Valhalla.fr

Sic Itur Ad Absurdum

"GF", "login"=>"gflorimond", "email"=>"[email protected]", "url"=>""}" itemtype="https://schema.org/Person" />
22 Mai 2011

Au sommaire cette semaine : un nouveau scandale touchant la sécurité des données personnelles, la régulation d’Internet au programme du G8 et, comme si l’on n’en avait pas suffisamment parlé dans les médias traditionnels, l’affaire DSK.

Données personnelles

Nous parlions, la semaine dernière, des vols de données personnelles et de l’obligation incombant au responsable du traitement d’assurer la sécurité des données qu’il conserve. Nous en parlons à nouveau cette semaine, avec une nouvelle affaire grave et complexe : l’affaire TMG, du nom de la société française qui surveille les réseaux de partage P2P dans le cadre de la «riposte graduée» du système Hadopi.

Les faits : samedi dernier, plusieurs milliers d’adresses IP et de références de fichiers surveillés sur le réseau P2P BitTorrent ont été divulguées par erreur par la société TMG. Le site Numerama, qui a obtenu une archive des fichiers divulgués, rapporte que la fuite porte sur les données suivantes : les adresses IP des serveurs permettant la publication des fichiers, les adresses IP des clients connectés à ces serveurs, les adresses IP des pairs connectés à ces clients. Toujours selon Numerama, beaucoup d’adresses IP seraient étrangères, mais certaines auraient été attribuées à des internautes français. Par ailleurs, l’archive contient des fichiers anciens, qui remontent jusqu’au mois d’avril 2008, ce qui nous amène à nous interroger, avec Numerama, sur le respect des règles relatives à la durée de conservation des données (rappelons que la directive «data retention» de 2006 fixe un plafond de 2 ans, que l’article L34-1 CPCE et le décret n°2011-219 fixent un délai maximal de rétention de 1 an s’agissant des données de communication).

Première réaction : des moqueries, ou le fait que «l’arroseur arrosé» continue de faire rire. En effet, tout le système Hadopi repose sur une nouvelle incrimination, indépendante du délit de contrefaçon : la «négligence caractérisée» conduisant au «défaut de sécurisation» de l’accès à Internet, celui-ci ayant pu être utilisé afin de partager des fichiers illicites. Voilà donc qu’une société impliquée dans la «riposte graduée», en collaboration avec l’Hadopi, se trouve à son tour accusée d’avoir fait preuve de négligence dans la sécurisation des données collectées.

Deuxième réaction : on se demande comment la CNIL va réagir, car les enjeux de cette réaction sont importants. Il ne s’agit pas seulement, en effet, de sanctionner la société TMG, en application de la loi «Informatique et Libertés», si elle se révèle fautive. La collecte et le traitement des données dans le cadre de la «riposte graduée» du système Hadopi est soumise à une autorisation administrative délivrée par la CNIL (et non à une simple déclaration). Par conséquent, si la CNIL retirait son autorisation à TMG, la société nantaise ne pourrait plus collecter des données sur les réseaux de partage, pour les transmettre ensuite à l’Hadopi. Or, et c’est là que l’affaire prend des airs de fiasco, TMG est actuellement la seule société ayant l’autorisation de collecter des données dans le cadre de la riposte graduée. Il en résulte que, si la CNIL retirait son autorisation, tout le système Hadopi s’en trouverait paralysé !

Troisième réaction et première conséquence : l’Hadopi coupe les ponts avec TMG. Du moins provisoirement, par précaution, car un membre de l’Hadopi a avoué que la Haute autorité ignorait «ce qu’il se passe réellement dans les serveurs de TMG». Concrètement, l’Hadopi ne recevra plus de nouvelles adresses IP relevées par TMG, mais elle poursuivra l’analyse des adresses communiquées jusqu’à présent. La durée de conservation maximale étant fixée par la loi à 1 an, les données antérieures à mai 2010 ne pourront pas être traitées, et les données relevées de mai 2010 à mai 2011 pourront être traitées jusqu’en mai 2012. En revanche, à partir de maintenant et jusqu’à ce que l’Hadopi reçoive de nouvelles données, le système de riposte graduée est paralysé. L’information est relayée à l’étranger(en).

Quatrième réaction : la parole est donnée à la défense, TMG. Selon la société, les données proviendraient d’un serveur de test, et non d’un serveur «de production» utilisé dans le cadre de la riposte graduée. L’argument peine à convaincre, lorsqu’on sait que les fichiers divulgués contiennent des adresses IP récentes attribuées à des internautes français. Dans le même temps, les ayants droit reprennent l’argumentation de TMG, avec une rhétorique plutôt hésitante.

Cinquième réaction et deuxième conséquence : la CNIL s’en mêle. C’est un tweet laconique qui l’indique : la CNIL est à Nantes pour contrôler TMG. Comme nous le disions précédemment, les enjeux de ce contrôle sont importants : si la CNIL rend rapidement un rapport favorable à TMG, la riposte graduée pourra reprendre ; en revanche, si la CNIL retire son autorisation à TMG, c’est tout le système Hadopi qui se retrouvera figé pendant une période indéterminée (et qui pourrait s’avérer longue…).

Sixième réaction et troisième conséquence : des poursuites sont envisagées. Les serveurs de TMG ayant été prétendument «piratés», un délit d’intrusion dans un système informatique aurait été commis. TMG a donc annoncé avoir déposé une plainte contre les «pirates» puis, peu de temps après, l’avoir retirée. En effet, suivez la logique : si les données sont protégées, il n’y a pas de violation de la loi «Informatique et Libertés» qui impose leur sécurisation, et l’accès à ces données sans autorisation constitue un délit d’intrusion dans un système informatique, passible de poursuites ; en revanche, si les données sont librement accessibles, il n’y a pas de délit d’intrusion, mais il y a violation de l’obligation de sécurisation. En l’occurrence, les données étaient librement accessibles, la plainte était donc vouée à l’échec, et c’est probablement la raison pour laquelle elle fut retirée.

