Le feuilleton Hadopi continue. Après les deux premières phases de la riposte graduée, c’est la troisième phase (la dernière) qui se met progressivement en place. Et cela ne va pas sans soulever certains problèmes. Le problème dont on a parlé cette semaine est celui du maintien de la possibilité d’échanger des e-mails lorsque l’accès à Internet est suspendu.
D’où vient ce problème ? La loi parle de suspendre les services de communication au public en ligne, ce qui ne concerne pas les services de messagerie, qui relèvent de la correspondance privée des internautes. En outre, la riposte graduée à pour but d’empêcher le partage illicite d’oeuvres soumises au droit d’auteur, qui ne se fait pas par e-mail.
Pourquoi ne pas tout couper ? Il y aurait discrimination entre les internautes. Soient deux internautes, le premier utilise le service de messagerie de son fournisseur d’accès (FAI) ([email protected], [email protected], etc.) ; le second utilise un service tiers ([email protected], [email protected], etc.). Si le FAI annule les deux abonnements, le premier internaute perdra l’accès à son compte de messagerie, tandis que le second pourra toujours accéder à son compte, depuis la connexion d’un tiers.
Comment faire ? Il existe deux possibilités, l’une est acceptable et l’autre non. La première possibilité est de couper l’accès à Internet, ce qui interdit à l’internaute de consulter son courrier, tout en maintenant son compte de messagerie ouvert de manière à ce qu’il puisse relever son courrier depuis un autre point d’accès au réseau. La seconde possibilité est de maintenir l’accès au réseau de l’internaute, tout en discriminant selon la technologie : les connexions au service de courrier électronique seraient acceptées et les connexions à tous les autres services seraient refusées. Cette dernière option doit être rejetée. Elle est en effet contraire au principe de neutralité du Net selon lequel les intermédiaires techniques ne doivent pas opérer de discrimination en fonction des technologies utilisées ou des contenus échangés. Internet est un réseau d’ordinateurs offrant plusieurs types de services ; couper l’accès à Internet, c’est donc couper l’accès à tous ces services sans distinction et, réciproquement, offrir un accès à Internet c’est permettre l’accès à tous ces services sans distinction. En outre, le coût de la seconde mesure est beaucoup plus élevé que celui de la première, ce qui ne fait que rajouter au problème du financement de la riposte graduée.
Encore un grain de sable dans le mécanisme Hadopi, déjà bien mal huilé. Un spécialiste du réseau eDonkey a élaboré un logiciel réalisant des statistiques d’activité des clients (le même logiciel permet aussi de repérer le censeur chinois). Grâce à ces statistiques, il est très facile de distinguer les internautes «normaux» des ordinateurs des ayants droit qui espionnent les utilisateurs : ces derniers lancent des requêtes périodiques (en l’occurrence, toutes les 2 minutes). Une fois le «bot» (robot, ou logiciel, par opposition à utilisateur humain) repéré, il suffit de dresser la liste de ses requêtes pour savoir quels fichiers sont surveillés.
L’Hadopi envisage de s’attaquer aux sites de téléchargement direct, mais cela ne sera pas une mince affaire. En vrac : le régime de responsabilité des intermédiaires protège ces sites, souvent qualifiés d’hébergeurs ; les internautes peuvent utiliser un service de proxy VPN pour y accéder, et masquer ainsi leur adresse IP réelle ; même s’ils ne la masquent pas, l’adresse IP n’est accessible que si le site de téléchargement veut bien la révéler, ce qui est plus qu’incertain pour les sites hébergés en dehors de l’UE (et non soumis à la directive «data retention» de 2006) ; reste la solution du filtrage, mais il devrait reposer sur une analyse DPI, car tous les contenus hébergés par les sites de téléchargement ne sont pas illicites (et un tel filtrage violerait vraisemblablement le droit à la vie privée des internautes).
Poursuivons sur la question du filtrage. Aux États-Unis, la sécurité nationale est l’un des fondements du filtrage. Le gouvernement américain a ainsi demandé à la Fondation Mozilla de retirer un add-on pour Firefox qui permet de contourner le blocage de certains sites en redirigeant l’internaute vers un site miroir. La Fondation Mozilla a refusé de retirer l’add-on, expliquant qu’elle se conformait aux décisions de justice, mais ne cédait pas aux pressions politiques.
En France, le TGI de Paris a ordonné le blocage du site de paris en ligne 5dimes.com [décision, format PDF], sur la demande de l’ARJEL. Nous avions parlé de cette affaire dans un précédent numéro (54). Le site est costaricain, rédigé en anglais, et il ne vise pas particulièrement le public français. Il accepte toutefois les paiements en Euro. Mais peu importe : ce qui compte, pour le juge, c’est l’accessibilité du site en France. Le raisonnement est contestable…
Une pratique très inquiétante s’instaure aux États-Unis : le fournisseur d’accès AT&T a décidé de facturer les dépassements de bande passante. Autrement dit, l’accès à Internet n’est plus illimité : il comprend un certain volume de données (150 ou 250 Go par mois) et, en cas de dépassement de ce volume, il y a facturation de chaque tranche de 50 Go au prix (exorbitant) de 10 dollars. Décryptons : les internautes qui téléchargement plus de 250 Go par mois sont présumés être des «pirates» partageant des fichiers contrefaisants ; faire payer au volume est donc un moyen de dissuader le partage de musique ou de films (tant mieux : on téléchargera des ebooks plutôt que le dernier blockbuster hollywoodien, et cela ne fera pas de mal au niveau intellectuel général).
