie. Le nombre de blogs est évalué à 152 millions (dont 6 millions de nouveaux blogs WordPress), le nombre de “tweets” à 25 milliards (v. le site Twitter), le nombre d’utilisateurs de Facebook à 600 millions (qui produisent chaque mois 30 milliards de fichiers !). Chaque jour, 2 milliards de vidéos sont visionnées sur YouTube, et ce sont 35 heures de vidéo qui sont mises en ligne sur le site chaque minute. Le site Flickr contient près de 5 milliards de photographies, et 3000 nouvelles photos sont mises en ligne chaque minute. Le nombre d’e-mails envoyés en 2010 est gigatesque : plus de 100 000 milliards… et près de 90% de spam !

Un phénomène. Il n’est pas pas nouveau : les technologies Web 2.0 permettent aux gens d’établir une communication permanente entre eux sur le Web, les réseaux sociaux permettent aux informations importantes de se diffuser rapidement et de faire le tour de la planète en quelques heures, les sites tels que YouTube ou Facebook permettent aux internautes de mettre en ligne du contenu multimédia qu’ils produisent eux-mêmes. Trois “ingrédients” sont essentiels dans la définition de ces nouveaux medias :

  • l'origine de l'information : elle est créée et diffusée par l'internaute, le citoyen, et non par un journaliste professionnel. En conséquence, elle est souvent perçue comme étant plus fiable car l'on fera plus facilement confiance à une information communiquée par un ami ou un membre de sa famille, que par un étranger. Mais plus que cela, on peut créer une nouvelle information à partir d'une information reçue, par exemple en répondant à un billet de blog ou en relayant un message Twitter ("re-tweet") ;
  • la multiplication des points d'accès à l'information : on ne la trouve plus seulement à telle page du numéro N du journal X, puisqu'elle est relayée par de nombreux internautes, comme on peut notamment le voir sur Twitter ou dans la blogosphère. Le phénomène de bouche-à-oreille virtuel est donc amplifié par la structure des réseaux sociaux qui interconnectent leurs membres. Comme chaque internaute peut enrichir l'information avec sa propre réaction, une certaine émulation peut se créer autour d'une information générant, par exemple, un sentiment d'indignation, et former un "buzz" ;
  • le délai pour y accéder : plus besoin d'aller acheter le journal ou d'allumer la télévision à 20h, l'information en provenance du Web 2.0 arrive directement sous les yeux de l'internaute, quelques secondes à peine après avoir été créée. Le Web 2.0 a donc toujours une longueur d'avance sur les médias traditionnels, concernant la diffusion d'informations brutes. Cela implique que les réactions des internautes se font souvent "à chaud". Leur intensité est donc accrue, et l'effet de "buzz" s'en trouve renforcé.

Une conséquence. Parmi d’autres éléments, le Web 2.0 a favorisé la chute du président tunisien Ben Ali. Sur Internet “les informations circulent, le Web met en contact des citoyens qui, jusque-là, restaient sur leur quant-à-soi” ; aussi, après quelques semaines de gronde, il est évident que “le ver [étant] dans le fruit, la contradiction éclate. D’un côté, les médias traditionnels, étroitement contrôlés [par le gouvernement]. De l’autre, les Tunisiens, privés d’espace public, qui pianottent sur les claviers de leur mobiles et de leurs ordinateurs.” Et soudainement, le pouvoir en place s’aperçoit que “la censure ne peut plus être ce qu’elle était en Tunisie. Internet a levé le huis clos où elle opérait dans l’impunité, les brèches qu’elle colmate se reforment ailleurs.” (Bertrand Le Gendre, Les cyberopposants assiègent Carthage, Le Monde 16/17 janvier 2011). Samir Aïta, le président du Cercle des économistes arabes, a décrit ce phénomène dans un interview à Liberation : “L’Internet est présent dans toutes ces villes. C’est là, dans des cybercafés, chez les uns et les autres, que les jeunes parviennent à s’ouvrir sur le monde. A communiquer avec des diasporas lointaines. A voir le monde autrement.” ; “Il est indéniable qu’à mesure que se développe l’utilisation de ces technologies se développe aussi une critique à l’égard des pouvoirs en place” et (…) “En face, le discours officiel ne parvient plus à masquer cette réalité tant décriée.”

Le pouvoir en place tente par tous moyens de censurer le réseau(en) : des sites Web sont bloqués, des comptes Facebook et des blogs piratés. Ces tentatives sont souvent vaines, l’information diffusée par un site censuré était rapidement reprise par de nombreux autres sites qui parviennent encore, pour un temps, à passer entre les mailles du filet gouvernemental. En revanche, le pouvoir parvient toujours à exercer une répression brutale lorsque l’auteur d’un blog ou le propriétaire d’un compte Facebook contenant des propos contestataires est identifié. L’information parvient à passer, certes, mais ceux qui la diffusent le paient parfois au prix de leur sang.

Un enseignement. On sait depuis l’Areopagitica de John Milton, depuis Stuart Mill, Kant, Voltaire, Popper et tant d’autres, depuis les révolutions américaine et française, depuis la rédactions des Pactes de protection des droits de l’Homme de l’ONU et de la Convention européenne de sauvegarde des droits de l’Homme, que la liberté d’expression est nécessaire à la démocratie, qu’elle est l’une des libertés les plus précieuses. On sait maintenant qu’Internet est, à notre époque, le principal outil permettant aux citoyens d’exercer leur droit à s’exprimer librement, de manière responsable mais sans censure ou répression. Internet n’a pas été la cause du bouleversement politique tunisien, mais il en a été le principal vecteur. Sans le “Web social”, sans cette capacité des citoyens de communiquer entre eux rapidement, directement et librement, le président Ben Ali n’aurait probablement pas été déposé. Le premier enseignement est donc celui de l’importance d’Internet dans le débat démocratique.