Septième réaction : les suites. Car il y en aura, des suites. Plusieurs questions se posent, notamment sur l’avenir du système Hadopi, sur le fonctionnement de TMG et plus généralement sur la «traque» des internautes sur les réseaux de partage, sur les moyens de sécurisation des données, etc. Nous aurons très certainement l’occasion d’en reparler.

Régulation, libertés et censure

L’autre information importante de la semaine, parfaitement scandaleuse, porte sur la politique française en matière de contrôle d’Internet, et plus particulièrement du «Web social».

Le prochain sommet du G8, qui se tiendra à Deauville, aura notamment pour thème la régulation d’Internet. Mais quelle sera la position de la France sur cette question ? Il apparaît dans les travaux préparatoires du sommet qu’il y a un gouffre entre la position défendue par l’ancien ministre des Affaires étrangères, Bernard Kouchner, et celle soutenue par l’Élysée.

En parlant «gouffre», nous ne faisons pas dans l’hyperbole. Voici, en effet, les deux positions, sans caricature aucune : <ul> <li>Pour le ministre des Affaires étrangères : la défense de la liberté d’expression sur le réseau, la lutte contre la censure et le filtrage, au niveau international, la réflexion sur les moyens de garantir que le réseau reste ouvert, neutre et respectueux de la vie privée de chacun.</li> <li>Pour l’Élysée : le contrôle, la surveillance, le filtrage, la censure.</li> </ul> <p>Pourquoi une telle divergence ? La raison est simple : le ministre et le président n’envisagent pas la «régulation» d’Internet pour les mêmes raisons, et ils n’ont pas les mêmes faits en tête.

Le ministre, d’abord, pense à l’importance revêtue par les réseaux sociaux et la communication directe entre les internautes lors des révolutions dans le monde arabo-musulman. Nous en avons déjà parlé ici : les réseaux sociaux ne sont ni la cause ni la conséquence de ces révolutions démocratiques, mais ils ont joué un rôle (très) important en permettant des soulèvements de masse rapides. S’ils ont pu jouer un tel rôle, c’est que leurs infrastructures sont physiquement localisées dans des États démocratiques, hors de portée des régimes dictatoriaux. Pour le ministre, il faut donc montrer l’exemple, et garantir qu’Internet reste libre et ouvert dans nos démocraties occidentales, afin que les internautes subissant la dictature puissent s’exprimer sans subir la répression du pouvoir local. En outre, la censure est contraire au droit français (qui consacre le principe de liberté en matière d’expression) ce qui rend, dans beaucoup de cas, le filtrage illicite. C’est donc aussi pour la protection des droits des internautes français (ou, plus largement, européens) qu’Internet doit rester ouvert et libre.

L’Élysée, au contraire, pense aux droits de propriété intellectuelle et aux intérêts financiers des ayants droit (l’argent, encore l’argent… rien de bien nouveau là-dedans). La dialectique et la rhétorique qui l’accompagne sont connues : le «piratage» est un «fléau», il faut le «prévenir» et le «réprimer», en «surveillant» les internautes (cf. Hadopi) afin de les dissuader, et en «contrôlant» les contenus échangés afin de les «filtrer» et de «bloquer» les fichiers illicites.

Les grands opérateurs d’Internet semblent préférer la position du ministre (ce qui est, en un sens, bien compréhensible, puisqu’elle favorise leurs activités). Google, par exemple, soutient cette semaine, par la voix d’Eric Schmidt (président du Conseil d’Administration)(en), que le filtrage d’Internet rapproche nos démocraties occidentales de la Chine, s’agissant du contrôle de l’expression. La société américaine s’oppose à l’usage de moyens disproportionnés, nuisibles à la liberté d’expression (et, au passage, au droit à la vie privée et à la protection des données), dans le cadre de la prévention et de la répression de la contrefaçon en ligne.

La Commission Européenne refuse pour l’instant d’instaurer un filtrage généralisé d’Internet au niveau européen. Mais dans le même temps, le filtrage arrive en Autriche, par une décision de justice ordonnant le blocage d’un site de streaming. Et la censure d’Internet continue de progresser dans le monde(en)

Digressions et participation à l’emballement médiatique

L’affaire judiciaire qui accapare actuellement l’attention des médias français est l’affaire DSK. Elle ne concerne pas directement l’actualité des nouvelles technologies ; aussi, ce qui suit est légèrement hors sujet. Nous avons toutefois décidé de faire deux remarques qui nous semblent pertinentes dans le cadre du thème de cette revue.

La première remarque concerne à la fois la diffusion des images de DSK menotté et la publication du nom de la victime alléguée dans la presse française. Ces deux informations sont perçues de manière différente selon le côté de l’Atlantique où l’on se place. Aux États-Unis, les victimes alléguées sont très protégées, et il est inconcevable pour la presse de publier leur nom dès le début d’une affaire telle que celle qui nous occupe ; en France, au contraire, si l’accusé est connu, il semble normal que l’accusatrice le soit aussi. Aux États-Unis, il est normal de montrer un suspect menotté, le présentant comme un coupable avéré plutôt que potentiel, alors qu’en France la diffusion d’un tel message est contraire à la présomption d’innocence et ouvre droit à réparation (article 9-1 Code civil).

Cela étant dit, voici où nous voulons en venir : si les deux informations ont été diffusées à la fois aux États-Unis et en France, c’est principalement grâce à Internet. Or, s’agissant de telles informations, en l’état actuel du droit et de la technologie, aucune mesure de filtrage ou de blocage ne peut empêcher leur diffusion. Quoi que l’on fasse, l’information parviendra au public visé ou la recherchant. Cela montre deux choses : d’abord qu’il est illusoire de vouloir contrôler à tout prix l’information, et surtout des informations de cette nature ; ensuite, qu’un Internet «civilisé», contrairement à ce que dit M. Sarkozy, n’est pas un Internet «contrôlé», filtré et censuré, mais un Internet libre et ouvert, fondé sur le respect de l’autre et de ses idées, sur lequel l’on navigue en gardant à l’esprit qu’il s’agit d’un «monde» virtuel et que tout le monde ne partage pas les mêmes valeurs.

La deuxième remarque porte justement sur ces valeurs, de liberté d’expression et de présomption d’innocence, que les français et les américains ont en commun, mais qu’ils ne conçoivent pas de la même manière. En France, l’expression est libre, mais les abus de cette liberté sont sanctionnés. Or, porter atteinte à la présomption d’innocence d’autrui constitue un abus de la liberté d’expression passible de sanctions. En d’autres termes, selon le droit français, la présomption d’innocence est à mettre en balance avec la liberté d’expression, elle intervient dans le domaine médiatique et peut fonder la censure d’une information. Aux États-Unis, tout raisonnement relatif à la diffusion d’une information a pour fondement le premier amendement à la Constitution fédérale. La liberté d’expression est un droit presque absolu : il est naturellement limité lorsque les propos tenus sont faux (diffamation), mais, d’une part, les «personnages publics» tels que DSK n’ont que peu de chances d’obtenir réparation en cas de diffamation (les conditions posées par la jurisprudence sont très restrictives – cf. New York Times v. Sullivan, 376 U.S. 254 (S. Ct. 1964) et, d’autre part, il ne s’agit pas en l’espèce de diffamation, mais de la représentation d’un fait brut et indiscutable, l’accusé sortant menotté du commissariat (le fondement d’une éventuelle action, si DSK était innocenté, pourrait alors être le délit de false light – cf. W. Prosser, Privacy, 48 California Law Review 383 (1960)(PDF) et le Restatement (Second) or Torts §652E). La présomption d’innocence n’intervient donc pas à ce niveau, en droit américain. Elle intervient en revanche dans la procédure juridictionnelle qui doit, à tout moment, respecter les droits de la défense de l’accusé (ce que l’on appelle la clause due process de la Constitution). Dernière précision pour éclairer la position américaine : la victime alléguée sera bientôt interrogée par la défense, et son exposition médiatique sera sans doute égale à celle dont pâtit actuellement DSK.

• 2262 mots • #Internet #P2P #propriété intellectuelle #Google #vie privée #données personnelles #libre #international #filtrage #réseaux sociaux #piratage #Hadopi #censure #USA #liberté d'expression #régulation
"GF", "login"=>"gflorimond", "email"=>"[email protected]", "url"=>""}" itemtype="https://schema.org/Person" />
15 Mai 2011

L’actualité du droit des nouvelles technologies est dominée, cette semaine, par plusieurs affaires relatives à la protection des données personnelles.

Protection des données personnelles

D’abord, un rebondissement dans une affaire ancienne : les serveurs de Sony, stockant les données personnelles des utilisateurs de PlayStation et des services en ligne de l’opérateur japonais, ont été «piratés» et les malfaiteurs ont dérobé les données de plusieurs millions d’internautes. Sony a réagi de plusieurs manières : la société «chasse» les données volées sur le Web, pour les retirer lorsqu’elles sont publiées, offre une récompense à toute personne en mesure de lui apporter des éléments concernant l’acte de «piratage», et retarde le rétablissement de ses services jusqu’à ce qu’ils soient mieux sécurisés. Rappelons à ce titre que, selon le droit européen, le responsable du traitement des données personnelles d’autrui a l’obligation d’assurer la sécurité de ces données. Bien entendu, aucun système de protection informatique n’est en mesure d’assurer une sécurité parfaite ; l’obligation de sécurisation des données signifie donc que le responsable du traitement doit mettre en oeuvre tous les moyens nécessaires afin d’assurer la sécurité des données, et qu’il est juridiquement responsable en cas de fuite.

De son côté, le réseau de hackers Anonymous… a été hacké. Des centaines d’adresses IP ont été publiées, donnant ainsi aux autorités la possibilité d’identifier dans le monde réel des membres du groupe Anonymous. Qui est derrière cette opération ? À qui profite-t-elle ? Quelles en seront les conséquences ? Le réseau s’en remettra-t-il ?

Une autre polémique relative aux données personnelles touche Google et Facebook. On sait que les deux sociétés américaines s’affrontent pour la domination du Web social (mais se rejoignent volontiers lorsque leurs intérêts concordent), Facebook devenant petit à petit un «portail» vers d’autres contenus qui éloignerait les internautes du moteur de recherche de Google. Or, l’on a appris cette semaine que Facebook a financé une campagne de publicité contre Google. Cette campagne invitait à s’intéresser à la manière dont le service Google Circles révélait aux internautes des données relatives aux «amis de leurs amis». Pas de chance pour Facebook, le service de Google semble être conforme à la loi américaine.

Et c’est l’arroseur arrosé : Facebook se retrouve à son tour au centre d’un scandale relatif à la sécurisation des données de ses utilisateurs. Une faille de sécurité découverte par Symantec (l’éditeur de l’antivirus Norton) aurait permis à des applications tierces, par le truchement des applications publicitaires intégrées à Facebook, d’accéder aux profils des membres du réseau social. Facebook a corrigé la faille et conseille à ses membres de changer leur mot de passe. Toute la question, dans cette affaire, est celle de savoir si la faille a été effectivement exploitée pour obtenir frauduleusement des données personnelles. Le Congrès américain s’intéresse au problème et demande des explications à Facebook.

En France, la CNIL constate la baisse du niveau de protection des données personnelles par les moteurs de recherche, en réagissant à la décision de Yahoo! (dont nous avions parlé) d’augmenter la durée de la rétention des données personnelles des internautes.

De son côté, le groupe européen en charge des questions relatives à la protection des données personnelles (le «G29», créé par l’article 29 de la directive 1995/46), réagit à la polémique suscitée par la gestion des données de géolocalisation dans les terminaux mobiles Apple (dont nous avions également parlé, à plusieurs reprises). Le G29 devrait ainsi, dans un prochain avis, qualifier les données de géolocalisation de données personnelles, et préciser les conditions dans lesquelles leur collecte, leur traitement et leur stockage sont conformes au droit européen. Affaire à suivre.