Le second enseignement découle du premier : puisqu’Internet est si important pour l’ouverture du débat démocratique, puisqu’il est appelé à devenir indispensable s’il ne l’est pas déjà, il est nécessaire de le préserver. Cela signifie qu’il faut empêcher qu’il soit dénaturé, lutter pour qu’il conserve ses caractéristiques : un média citoyen, ouvert à tous, non censuré, et neutre quant à l’information qu’il véhicule.

Or, ce n’est pas ce chemin là qu’ont choisi nos dirigeants. On citera simplement, à titre d’exemple, la loi française “LOPPSI II” sur laquelle nous avons déjà tellement écrit qu’il est inutile d’y revenir. À l’échelle européenne, la Commission vient d’accepter le principe d’un filtrage des réseaux de P2P (qui, justement, se définissent par le caractère direct des échanges qu’entretiennent les internautes les uns avec les autres), sous contrôle judiciaire. De même, le filtrage du réseau est envisagé pour bloquer les sites pédopornographiques. Il n’y a rien à redire sur le principe d’un tel blocage. En revanche, on peut douter de son efficacité et craindre qu’il ait des “effets collatéraux” sur des sites licites, ou qu’il soit indûment étendu à des sites qui n’ont rien de pornographique. On peut également douter de la pertinence de la mesure de blocage, puisqu’elle empêche l’accès à l’information, sans pour autant la faire disparaître (celle-ci serait alors disponible en dehors de l’UE ou en passant par un serveur mandataire) et sans s’attaquer à la source du problème, les véritables pédophiles agissant dans le “monde réel”. La loi Hadopi poursuit d’ailleurs le même objectif : intimider les internautes et réprimer le partage d’œuvres à titre gratuit et dans un but culturel, plutôt que de s’attaquer aux personnes qui tirent des revenus du “piratage” et parviennent à organiser un véritable modèle économique très lucratif grâce au travail d’autrui.

En conclusion, les événements de cette semaine en Tunisie soulignent une fois de plus l’importance du combat mené pour qu’Internet reste un moyen de communication libre.

dimanche 16 janvier 2011 • 1427 mots • Thème(s) : Internet, neutralité, P2P, blog, libre, gouvernement, Facebook, filtrage, réseaux sociaux, piratage, Hadopi, LOPPSI, censure, Tunisie, liberté d'expression
revue

Numéro 39 - Semaine du 3 au 9 janvier 2011

Rien de bien nouveau en cette première semaine de l’année 2011. On retrouve les thèmes habituels, sans grand bouleversement.

Aux États-Unis, la FCC demande aux citoyens(en) qui ont des connaissances en programmation informatique de créer des logiciels permettant de détecter des atteintes au principe de neutralité du Net(en). Rappelons que la FCC avait proposé en décembre des règles destinées à garantir la neutralité du Net. Ces règles ont rapidement été jugées insuffisantes par les partisans d’un internet neutre (bien qu’elles fassent l’objet de quelques soutiens(en)), ou au contraire trop contraignantes par le parti républicain(en) qui prône une totale liberté des opérateurs dans la gestion de leur réseau.

Aux États-Unis encore, mais aussi en Europe et ailleurs, les réseaux sociaux en ligne continuent d’attirer un nombre toujours plus important d’internautes. Ainsi, ce ne sont pas moins de 750 millions de photos qui ont été publiées sur Facebook pour le Nouvel An ! Le site est tellement populaire outre-atlantique que même le parti républicain a décidé de l’intégrer dans sa stratégie de communication. En outre, Facebook connaîtrait un tel succès que sa valorisation boursière dépasserait les 50 milliards de dollars(es) et qu’il se classerait désormais au 3ème rang des sites les plus visités sur le Web, derrière Google et Microsoft. Par ailleurs, la SEC (l’autorité américaine de régulation des marchés financiers) envisagerait de modifier certaines règles suite à la levée de fonds de Facebook auprès de Goldman Sachs. Si Facebook prospère, il en va de même pour d’autres réseaux sociaux tels que linkedin qui envisage une entrée en bourse. De leur côté, Evernote (logiciel de prise de notes stockées dans le cloud) annonce 19.000 nouveaux utilisateurs chaque jour, et BitTorrent Inc. 100 millions d’utilisateurs de BitTorrent et µTorrent sur un mois.

Tout cela n’est pas sans poser quelques problèmes, notamment pour la protection de la vie privée et des données personnelles des internautes. Google Street View est ainsi de nouveau au centre de l’actualité : la Corée détiendrait des preuves de l’interception par Google de données transmises par Wifi. L’affaire est importante, car Google est l’un des principaux acteurs du Web social, déjà suspecté d’abus de position dominante par la Commission européenne, et son pouvoir devrait encore croître avec le succès grandissant que rencontre son navigateur Chrome (10% de parts de marché en 2010). Aussi, l’initiative de la CNIL de sensibiliser les collégiens et lycéens à la protection de leurs données est plus qu’opportune. Par ailleurs, le gouvernement envisagerait de permettre à la DGCCRF de constater les infractions à la législation sur la protection des données, et de transmettre ensuite le dossier à la CNIL.