Propriété intellectuelle

Changeons de sujet, et parlons un peu de propriété intellectuelle. Le système de la riposte graduée, que nous connaissons en droit français avec la loi Hadopi, vient d’être rejeté par le législateur belge. La question qui se pose désormais est donc celle de savoir quelle sera la réponse belge au phénomène du téléchargement illicite : filtrage ou licence globale ?

En France, selon une statistique récente, 50% des internautes avertis par l’Hadopi auraient cessé de télécharger des fichiers contrefaisants. D’un autre côté, sous pression constante des ayants droit, l’Hadopi envisage le filtrage des sites de streaming. Reste à savoir quelle sera la position des autorités européennes sur cette question, le filtrage n’étant possible que dans le cadre juridique défini par la directive «commerce électronique» de 2000.

Aux États-Unis, la répression bête et méchante continue, avec l’assignation de plusieurs FAI dans le but d’obtenir l’identité de plus de 23 000 internautes suspectés d’avoir téléchargé de manière illicite le film «The Expendables».

• 783 mots • #téléchargement #P2P #propriété intellectuelle #Google #Apple #Facebook #filtrage #piratage #sécurité #Hadopi #FAI #Anonymous
"GF", "login"=>"gflorimond", "email"=>"[email protected]", "url"=>""}" itemtype="https://schema.org/Person" />
8 Mai 2011

Propriété intellectuelle – Hadopi

Le feuilleton Hadopi continue. Après les deux premières phases de la riposte graduée, c’est la troisième phase (la dernière) qui se met progressivement en place. Et cela ne va pas sans soulever certains problèmes. Le problème dont on a parlé cette semaine est celui du maintien de la possibilité d’échanger des e-mails lorsque l’accès à Internet est suspendu.

D’où vient ce problème ? La loi parle de suspendre les services de communication au public en ligne, ce qui ne concerne pas les services de messagerie, qui relèvent de la correspondance privée des internautes. En outre, la riposte graduée à pour but d’empêcher le partage illicite d’oeuvres soumises au droit d’auteur, qui ne se fait pas par e-mail.

Pourquoi ne pas tout couper ? Il y aurait discrimination entre les internautes. Soient deux internautes, le premier utilise le service de messagerie de son fournisseur d’accès (FAI) ([email protected], [email protected], etc.) ; le second utilise un service tiers ([email protected], [email protected], etc.). Si le FAI annule les deux abonnements, le premier internaute perdra l’accès à son compte de messagerie, tandis que le second pourra toujours accéder à son compte, depuis la connexion d’un tiers.

Comment faire ? Il existe deux possibilités, l’une est acceptable et l’autre non. La première possibilité est de couper l’accès à Internet, ce qui interdit à l’internaute de consulter son courrier, tout en maintenant son compte de messagerie ouvert de manière à ce qu’il puisse relever son courrier depuis un autre point d’accès au réseau. La seconde possibilité est de maintenir l’accès au réseau de l’internaute, tout en discriminant selon la technologie : les connexions au service de courrier électronique seraient acceptées et les connexions à tous les autres services seraient refusées. Cette dernière option doit être rejetée. Elle est en effet contraire au principe de neutralité du Net selon lequel les intermédiaires techniques ne doivent pas opérer de discrimination en fonction des technologies utilisées ou des contenus échangés. Internet est un réseau d’ordinateurs offrant plusieurs types de services ; couper l’accès à Internet, c’est donc couper l’accès à tous ces services sans distinction et, réciproquement, offrir un accès à Internet c’est permettre l’accès à tous ces services sans distinction. En outre, le coût de la seconde mesure est beaucoup plus élevé que celui de la première, ce qui ne fait que rajouter au problème du financement de la riposte graduée.

Encore un grain de sable dans le mécanisme Hadopi, déjà bien mal huilé. Un spécialiste du réseau eDonkey a élaboré un logiciel réalisant des statistiques d’activité des clients (le même logiciel permet aussi de repérer le censeur chinois). Grâce à ces statistiques, il est très facile de distinguer les internautes «normaux» des ordinateurs des ayants droit qui espionnent les utilisateurs : ces derniers lancent des requêtes périodiques (en l’occurrence, toutes les 2 minutes). Une fois le «bot» (robot, ou logiciel, par opposition à utilisateur humain) repéré, il suffit de dresser la liste de ses requêtes pour savoir quels fichiers sont surveillés.

L’Hadopi envisage de s’attaquer aux sites de téléchargement direct, mais cela ne sera pas une mince affaire. En vrac : le régime de responsabilité des intermédiaires protège ces sites, souvent qualifiés d’hébergeurs ; les internautes peuvent utiliser un service de proxy VPN pour y accéder, et masquer ainsi leur adresse IP réelle ; même s’ils ne la masquent pas, l’adresse IP n’est accessible que si le site de téléchargement veut bien la révéler, ce qui est plus qu’incertain pour les sites hébergés en dehors de l’UE (et non soumis à la directive «data retention» de 2006) ; reste la solution du filtrage, mais il devrait reposer sur une analyse DPI, car tous les contenus hébergés par les sites de téléchargement ne sont pas illicites (et un tel filtrage violerait vraisemblablement le droit à la vie privée des internautes).

Filtrage

Poursuivons sur la question du filtrage. Aux États-Unis, la sécurité nationale est l’un des fondements du filtrage. Le gouvernement américain a ainsi demandé à la Fondation Mozilla de retirer un add-on pour Firefox qui permet de contourner le blocage de certains sites en redirigeant l’internaute vers un site miroir. La Fondation Mozilla a refusé de retirer l’add-on, expliquant qu’elle se conformait aux décisions de justice, mais ne cédait pas aux pressions politiques.