L’actualité du droit de la propriété intellectuelle suit un chemin tracé d’avance : la loi Hadopi (dont il existe une cartographie de la controverse qu’elle suscite) dissuade les internautes de recourir aux réseaux P2P et, ce faisant, les incite à se replier sur les sites de téléchargement direct(es) ou sur les newsgroups binaires du réseau Usenet. Megaupload aurait ainsi progressé de 35% en un an, pour atteindre un total de 7,4 millions de visiteurs français en novembre 2010. D’où la question (cruciale) de la responsabilité des sites de téléchargement direct. Une Cour allemande a exonéré Rapidshare de responsabilité dans la contrefaçon d’un jeu vidéo : le site serait un hébergeur et, de ce fait, responsable uniquement en cas d’inaction après le signalement d’un contenu illicite. Ce qui est intéressant, dans cette décision, c’est que la Cour a rejeté les demandes d’Atari visant à imposer à Rapidshare de mettre en place un système de filtrage des fichiers hébergés. Pour la Cour, un filtrage fondé sur la comparaison des noms des fichiers avec une liste noire de mots-clés pourrait aboutir à censurer des contenus licites. Cela est d’autant plus intéressant que la Commission européenne étudie justement l’opportunité d’imposer un devoir de filtrage aux intermédiaires. Affaire à suivre (de près).

dimanche 9 janvier 2011 • 672 mots • Thème(s) : Internet, neutralité, téléchargement, P2P, propriété intellectuelle, responsabilité, Google, vie privée, données personnelles, gouvernement, Facebook, filtrage, réseaux sociaux, piratage, Hadopi, censure, FCC
revue

Numéro 38 - Spécial - Rétrospective 2010

Bonne année 2011 à tous !

Cette semaine, nous proposons une rétrospective de l’année 2010, au travers des thèmes les plus importants abordés chaque semaine dans cette revue.

Neutralité du Net

  • La Cour d'Appel de Columbia rend sa décision dans l'affaire Comcast, qui interdit à la FCC d'imposer à un fournisseur d'accès des mesures de gestion et d'administration de son réseau (n°1, n°17).
  • En France, l'ARCEP commence à s'intéresser à la question de la neutralité du net (n°1, n°6).
  • La neutralité du net concerne également le contenu, et permet de protéger la liberté d'expression contre le filtrage, qui est une forme de censure (n°11, n°20).
  • Les opérateurs américains Google et Verizon font une proposition conjointe pour insérer le principe de neutralité du Net dans la législation américaine (n°18).
  • La FCC publie des règles pour garantir la neutralité du Net, qui ne semblent satisfaire personne. Elles seraient trop peu protectrices pour la neutralité du Net, selon les partisans du principe, ou au contraire trop contraignantes pour le parti républicain (n°37).

Vie privée et données personnelles

  • On parle, en France, de créer un "droit à l'oubli", permettant aux internautes d'obtenir le retrait des informations personnelles les concernant qui seraient librement accessibles sur le réseau (n°2, n°27).
  • Le réseau social Facebook connaît un succès grandissant en occident. Ses conditions d'utilisation ne cessent d'évoluer (n°4).
  • Google est dans la tourmente, certains l'accusent de ne pas protéger suffisamment la vie privée des utilisateurs (n°5, n°11). Dans l'oeil du cyclone, Street View (n°4, n°6, n°16, n°20).
  • La Commission européenne envisage de réviser la directive de 1995 sur la protection des données personnelles (n°33).

Liberté d’expression

  • Le site Wikileaks, qui a fait des révélations sur la guerre en Irak, dérange les autorités américaines. Il publie une archive de documents chiffrés, en guise d'assurance (n°17, n°18).
  • Certains parlent de faire un "internet civilisé". L'idée est dangereuse (n°24).
  • Wikileaks publie des câbles diplomatiques américains, avec le concours de plusieurs grands quotidiens. Les USA réagissent en essayant de censurer le site. C'est "l'affaire Wikileaks", dont on entendra parler pendant longtemps (n°34, n°35).

Surveillance et sécurité

  • Un projet de loi visant à lever l'anonymat des blogs crée une fronde contre lui (n°7, n°10).
  • La loi LOPPSI2 est discutée au Parlement. Le rôle du juge dans le filtrage d'Internet fait l'objet d'un intense débat (n°8, n°23, n°25, n°32).
  • La loi LOPPSI2 permet aux autorités d'installer des spywares sur les ordinateurs des internautes (n°32).
  • Google menace de quitter la Chine. L'opérateur s'accomode mal (en apparence ?) de la censure imposée par le gouvernement local (n°12, n°13).
  • L'ARJEL demande au juge d'ordonner le filtrage d'un site de paris en ligne non-autorisé (n°17).
  • Affaire Blackberry : plusieurs pays veulent pouvoir contrôler les échanges des utilisateurs du smartphone, qui sont chiffrés par le fabricant canadien RIM. La surveillance que les pouvoirs publics exercent sur les individus, pour des besoins de sécurité, se heurte à la protection de la vie privée et à la liberté d'expression (n°17, n°18).

Propriété intellectuelle

  • Le traité ACTA, visant à lutter au niveau mondial contre la contrefaçon, se négocie dans la plus grande opacité (n°1, n°13, n°14), mais des documents de travail passent les mailles du filet de la censure (n°21). L'Union Européenne réclame plus de transparence (n°2, n°4). Les négociations sont difficiles : l'UE et les USA s'opposent sur plusieurs points (n°14, n°25). Finalement, une version consolidée de l'accord est publiée en octobre (n°26, n°27).
  • La loi Hadopi fait l'objet de nombreuses critiques (n°2). La Haute autorité s'intéresse au filtrage DPI (n°8, n°21), mais rien n'est pour l'instant mis en place.
  • Le système de la riposte graduée est loin de faire l'unanimité dans le monde (n°30).
  • Les logiciels de sécurisation "Hadopi" font polémique. Celui d'Orange, considéré comme un malware, est rapidement retiré (n°10). Plus généralement, l'obligation de sécurisation de sa connexion au réseau reste très floue (n°16, n°22). Certains opérateurs tentent de résister au système Hadopi (n°27).
  • En 2010, la chasse aux adresses IP sur les réseaux P2P continue (n°29).
  • LimeWire, le client pour le réseau P2P Gnutella, perd son procès contre la RIAA aux États-Unis. Le service va fermer (n°5, n°31).
  • L'application de la taxe pour la copie privée aux tablettes (iPad, Archos...) fait l'objet d'une polémique : il est tentant pour la Commission de retenir une définition de la "tablette" qui favorise certains produits au détriment d'autres pourtant semblables (n°7).
  • Aux États-Unis, le contournement des DRM, sanctionné par la loi DMCA, n'est illicite que s'il a pour but de violer un droit de propriété intellectuelle (n°16).
  • Le Parlement européen adopte le rapport Gallo, qui préconise un renforcement des mesures répressives pour lutter contre les atteintes au droit d'auteur (n°24, n°25). On peut observer la même tendance répressive aux États-Unis, notamment avec la loi COICA (n°32).
  • La Cour de justice de l'Union européenne remet en cause la taxe pour la copie privée espagnole : elle ne devrait pas s'appliquer aux supports destinés aux professionnels qui ne réalisent pas de copie privée (n°28).
  • La loi espagnole contre le téléchargement illicite se heurte à de nombreuses difficultés. Les internautes avertis dénoncent une censure du réseau (n°36, n°37).

Web

  • La cotation boursière d'Apple dépasse celle de Microsoft. Dans le même temps, la plateforme Flash d'Adobe est exclue de l'AppStore (n°7).
  • Le journal en ligne Mediapart fait l'objet de vives critique de la part du pouvoir, pour avoir révélé des informations dans l'affaire Woerth-Bettencourt (n°13).
  • Le Conseil constitutionnel juge que l'attribution ou le retrait d'un nom de domaine ont des conséquences sur la liberté d'expression de son titulaire (n°26).

Responsabilité

  • La Cour de Justice de l'Union Européenne rend un arrêt important, le 23 mars 2010, en matière de responsabilité des intermédiaires. La Cour de cassation tranche les litiges pour lesquels elle avait interrogé le CJUE dans plusieurs arrêts du 13 juillet 2010 (n°15).
dimanche 2 janvier 2011 • 1041 mots • Thème(s) :
revue

Numéro 37 - Semaine du 20 au 26 décembre 2010

La loi LOPPSI 2 a été adoptée, cette semaine, en deuxième lecture à l’Assemblée nationale, à 305 voix contre 187 et avec 8 abstentions. Elle doit maintenant retourner au Sénat pour être adoptée dans les mêmes termes. Malgré son adoption à l’Assemblée nationale, la LOPPSI 2 continue de faire l’objet de nombreuses critiques. Un député explique notamment pourquoi il a refusé de la voter, la blogosphère s’indigne, et la Quadrature du Net réitère ses mises en garde contre la légalisation, l’institutionnalisation et la généralisation de la censure du Net.

En Espagne, le même débat se poursuit, à propos d’une autre loi. Il s’agit de la loi “Sinde” (du nom du ministre qui la porte, Ángeles González-Sinde), dont nous parlions la semaine dernière, et qui a pour objet de combattre le téléchargement illicite(es), par Internet, d’oeuvres protégées par les droits de propriété intellectuelle. De nombreux internautes espagnols s’opposent à cette loi(es), qu’ils voient comme une forme de censure du réseau, et plusieurs sites ont fermé, provisoirement, en signe de protestation. On rappellera que, selon cette loi, l’administration peut exiger des fournisseurs d’accès qu’ils bloquent, et des hébergeurs qu’ils mettent hors ligne, les sites fournissant des liens vers des contenus contrefaisants. Pour le parti socialiste espagnol (PSOE), actuellement au pouvoir, la régulation des téléchargements sur Internet est un enjeu majeur pour l’avenir de la culture(es) (comprendre : pour l’avenir de l’industrie culturelle). Malgré tous ses efforts, le gouvernement espagnol n’a pas réussi à faire adopter la loi Sinde : celle-ci a été rejetée à l’Assemblée nationale (comp. avec la LOPPSI en France), et les câbles diffusés par Wikileaks au début du mois de décembre n’y sont probablement pas pour rien(en) (v. aussi n°36). En dépit de ce premier échec, le gouvernement espagnol persiste et refuse d’abandonner sa loi : le ministre réaffirme la nécessité de son texte(es) et tentera de le faire voter par le Sénat(es).