En France, le TGI de Paris a ordonné le blocage du site de paris en ligne 5dimes.com [décision, format PDF], sur la demande de l’ARJEL. Nous avions parlé de cette affaire dans un précédent numéro (54). Le site est costaricain, rédigé en anglais, et il ne vise pas particulièrement le public français. Il accepte toutefois les paiements en Euro. Mais peu importe : ce qui compte, pour le juge, c’est l’accessibilité du site en France. Le raisonnement est contestable…

Neutralité du Net

Une pratique très inquiétante s’instaure aux États-Unis : le fournisseur d’accès AT&T a décidé de facturer les dépassements de bande passante. Autrement dit, l’accès à Internet n’est plus illimité : il comprend un certain volume de données (150 ou 250 Go par mois) et, en cas de dépassement de ce volume, il y a facturation de chaque tranche de 50 Go au prix (exorbitant) de 10 dollars. Décryptons : les internautes qui téléchargement plus de 250 Go par mois sont présumés être des «pirates» partageant des fichiers contrefaisants ; faire payer au volume est donc un moyen de dissuader le partage de musique ou de films (tant mieux : on téléchargera des ebooks plutôt que le dernier blockbuster hollywoodien, et cela ne fera pas de mal au niveau intellectuel général).

Si Internet est devenu ce qu’il est, un moyen de communication populaire et démocratique, c’est en grande partie grâce aux abonnements ADSL, permettant une connexion illimitée dans le temps et en volume, qui ont remplacé les premiers forfaits des connexions analogiques (par Modem) prévoyant une facturation à la minute. Le haut débit de l’ADSL a aussi permis la mutation du Web d’un espace composé de texte en un espace contenant images, sons et vidéos.

Facturer à nouveau le temps passé sur Internet ou le volume de données transmises, c’est revenir 10 ans en arrière.

• 1028 mots • #Internet #neutralité #téléchargement #responsabilité #vie privée #gouvernement #discrimination #filtrage #DPI #surveillance #Hadopi #droit d'auteur #Orange #bande passante #FAI #intermédiaires
"GF", "login"=>"gflorimond", "email"=>"[email protected]", "url"=>""}" itemtype="https://schema.org/Person" />
1 Mai 2011

Cette semaine fut relativement pauvre en actualités liées au droit des nouvelles technologies. L’article sera donc plutôt court, et reviendra sur des l’évolution de sujets abordés dans les numéros précédents.

Données personnelles

Nous parlions, la semaine dernière, des données de géolocalisation de l’iPhone, accessibles dans la sauvegarde en clair sur l’ordinateur avec lequel l’appareil est synchronisé. La première réaction vient de Steve Jobs, le patron d’Apple : l’iPhone stocke certes des données de localisation, mais celles-ci sont anonymisées et elles ne sont pas envoyées à Apple (en revanche, elles peuvent être utilisées par des logiciels pour offrir, par exemple, de la publicité ciblée). La seconde réaction d’Apple fut plus officielle, et prise la forme d’une FAQ : Apple ne «traque» pas les utilisateurs d’iPhone ; le problème vient surtout du fait qu’Apple a manqué de transparence dans cette affaire, et n’a pas suffisamment expliqué comment ces données étaient utilisées ; ce n’est d’ailleurs pas la position du téléphone qui est enregistrée, mais celle des relais GPS et hotspots Wifi à proximité ; les données sont transmises à Apple de manière chiffrée et sécurisée ; enfin, il y a des bugs dans le système (par exemple le fait que l’iPhone continue de stocker les données lorsque le GPS est désactivé), qui seront prochainement corrigés.

Il ne s’agit là que d’Apple. Il semblerait que les téléphones sous Android (Google) stockent également des données de localisation. Le problème est d’autant plus grave que le nombre d’utilisateurs de terminaux mobiles ne cesse d’augmenter, notamment dans des pays peu démocratiques comme la Chine. Aussi, une class action a été initiée aux USA (Floride) contre Apple, et des enquêtes ont été ouvertes dans d’autres pays. Selon la CNIL, le stockage des données sur le terminal est moins problématique que leur envoi éventuel à des tiers, suite à un consentement trop souvent hésitant de l’utilisateur.

Par ailleurs, un nouveau scandale touche Sony et sa console de jeux, la PlayStation. Un hacker mal intentionné se serait introduit dans les serveurs de Sony et aurait obtenu l’accès à la base de données de 77 millions utilisateurs. En France, la CNIL a annoncé qu’elle lancerait prochainement une enquête sur cette affaire. Rappelons au passage qu’il incombe au responsable du traitement de données personnelles, en vertu du droit communautaire et du droit français, d’assurer la sécurité de ces dernières –ce que Sony a échoué, en l’espèce, à faire.

Signalons, pour conclure sur le thème de la protection des données personnelles, que le décret sur la rétention des données de connexion, dont nous avons déjà parlé, à plusieurs reprises, vient de subir une nouvelle attaque, sous la forme d’un recours en annulation déposé devant le Conseil d’État par l’association Internet Sans Frontières.

Commerce électronique

L’on a appris cette semaine que des contrôles réalisés par la DGCCRF avaient révélé que près de 40% des sites contrôlés ne respectaient pas les règles relatives au commerce électronique. Une fois de plus, le problème n’est pas la règle de droit, mais son application (ou plutôt, le fait qu’elle ne soit pas appliquée).

Responsabilité des intermédiaires

Un jugement important a été rendu. Nous avions parlé, il y a quelques semaines, d’un jugement imposant à un opérateur qualifié d’hébergeur de contrôler la remise en ligne de fichiers contrefaisants précédemment retirés. Nous critiquions cette décision, en soutenant qu’elle revenait à imposer à un intermédiaire technique une obligation générale de surveillance des contenus. Dans le jugement présenté cette semaine, les demandeurs ont été déboutés, au motif qu’ils n’avaient pas utilisé le système d’identification du contenu mis à disposition par YouTube pour empêcher la remise en ligne de fichiers contrefaisants. Cette décision fait donc un pas dans la bonne direction : YouTube n’est pas condamnée. Mais, pour autant, cela n’est pas suffisant, et cela pourrait même être contre-productif. En effet, la décision laisse penser que si les demandeurs avaient utilisé le système de contrôle de contenu de YouTube, celle-ci aurait eu l’obligation d’empêcher la remise en ligne des fichiers. Or, ce n’est pas parce qu’un opérateur met un outil de contrôle du contenu à disposition des ayants droit qu’une obligation de contrôler le contenu est mise à sa charge. Une telle obligation est explicitement exclue par le droit communautaire pour les intermédiaires techniques. Si l’on veut se fonder sur une telle obligation, il faut donc modifier la qualification de l’opérateur, et retenir qu’il est éditeur plutôt qu’hébergeur. Mais il est clair, désormais, que la jurisprudence ne s’oriente pas dans cette direction.