Aux États-Unis, une fois n’est pas coutume, ce n’est pas le droit de la propriété intellectuelle qui est au centre de l’actualité de la semaine. La FCC a en effet publié(en,pdf) cette semaine des règles pour garantir la neutralité du Net(en) [Format PDF, 1 Mo, 194 pages]. Ces règles ne font pas l’unanimité, loin de là(en). Au sein même de la FCC, les démocrates ont voté pour et les républicains contre(en) (soit 3 voix contre 2). En dehors de la FCC, les positions sont identiques : les républicains s’opposent à toute réglementation de la FCC(en), qu’ils voient comme une ingérence inacceptable du gouvernement dans l’économie. Mais ce sont d’autres voix, celles des défenseurs du principe de neutralité du Net, qui s’élèvent contre la distinction que fait la FCC entre les connexions filiaires et les connexions mobiles (comprendre : avec un smartphone, par le biais du réseau téléphonique). On se souviendra que la même distinction était présente dans la proposition Google/Verizon, et qu’elle avait déjà été durement critiquée. Les fournisseurs d’une connexion filiaire ont ainsi l’obligation d’offrir un accès sans discrimination à tous les contenus, tandis que les fournisseurs d’une connexion mobile n’y sont pas tenus. C’est une des raisons pour lesquelles les partisans de la neutralité du Net critiquent le texte de la FCC(en) : celle-ci aurait élaboré une réglementation a minima, les règles qu’elle propose ne permettant pas de garantir véritablement qu’Internet restera un réseau ouvert. La très importante American Civil Liberties Union (ACLU) est lapidaire : la FCC aurait échoué à protéger la liberté d’expression sur Internet et le caractère ouvert du réseau (“the FCC has failed to protect free speech and Internet openness for all users”). Quoi qu’il en soit, la réglementation proposée par la FCC débute bien mal un parcours qui s’annonce être semé d’embûches. En effet, la question de la compétence de la FCC pour imposer aux fournisseurs d’accès des règles d’organisation et de gestion de leur réseau n’est toujours pas tranchée. Les républicains espèrent ainsi que les juridictions annuleront les décisions de la FCC relatives à la neutralité du Net, comme ce fut le cas dans l’affaire Comcast.

lundi 27 décembre 2010 • 712 mots • Thème(s) : Internet, neutralité, téléchargement, P2P, propriété intellectuelle, gouvernement, discrimination, filtrage, Hadopi, LOPPSI, Wikileaks, censure, USA, Espagne, FCC
revue

Numéro 36 - Semaine du 13 au 19 décembre 2010

L’actualité de cette semaine est marquée par la progression, lente mais sûre, de la tendance sécuritaire qui se concrétise par la mise en place dans les législations nationales de mesures de surveillance des internautes, de filtrage et de blocage des sites.

Le quotidien espagnol El País(es) rapporte que parmi les cables diplomatiques révélés par le site Wikileaks, certains font apparaître que les USA ont menacé le gouvernement espagnol, à partir de 2004, de prendre des sanctions à son encontre si l’Espagne ne durcissait pas ses lois en matière de propriété intellectuelle(en), en particulier pour lutter contre le téléchargement illégal sur Internet.

En 2008, les USA ont menacé l’Espagne(en) de la faire apparaître dans le Special 301 Report, un rapport américain élaboré chaque année depuis 1989 par l’Office of the United States Trade Representative, et régulièrement utilisé pour dénoncer et exercer des pressions sur les pays qui, selon la vision américaine, n’offrent pas une protection suffisante des droits de propriété intellectuelle. Pour éviter de figurer dans le rapport, le gouvernement espagnol devait faire 3 choses :

  1. Déclarer publiquement que le "piratage" est illégal ;
  2. Modifier la circulaire de 2006(es/pdf) qui, telle qu'appliquée par les juridictions locales, aboutit à la légalisation du téléchargement. En effet, le téléchargement constitue un délit, en Espagne, lorsqu'il est réalisé avec une intention lucrative. Or, selon cette circulaire, l'intention lucrative doit être interprétée de manière restrictive et limitée aux échanges commerciaux ("no puede tener una interpretación amplia o extensiva, sino que debe ser interpretado en el sentido estricto de lucro comercial"). Ainsi, les internautes ne sont pas pénalement responsables(es), contrairement aux sites à vocation commerciale dont l'activité repose sur le partage d'oeuvres protégées par le droit d'auteur.
  3. Mettre en place un système de riposte graduée, tel qu'adopté en France et récemment discuté au Royaume-Uni.

Pour n’avoir pas satisfait à ces trois exigence, l’Espagne figurait encore en avril 2010 sur le Special 301 Report(pdf).

Ces trois points appellent plusieurs remarques.

D’abord, la déclaration selon laquelle “le piratage est illégal”. Il faut s’entendre sur les termes : qu’est-ce que le “piratage” ? Dans le vocabulaire courant, on parle de “piratage” pour le téléchargement de fichiers sur Internet. Dans le vocabulaire juridique, <a
href=”http://en.wikipedia.org/wiki/Piracy”>la piraterie et le piratage sont des actes bien particuliers qui relèvent du droit de la mer et du droit international public</a>(en). L’interdiction du piratage fait partie du jus cogens, au même titre que l’interdiction de la torture. Il ne faut donc pas confondre les deux notions et, surtout, ne pas assimiler les actes des véritables pirates qui séquestrent, rançonnent ou tuent des personnes avec ceux des adolescents qui téléchargent quelques morceux de musique ou quelques films sur Internet. L’emploi du terme “piratage” est donc excessif (même si l’on traduit hacker par pirate, l’analogie n’existe que dans l’état d’esprit des hackers, libertaires ou anarchistes, et non dans leurs actes). L’emploi du mot “piratage” participe d’une volonté de l’industrie culturelle de criminaliser le téléchargement. Or, en Espagne, on l’a vu, les juridictions pénales ont refusé de condamner les internautes qui avaient téléchargé des oeuvres contrefaisantes. On devrait donc plutôt parler de “téléchargement illicite”, leur responsabilité civile pouvant être engagée pour le dommage qu’ils causent aux ayants droit, plutôt que de “piratage illégal”. Le droit français est différent sur ce point : le téléchargement étant un acte délictuel de contrefaçon, on peut parler de “téléchargement illégal”.

Ensuite, l’approche espagnole contenue dans la circulaire de 2006 nous semble intéressante. Elle sanctionne le partage d’oeuvres protégées par le droit d’auteur lorsqu’il a lieu dans un but lucratif, et non dans un seul but culturel. En France, c’est l’approche exactement opposée qui a été adoptée dans la loi Hadopi : la répression est axée sur l’internaute qui télécharge plutôt que sur l’opérateur qui lui permet de télécharger. Comme nous l’avons déjà dit, l’une des conséquences de la loi Hadopi est la transformation d’un système de téléchargement de pair-à-pair (c’est-à-dire, d’internaute à internaute, sans intermédiaire, sans question d’argent) en un système de téléchargement direct qui requiert les services d’un hébergeur. Celui-ci profite donc de la contrefaçon, même si, en façade, il met en oeuvre des mesures de détection et de mise hors ligne des fichiers contrefaisants. Pour départager les deux approches, il suffit de se poser la question : qu’est-ce qui est le plus grave, que des internautes s’échangent des morceaux de musique, des films ou des livres numériques dans un but culturel, ou que des opérateurs facturent des services d’hébergement ou de téléchargement, sachant pertinemment que leur modèle économique repose en grande partie sur la contrefaçon ?

Enfin, sur la mise en place d’un système de riposte graduée à la française, il n’est pas vraiment nécessaire d’argumenter : il suffit de constater l’échec, en pratique, de la loi Hadopi 2 en France (au point que l’Élysée envisage une Hadopi 3), les difficultés rencontrées par le Digital Economy Act 2010(en), au Royaume-Uni, qui ne contient finalement pas le dispositif de la riposte graduée, et plus généralement l’attitude très réservée des législateurs, en droit comparé, au regard de la riposte graduée.

Si le législateur espagnol n’envisage pas de mettre en place un système de riposte graduée, ce n’est pas pour autant qu’il n’entend pas renforcer la protection des droits de propriété intellectuelle sur le réseau. Ainsi, la ley de Economía Sostenible(es), votée en 2009, contient certains mécanismes de luttre contre la contrefaçon en ligne. L’article 158 instaure notamment une Comisión de Propiedad Intelectual qui pourra demander au juge administratif la mise hors ligne des contenus contrefaisants (“Corresponderá a los Juzgados Centrales de lo Contencioso-administrativo autorizar, mediante auto, la ejecución de los actos adoptados por la Sección Segunda de la Comisión de Propiedad Intelectual para que se interrumpa la prestación de servicios de la sociedad de la información o para que se retiren contenidos que vulneren la propiedad intelectual (…)”).

La tendance actuelle est donc clairement à la mise en place de mesures de filtrage, de blocage et de mise hors ligne des contenus illicites. De telles mesures pourraient être justifiées, si elles étaient ordonnées par l’autorité judiciaire, dans le cadre d’une procédure équitable et contradictoire. Mais tel n’est pas le cas : ce sont des procédures de sanctions administratives et automatisées qui sont, dans de nombreux pays, mises en place. Nous avons parlé cette semaine de l’Espagne, mais nous avions déjà parlé à plusieurs reprises de lois semblables en France (LOPPSI 2), au Royaume Uni (DEA 2010 – v. n°31) et aux États-Unis (COICA 2010 – v. n°25 et 32).

dimanche 19 décembre 2010 • 1104 mots • Thème(s) : Internet, téléchargement, propriété intellectuelle, responsabilité, international, gouvernement, filtrage, hébergement, piratage, surveillance, Hadopi, LOPPSI, droit d'auteur, Wikileaks, USA, Espagne
revue

Numéro 35 - Semaine du 6 au 12 décembre 2010

Affaire Wikileaks, round suivant. Le site a perdu son hébergement aux États-Unis et a fait l’objet d’attaques informatiques, la semaine dernière. En réaction à ces attaques, de nombreux sites miroir ont été mis en ligne. Il s’agit là d’une illustration parfaite de l’effet Streisand : censurer un site le rend populaire et permet la multiplication virale de ses sources de diffusion. Pour l’ONU, en effet, les attaques contre Wikileaks et les pressions contre les intermédiaires techniques permettant la diffusion du site, relèvent bien de la censure.

Wikileaks a connu, cette semaine, une nouvelle forme d’attaque – hormis les attaques contre son fondateur, Julian Assange, qui ne concernent pas directement l’information diffusée par Wikileaks, bien qu’elles aient probablement pour finalité de le discréditer et de le paralyser – : le blocage partiel ou total de ses ressources financières par certains intermédiaires comme Paypal et Moneybrookers. A leur tour, ces intermédiaires furent les victimes d’attaques informatiques de la part de certains “hacktivistes” pro-Wikileaks.

En France, les tribunaux de Paris et Lille ont rendu deux décisions, suite à leur saisine en référé la semaine dernière par l’hébergeur OVH. Rappelons d’abord qu’OVH fournit des serveurs à la société Octopuce qui, à son tour, héberge Wikileaks. En réaction aux propos du ministre Eric Besson, OVH a saisi le juge afin qu’il se prononce sur la licéité du contenu du site Wikileaks. En application de l’article 6 de la LCEN du 21 juin 2004, l’hébergeur doit retirer tout contenu manifestement illicite qui lui est notifié, faute de quoi il engage sa responsabilité civile et pénale. OVH a donc cherché à savoir, auprès du juge, s’il devait mettre Wikileaks hors ligne en cas de demande formelle.

Le juge parisien a décidé, dans une ordonnance du 6 décembre 2010(pdf), qu’OVH “ne démontre pas les éléments fondant de déroger au principe du contradictoire, alors que la société Octopuce doit être en mesure de communiquer les données de nature à permettre l’identification de l’auteur ayant contribué à la création du contenu litigieux”. La requête d’OVH est rejetée. Le TGI de Lille rejette également la requête, par une ordonnance du 6 décembre 2010(pdf), au motif qu’il “ne [lui] appartient pas, hors toute instance liée entre des parties, de dire si la situation décrite est ou non constitutive d’un trouble manifestement illicite”. En revanche, selon le juge, il appartient à la société OVH “si elle estime que sa responsabilité peut être engagée, d’elle-même suspendre l’hébergement des sites Wikileaks, sous nécessité d’une autorisation judiciaire pour ce faire”.