Propriété intellectuelle

Campagne pour les élections présidentielles de 2012 oblige, Nicolas Sarkozy a remis en cause la loi Hadopi. Verra-t-on bientôt une «hadopi 4» marquant la fin de la riposte graduée ? Affaire à suivre (sans trop d’illusions, toutefois).

Régulation

Après un Internet «civilisé», c’est d’un Internet «sain» dont on parle. La rhétorique est plutôt fascisante… pourquoi ne pas parler, tout simplement, d’un Internet «licite» ?

• 823 mots • #Internet #propriété intellectuelle #commerce électronique #responsabilité #données personnelles #Apple #sécurité #USA #intermédiaires #régulation
"GF", "login"=>"gflorimond", "email"=>"[email protected]", "url"=>""}" itemtype="https://schema.org/Person" />
24 Avr 2011

Rien de vraiment nouveau, cette semaine, dans l’actualité des nouvelles technologies. C’est l’occasion de revenir sur certains sujets déjà abordés dans le passé et d’en constater l’évolution.

Filtrage

Le filtrage, thème récurrent dans cette revue d’actualité, a un peu progressé aux États-Unis et en France. On le sait, les deux pays filtrent les sites de jeux en ligne, principalement de poker, lorsqu’ils permettent aux joueurs locaux de participer à des parties, sans être se mettre en conformité avec la loi locale. Les autorités américaines ont adopté une approche très offensive en recherchant le déréférencement des noms de domaine, tandis que la loi française, elle, permet leur filtrage.

L’Autorité de Régulation des Jeux en Ligne (ARJEL) a émis, cette semaine, trois nouvelles demandes de filtrage de sites permettant la participation des joueurs français. L’un de ces trois sites est hébergé en France, ce qui rend son retrait plus facile que son filtrage. Mais le site et son hébergeur résistent, et ce sera au juge de trancher le litige. Affaire à suivre.

Le thème du filtrage revient aussi à propos de la protection des droits de propriété intellectuelle, et plus précisément dans le système Hadopi. La haute autorité a publié mercredi un nouveau projet de spécifications techniques des moyens de sécurisation de l’accès à Internet (rappelons au passage que, dans le système Hadopi, ce n’est pas le téléchargement ou la contrefaçon qui sont sanctionnés, mais le défaut de sécurisation de l’accès à Internet qui rend la contrefaçon possible). Ce projet propose de placer un logiciel de surveillance et de filtrage au sein des «box» ADSL. On ne reviendra pas sur l’atteinte à la vie privée des internautes, qui est évidente.

En Italie, une décision de justice a ordonné le filtrage du site BTJunkie par les FAI locaux. Cela confirme que la tendance au filtrage s’étend de plus en plus dans le monde, y compris dans les démocraties occidentales.

Données personnelles

Google Street View ne cesse de faire polémique. Nous en avons déjà parlé à plusieurs reprises et nous y revenons, cette semaine. Google risque une forte amende aux Pays-Bas, et la justice belge a été saisie par l’homologue belge de la CNIL.

Le géant américain Yahoo a, quant à lui, décidé de conserver les données de connexion des internautes pendant 18 mois. La société avait, il y a quelques années, décidé de ne conserver les données que pendant 3 mois, afin de préserver la vie privée des internautes. Elle justifie le passage à une durée de rétention de 18 mois par des raisons tenant à l’amélioration de son moteur de recherche. Une durée plus longue de rétention des données permettrait à Yahoo d’innover (on comprend donc : les données ne sont pas seulement conservées, elles subissent aussi un traitement) et de se maintenir au niveau de la concurrence. Yahoo risque un conflit avec les autorités européennes de protection des données, celles-ci ayant recommandé une durée maximale de rétention de 6 mois. Précisons toutefois que le droit européen (la directive «data retention» de 2006) permet aux États membres de définir une durée légale de conservation des données comprise entre 6 mois et 2 ans ; Yahoo pourrait donc violer la loi de certains États membres tout en se conformant à la loi d’autres pays européens. Là aussi, c’est une affaire à suivre.

Apple se retrouve également, cette semaine, au centre d’une polémique liée au respect de la vie privée de ses clients. Les terminaux mobiles Apple dotés d’un GPS (iPhone, iPad) stockent dans un fichier non chiffré l’historique de localisation. On en a beaucoup entendu parler dans la presse, et beaucoup d’erreurs ont été commises. Alors, rétablissons la vérité. D’abord, les données ne sont pas directement accessibles depuis l’appareil. Y accéder depuis l’appareil n’est pas aisé, ce n’est pas à la portée du premier venu. Ensuite, les données sont accessibles sur l’ordinateur avec lequel l’appareil est synchronisé, sous deux conditions : 1) il doit y avoir, sur cet ordinateur, une sauvegarde du système de l’appareil (iTunes la réalise automatiquement, mais il est possible de la supprimer manuellement) ; 2) cette sauvegarde ne doit pas être chiffrée (iTunes permet, en cochant une simple case, de chiffrer la sauvegarde). Enfin, il s’agit d’un historique lié au système d’exploitation de l’appareil ; il suffit donc, pour le supprimer, de réinitialiser l’appareil (sans restaurer la sauvegarde locale, bien entendu). Cela étant dit, les données peuvent être exploitées en installant un petit logiciel qui se charge de récupérer le fichier d’historique et d’afficher les coordonnées stockées dans ce fichier sur une carte. Notons bien –c’est important– que ces données-là ne sont pas conservées ou traitées par Apple : elles sont simplement stockées sur l’appareil et dans la sauvegarde locale. Le meilleur moyen de prévenir les abus est donc de chiffrer la sauvegarde.