Dans les deux cas, le rejet est fondé sur des motifs relatifs à la procédure. Le débat sur la licéité du contenu n’a pas été engagé. Mais c’est là tout le paradoxe : s’il est nécessaire de débattre pour déterminer la licéité du contenu, c’est que celui-ci n’est pas manifestement illicite. L’intermédiaire technique OVH ne devrait donc pas, en application de la LCEN, engager sa responsabilité en poursuivant la diffusion de Wikileaks. Ce sera au juge du fond de se prononcer sur la licéité du site, dans un premier temps, et sa décision entrainera des conséquences pour les hébergeurs : si le contenu est qualifié d’illicite, ces derniers devront le retirer.

dimanche 12 décembre 2010 • 540 mots • Thème(s) : responsabilité, filtrage, hébergement, LCEN, Wikileaks, censure
revue

Numéro 34 - Semaine du 29 novembre au 5 décembre 2010

L’actualité des nouvelles technologies de cette semaine, aussi bien que l’actualité des relations internationales, est dominée par l’affaire Wikileaks. Le célèbre site a en effet révélé, en début de semaine, plusieurs milliers de câbles diplomatiques américains par le truchement de quotidiens renommés (Le Monde en France, El Pais en Espagne, The New York Times aux États-Unis, The Guardian au Royaume-Uni, Der Spiegel en Allemagne). Nous nous intéresserons, non au contenu des documents, qui relève du domaine de la géopolitique, mais à la position de Wikileaks et aux réactions des pouvoirs publics.

L’affaire commence par la diffusion de documents secrets de la diplomatie américaine, qui “déclenche une tempête dans les capitales mondiales”. Au travers de quelques petites phrases assassines, la presse mondiale reprend aussitôt les éléments essentiels des documents diffusés.

L’administration américaine dénonce immédiatement “un crime grave”, voire même un acte de terrorisme, car la diffusion de documents secrets mettrait en péril des vies humaines, la sécurité des États-Unis, et les relations diplomatiques mondiales. Pour d’autre (et nous en faisons partie), en revanche, les documents révélés par Wikileaks relèvent de l’intérêt général et s’inscrivent dans le cadre du débat politique démocratique.

Wikileaks avait déjà diffusé des documents confidentiels, s’attirant les foudres de l’administration américaine (v. Valhalla Revue, n°17, 18, 19, 24, 26). La principale critique était, à l’époque, le fait que des noms avaient été publiés. Dans les documents révélés cette semaine, ce n’est plus le cas. Les quotidiens et Wikileaks ont pris soin de censurer certaines informations afin de ne pas mettre de vie en danger. D’où une nouvelle critique : Wikileaks, le chantre de la transparence, pratiquerait lui-même la censure.

Outre ces critiques purement intellectuelles, Wikileaks fait l’objet d’attaques matérielles et juridiques contre ses serveurs. La première attaque fut informatique. Les serveurs hébergeant le site firent l’objet d’une attaque par déni de service (DDOS) : il s’agit de les solliciter de manière intensive, en envoyant plus de demandes qu’ils ne peuvent en traiter, jusqu’à ce qu’ils ne puissent plus y répondre, à la manière d’un péage d’autoroute qui serait engorgé par un nombre excessif d’automobilistes formant un embouteillage gigantesque. Pour répondre à cette attaque, Wikileaks se fit héberger par la société américaine Amazon, qui dispose de serveurs, aux États-Unis et en Irlande, suffisamment puissants et sécurisés pour répondre à la demande et faire face à ce genre d’attaques(en).

La deuxième attaque, dirigée contre l’hébergement de Wikileaks par Amazon, fut politique, commerciale et juridique. Amazon aurait en effet cédé à ces différentes pressions(en) et mis hors-ligne Wikileaks. Amazon assume cette décision en expliquant que les documents publiés pourraient mettre des vies en danger.

Bouté hors des États-Unis par Amazon, Wikileaks trouva refuge en Suède et en France, chez l’hébergeur OVH. Survint alors la troisième attaque, contre l’hébergement de Wikileaks. Le ministre chargé de l’économie numérique, Eric Besson, dit ainsi vouloir interdire l’hébergement du site en France. Mais c’était sans compter sur la ténacité d’OVH, qui saisit le juge, en référé, pour faire face aux pressions politiques et à la censure.

Face à cette situation inhabituelle, on rappellera quelques principes juridiques (qui, eux, sont habituels) :

  • La loi française (LCEN, 21 juin 2004) permet de demander à un hébergeur de retirer un contenu manifestement illicite. Si l'hébergeur ne s'exécute pas, il engage sa responsabilité civile et pénale.
  • Lorsque le contenu n'est pas manifestement illicite, c'est au juge du fond d'en apprécier la licéité.
  • Les contenus manifestement illicites sont (par hypothèse) assez facilement identifiables : pédopornographie, incitations à la haine raciale, injures, contrefaçons, etc. Tel n'est pas le cas des documents publiés par Wikileaks.
  • Si la publication des documents par Wikileaks peut causer préjudice ou mettre en danger la vie d'autrui, ils pourraient devenir illicites. Mais ils ne le sont pas a priori, le droit français n'interdisant pas la publication de documents secrets étrangers.
  • Enfin et surtout, l'article 11 de la Déclaration des droits de l'Homme et du citoyen de 1789 dispose : "La libre communication des pensées et des opinions est un des droits les plus précieux de l’Homme : tout Citoyen peut donc parler, écrire, imprimer librement, sauf à répondre de l’abus de cette liberté, dans les cas déterminés par la Loi." Cela signifie que la censure, c'est-à-dire le contrôle a priori des publications, est interdite. Wikileaks est libre de publier les informations qu'il désire, et ce n'est qu'après la publication, si ces informations s'avèrent être illicites, que sa responsabilité civile et pénale pourra être engagée.
  • Conclusion : on ne peut pas interdire l'hébergement de Wikileaks en France, ce qui reviendrait à censurer l'ensemble du contenu du site, sans distinguer les informations licites des informations illicites. On peut, en revanche, enjoindre l'hébergeur français de Wikileaks de mettre hors-ligne les contenus manifestement illicites ; saisir le juge pour qu'il se prononce sur la licéité des contenus qui ne sont pas manifestement illicites et, s'il les juge illicites, obtenir la condamnation de l'hébergeur à les mettre hors-ligne. </ul>
dimanche 5 décembre 2010 • 850 mots • Thème(s) : Internet, responsabilité, international, hébergement, LCEN, sécurité, Wikileaks, censure, USA
revue

Numéro 33 - Semaine du 22 au 28 novembre 2010

La protection des données personnelles revient sur le devant de la scène, cette semaine, avec la publication d’une communication de la Commission européenne(PDF) sur la révision de la directive 95/46 qui régit la matière. L’objectif est clair : adapter l’ancienne directive aux nouveaux défis de la protection des données, notamment l’informatique dans les nuages (cloud computing) et les réseaux sociaux en ligne, ainsi que la diversification des moyens de collecte des données (par exemple, les cookies traceurs sur le Web, ou la géolocalisation des smartphones). La communication souligne certains fondamentaux de la protection des données et définit des objectifs pour la prochaine révision de la directive : la définition de la notion de “donnée personnelle” qui doit être large (toute donnée relative à une personne identifiée ou identifiable par n’importe quel moyen “raisonnable”) ; la transparence de la collecte et du traitement et l’information de la personne concernée, notamment en cas de “violation des données” (data breach) ; le principe de “minimisation des données” : seules les données nécessaires au traitement doivent être collectées ; la définition du “droit à l’oubli” ; la sensibilisation des personnes concernées (au premier plan desquelles, bien évidemment, sont les internautes) et la clarification des règles relatives au consentement du sujet du traitement ; le renforcement des voies de recours ; la “responsabilisation” des responsables de traitements ; la nécessité d’encourager l’auto-régulation (codes de conduite et soft law) et les systèmes de certification ; l’amélioration des mécanismes de transfert des données en dehors de l’UE ; la propagation des principes européens de protection des données au niveau mondial (avec le concours d’organisations internationales comme l’ONU, l’OCDE, le Conseil de l’Europe, qui poursuit d’ailleurs les mêmes objectifs de son côté). La Commission présentera en 2011 des propositions plus concrètes, “afin de durcir la position de l’UE en matière de protection des données à caractère personnel”.

De son côté, la CNIL a dors et déjà entrepris de sensibiliser les enfants aux risques d’une surexposition sur les réseaux sociaux. Par ailleurs, il est désormais possible de suivre une procédure en ligne pour déposer une plainte auprès de la CNIL.

Le gouvernement français, quant à lui, ne compte pas intervenir en faveur des internautes pour réglementer la publicité “invasive” en ligne. En revanche, il intervient pour la taxer : le Sénat vient de voter la taxation de l’achat de publicité en ligne (1% du prix), à compter du 1er janvier 2011. La mesure doit encore être votée par l’Assemblée nationale.

Selon le Canard Enchaîné, la DCRI utiliserait déjà des moyens informatiques pour espionner les internautes dans le cadre d’enquêtes administratives, sans contrôle du juge. On sait que l’installation de mouchards sur les ordinateurs des internautes est une des mesures prévues par la loi LOPPSI, qui n’est pas encore en vigueur.

Aux États-Unis, l’EFF rappelle les conditions dans lesquelles les autorités publiques peuvent accéder aux contenus des appareils électroniques.

Aux États-Unis encore, les deux géants américains du Web 2.0, Google et Facebook, se trouvent au centre de nouvelles polémiques. Google, d’abord, favoriserait ses propres pages dans les résultats de recherche, ce qui est à la fois contraire au principe de neutralité du Net (volet contenu) et incompatible avec le statut d’intermédiaire technique qu’elle revendique. Google est aussi accusée de scanner le contenu des messages électroniques des usagers de son service Gmail. L’accusation n’est pas nouvelle : l’on sait depuis toujours que Gmail est financé par l’affichage de publicités ciblées qui correspondent à des mots-clé extraits du contenu des messages. La profondeur de l’analyse du contenu des messages et l’usage des informations extraites demeurent toutefois inconnus. Facebook fait l’objet d’une critique semblable : le réseau social censurerait les messages échangés par ses membres. Par exemple, si un message contient un lien vers le site The Pirate Bay, il sera censuré et (faussement) qualifié de message indésirable (spam). Deux choses sont gênantes : d’abord, la censure en elle-même, qui ne peut être justifiée dans une société démocratique (sur ce point, le droit américain et le droit français se rejoignent) ; ensuite, le fait que, pour censurer des messages privés, il faut accéder à leur contenu et violer de ce fait la vie privée des correspondants.

dimanche 28 novembre 2010 • 714 mots • Thème(s) : Internet, neutralité, Google, vie privée, données personnelles, international, gouvernement, Facebook, réseaux sociaux, LOPPSI