• 811 mots • #téléchargement #propriété intellectuelle #Google #vie privée #données personnelles #Apple #jeux en ligne #surveillance #Hadopi
"GF", "login"=>"gflorimond", "email"=>"[email protected]", "url"=>""}" itemtype="https://schema.org/Person" />
17 Avr 2011

Au sommaire, cette semaine, la question du filtrage d’Internet en Europe et la protection des données personnelles aux États-Unis.

Filtrage (affaire Scarlet c. Sabam)

Le fait marquant dans l’actualité du droit des nouvelles technologies est, cette semaine, la publication des conclusions de l’Avocat général près la Cour de Justice de l’Union Européenne (CJUE) dans l’affaire Scarlet c. Sabam.

Les faits sont assez classiques : la Sabam, société belge d’ayants droit, assigne le fournisseur d’accès (FAI) Scarlet devant le juge belge, et demande à ce dernier d’ordonner des mesures de filtrage d’Internet afin de bloquer les contenus contrefaisants échangés sur les réseaux de partage de pair-à-pair. Le juge belge saisit alors la CJUE afin de déterminer la conformité de ces mesures au droit communautaire, et lui pose la question de savoir s’il peut «ordonner à un FAI de mettre en place, à l’égard de toute sa clientèle, in abstracto et à titre préventif, aux frais exclusifs de ce FAI et sans limitation dans le temps, un système de filtrage de toutes les communications électroniques, tant entrantes que sortantes, transitant par ses services, notamment par l’emploi de logiciels peer to peer».

Dans ses conclusions, l’Avocat général estime le filtrage contraire au droit communautaire. Voyons son raisonnement :

1) Il faut d’abord distinguer «filtrage» et «blocage», car «le «système» à mettre en place est double. Il doit garantir, en premier lieu, le filtrage de toutes les communications de données transitant par le réseau de Scarlet, en vue de détecter ou si l’on préfère, d’isoler, celles qui impliquent une atteinte au droit d’auteur. À partir de ce filtrage, le système doit garantir, en second lieu, le blocage des communications qui impliquent effectivement une atteinte au droit d’auteur, que ce soit «au niveau de la requête» ou que ce soit «à l’occasion de l’envoi». Dans la mesure où l’efficacité du système de filtrage est une condition d’efficacité du mécanisme de blocage, ces deux opérations, bien qu’étroitement liées, s’avèrent d’une nature très différente et ont donc des implications différentes» (point 46). Le filtrage, «pour être efficace, [doit] être à la fois systématique, universel et évolutif» (point 48). Les modalités du filtrage doivent être déterminées par les juridictions nationales, mais ces caractères systématique, universel et évolutif ont des incidences en droit communautaire. S’agissant du blocage, ses modalités n’ont pas été fixées par les juridictions belges et «ni son impact concret sur les échanges de données ni son coût économique global, en particulier le coût d’installation et les coûts de maintenance, ne peuvent être déterminés a priori» (point 52).

2) Les mesures de filtrage ou de blocage sont ordonnées au FAI par le juge. L’avocat général constate à ce propos que «la portée très générale du système à déployer fait que les champs d’application ratione personae et ratione materiae de la mesure sollicitée sous forme d’injonction sont eux-mêmes forcément de caractère général, tout comme l’est son champ d’application ratione temporis» (point 53), le filtrage n’étant pas limité dans le temps. Cela revient à mettre à la charge du FAI une «obligation de résultat sous peine d’astreinte», «à la fois permanente et perpétuelle», et «les coûts de mise en place du système de filtrage et de blocage» (points 54 et 56). En outre, toutes les communications de tous les clients du FAI doivent être filtrées ; «par voie de conséquence, la mesure sollicitée, présentée comme une simple injonction adressée à un FAI (…) tend, en réalité, à la mise en place permanente et perpétuelle d’un système systématique et universel de filtrage de l’ensemble des communications électroniques» (point 58). Il s’agit là d’une obligation générale de surveillance, contraire à l’article 15 de la directive 2001/31 dite «commerce électronique» (point 66).

3) Une telle mesure de filtrage, reposant sur l’analyse des adresses IP, a notamment des incidences sur le droit de chacun au respect de sa vie privée (et au secret de ses correspondances). Or, à ce propos, l’Avocat général considère «[qu’]une adresse IP peut être qualifiée de donnée à caractère personnel dans la mesure où elle peut permettre l’identification d’une personne, par référence à un numéro d’identification où à tout autre élément qui lui soit propre «. Le droit de la protection des données personnelles est donc applicable en l’espèce. Mais le droit à la protection des données n’est pas absolu : il admet des limitations, notamment lorsqu’il s’agit de protéger les droits des tiers. Or, c’est bien le cas en l’espèce, puisque le filtrage a pour vocation de préserver le droit de propriété des ayants droit. La question qui se pose est donc celle de savoir si l’ingérence dans la vie privée des internautes est nécessaire et proportionnée au but poursuivi. La même analyse peut être menée pour départager le droit de propriété des ayants droit et la liberté d’expression des internautes. L’Avocat général répond par la négative : «dans la perspective des utilisateurs des services de Scarlet et plus largement des internautes, le système de filtrage exigé a vocation, indépendamment des modalités de son fonctionnement concret, à s’appliquer de façon systématique et universelle, permanente et perpétuelle, mais sa mise en place n’est assortie d’aucune garantie spécifique, en ce qui concerne notamment la protection des données personnelles et la confidentialité des communications» (point 106).

La conclusion est claire : le filtrage, tel que présenté ici, est contraire aux libertés publiques (vie privée, liberté d’expression) garanties par le droit communautaire, car il ne respecte pas les principes de nécessité et de proportionnalité. Reste à savoir ce que décidera la Cour, car c’est elle qui aura le dernier mot. Avec d’autres, nous espérons qu’elle suivra les conclusions de l’Avocat général.

Revenons un instant en France, avec la réaction d’un FAI aux conclusions de l’Avocat général : même si la loi permet au juge d’ordonner le filtrage, la mesure doit être, au cas d’espèce, proportionnée à la finalité poursuivie. Il serait donc par exemple excessif d’ordonner aux FAI français de bloquer «par tout moyen» l’accès à un site. Cette réaction est exactement celle que nous avions face au jugement rendu dans l’affaire Stanjames (v. n°17), à propos duquel nous écrivions qu’il «va beaucoup trop loin en ordonnant aux FAI français de mettre en oeuvre “toutes mesures de nature à permettre l’arrêt de l’accès au service en cause, soit toute mesure de filtrage, pouvant être obtenu (…) par blocage du nom de domaine, de l’adresse IP connue, de l’URL, ou par analyse du contenu des messages, mises en oeuvre alternativement ou éventuellement concomitamment, de manière à ce qu’elles soient suivies de l’effet escompté sur le territoire français”. Le juge met à la charge des FAI une obligation de résultat : le contenu doit être bloqué, peu important les moyens employés pour y parvenir. Ce faisant, il laisse la responsabilité aux FAI de prendre des mesures attentatoires à la neutralité du Net et aux droits fondamentaux (respect de la vie privée, liberté d’expression, notamment), comme le filtrage DPI qu’il suggère et qui ne se limite pas, par définition, aux contenus illicites. Si le juge avait ordonné aux FAI de prendre une mesure précise de blocage, sur un nom de domaine, une adresse IP ou un URL déterminés, quitte à rendre une nouvelle ordonnance de référé en cas de contournement de cette mesure, le principe de neutralité aurait moins souffert de sa décision.».

Filtrage (autres)

En Russie, le gouvernement a désavoué un officier des services secrets qui préconisait le blocage de certains logiciels de communication permettant les échanges chiffrés (Skype, Gmail, Hotmail).

En Allemagne, le projet de loi de filtrage des sites pédopornographiques, lancé en janvier 2009, vient d’être abandonné. Ces contenus seront donc retirés, comme tous les autres contenus illicites, en suivant la procédure classique issue de la directive «commerce électronique» (notification à l’hébergeur, qui engage sa responsabilité s’il ne retire pas le contenu).

Vie privée

Le droit américain protège, comme le droit européen, la vie privée des citoyens (et des internautes). Cependant, le droit européen va plus loin que le droit américain en protégeant également les individus contre les traitements abusifs de leurs données personnelles. En droit américain, les données personnelles que les internautes laissent notamment sur les réseaux sociaux sont des données publiques (ne concernant donc pas la vie privée) qui tombent sous la protection du premier amendement. Dans un contexte de développement à outrance des réseaux sociaux et de surexposition des personnes, cette situation est jugée insatisfaisante par la doctrine majoritaire. Ainsi, régulièrement, le Congrès examine des propositions de loi visant à encadrer la collecte et le traitement des données personnelles des internautes.

Cette semaine, une proposition importante(en) a été déposée conjointement par deux anciens candidats à la présidence, John Kerry (démocrate) et John McCain (républicain). – [version PDF].

Les mesures phare de la proposition de loi sont les suivantes :

  • Obligation pour les personnes qui collectent des données personnelles d'en assurer la sécurité ;
  • Droit du sujet du traitement d'être informé de l'existence de ce dernier, de le faire cesser (opt-out), d'accéder aux données traitées et de les rectifier le cas échéant ;
  • Principe de nécessité : seules les données nécessaires à l'accomplissement de la finalité du traitement peuvent être collectées ; en outre, les données ne peuvent être conservées que tant que cette conservation demeure nécessaire ;
  • Transmission par contrat de ces obligations à tout tiers qui recevrait les données ;
  • Sanction du respect de la loi par la Federal Trade Commission (l'autorité fédérale de régulation de la concurrence et de la consommation) ;

Cette proposition de loi constitue une avancée pour la protection de la vie privée en droit américain (reste à savoir si le Congrès la votera). Elle fait cependant (déjà) l’objet de nombreuses critiques, sur lesquelles nous ne nous étendrons pas. Disons simplement que, d’un côté, certains pensent que les données publiques devraient rester librement accessibles ou que les personnes devraient recevoir un droit de propriété sur leurs données et être libres de les échanger ; alors que, d’un autre côté, les partisans d’une protection plus forte de la vie privée soutiennent que la proposition de loi ne va pas encore assez loin. L’EFF, en particulier, soulève certains défauts de la proposition de loi : elle ne prend pas en compte la proposition Do Not Track de la FTC ; étant une réglementation fédérale, elle empêche les États fédérés d’élaborer des lois plus protectrices des personnes ; elle est trop centrée sur l’utilisation des données au détriment des conditions de leur collecte ; elle ne restreint pas suffisamment l’échange des données avec les tiers, etc.

• 1758 mots • #Internet #neutralité #commerce électronique #vie privée #données personnelles #gouvernement #filtrage #sécurité #liberté d'expression #FAI #régulation
"GF", "login"=>"gflorimond", "email"=>"[email protected]", "url"=>"http://www.valhalla.fr"}" itemtype="https://schema.org/Person" />
14 Avr 2011

Dans une conférence (11 avril 2011) à l'Université de Stanford (Californie, USA), le fondateur de la Free Software Foundation, Richard Stallman, a énoncé 8 problèmes relatifs aux nouvelles technologies, et en particulier à Internet, qui représentent selon lui de graves dangers pour la démocratie et les libertés individuelles. Cet article a pour but de présenter et de commenter ces 8 points, dans les grandes lignes, afin que les lecteurs non-anglophones puissent en profiter. Pour les autres, l'intervention de Stallman a été filmée, et le film est disponible à l'adresse suivante : http://cyberlaw.stanford.edu/node/6657. • 2537 mots • #Internet #Informatique #sécurité #société #software #Juridique #Web #loppsi #serveur #réseaux #liberté #USA #Neutralité du Net #Google #Droit américain #Régulation #NTIC #Logiciels #Système