Si Internet est devenu ce qu’il est, un moyen de communication populaire et démocratique, c’est en grande partie grâce aux abonnements ADSL, permettant une connexion illimitée dans le temps et en volume, qui ont remplacé les premiers forfaits des connexions analogiques (par Modem) prévoyant une facturation à la minute. Le haut débit de l’ADSL a aussi permis la mutation du Web d’un espace composé de texte en un espace contenant images, sons et vidéos.
Facturer à nouveau le temps passé sur Internet ou le volume de données transmises, c’est revenir 10 ans en arrière.
• 1028 mots • #Internet #neutralité #téléchargement #responsabilité #vie privée #gouvernement #discrimination #filtrage #DPI #surveillance #Hadopi #droit d'auteur #Orange #bande passante #FAI #intermédiairesCette semaine fut relativement pauvre en actualités liées au droit des nouvelles technologies. L’article sera donc plutôt court, et reviendra sur des l’évolution de sujets abordés dans les numéros précédents.
Nous parlions, la semaine dernière, des données de géolocalisation de l’iPhone, accessibles dans la sauvegarde en clair sur l’ordinateur avec lequel l’appareil est synchronisé. La première réaction vient de Steve Jobs, le patron d’Apple : l’iPhone stocke certes des données de localisation, mais celles-ci sont anonymisées et elles ne sont pas envoyées à Apple (en revanche, elles peuvent être utilisées par des logiciels pour offrir, par exemple, de la publicité ciblée). La seconde réaction d’Apple fut plus officielle, et prise la forme d’une FAQ : Apple ne «traque» pas les utilisateurs d’iPhone ; le problème vient surtout du fait qu’Apple a manqué de transparence dans cette affaire, et n’a pas suffisamment expliqué comment ces données étaient utilisées ; ce n’est d’ailleurs pas la position du téléphone qui est enregistrée, mais celle des relais GPS et hotspots Wifi à proximité ; les données sont transmises à Apple de manière chiffrée et sécurisée ; enfin, il y a des bugs dans le système (par exemple le fait que l’iPhone continue de stocker les données lorsque le GPS est désactivé), qui seront prochainement corrigés.
Il ne s’agit là que d’Apple. Il semblerait que les téléphones sous Android (Google) stockent également des données de localisation. Le problème est d’autant plus grave que le nombre d’utilisateurs de terminaux mobiles ne cesse d’augmenter, notamment dans des pays peu démocratiques comme la Chine. Aussi, une class action a été initiée aux USA (Floride) contre Apple, et des enquêtes ont été ouvertes dans d’autres pays. Selon la CNIL, le stockage des données sur le terminal est moins problématique que leur envoi éventuel à des tiers, suite à un consentement trop souvent hésitant de l’utilisateur.
Par ailleurs, un nouveau scandale touche Sony et sa console de jeux, la PlayStation. Un hacker mal intentionné se serait introduit dans les serveurs de Sony et aurait obtenu l’accès à la base de données de 77 millions utilisateurs. En France, la CNIL a annoncé qu’elle lancerait prochainement une enquête sur cette affaire. Rappelons au passage qu’il incombe au responsable du traitement de données personnelles, en vertu du droit communautaire et du droit français, d’assurer la sécurité de ces dernières –ce que Sony a échoué, en l’espèce, à faire.
Signalons, pour conclure sur le thème de la protection des données personnelles, que le décret sur la rétention des données de connexion, dont nous avons déjà parlé, à plusieurs reprises, vient de subir une nouvelle attaque, sous la forme d’un recours en annulation déposé devant le Conseil d’État par l’association Internet Sans Frontières.
L’on a appris cette semaine que des contrôles réalisés par la DGCCRF avaient révélé que près de 40% des sites contrôlés ne respectaient pas les règles relatives au commerce électronique. Une fois de plus, le problème n’est pas la règle de droit, mais son application (ou plutôt, le fait qu’elle ne soit pas appliquée).
Un jugement important a été rendu. Nous avions parlé, il y a quelques semaines, d’un jugement imposant à un opérateur qualifié d’hébergeur de contrôler la remise en ligne de fichiers contrefaisants précédemment retirés. Nous critiquions cette décision, en soutenant qu’elle revenait à imposer à un intermédiaire technique une obligation générale de surveillance des contenus. Dans le jugement présenté cette semaine, les demandeurs ont été déboutés, au motif qu’ils n’avaient pas utilisé le système d’identification du contenu mis à disposition par YouTube pour empêcher la remise en ligne de fichiers contrefaisants. Cette décision fait donc un pas dans la bonne direction : YouTube n’est pas condamnée. Mais, pour autant, cela n’est pas suffisant, et cela pourrait même être contre-productif. En effet, la décision laisse penser que si les demandeurs avaient utilisé le système de contrôle de contenu de YouTube, celle-ci aurait eu l’obligation d’empêcher la remise en ligne des fichiers. Or, ce n’est pas parce qu’un opérateur met un outil de contrôle du contenu à disposition des ayants droit qu’une obligation de contrôler le contenu est mise à sa charge. Une telle obligation est explicitement exclue par le droit communautaire pour les intermédiaires techniques. Si l’on veut se fonder sur une telle obligation, il faut donc modifier la qualification de l’opérateur, et retenir qu’il est éditeur plutôt qu’hébergeur. Mais il est clair, désormais, que la jurisprudence ne s’oriente pas dans cette direction.
Campagne pour les élections présidentielles de 2012 oblige, Nicolas Sarkozy a remis en cause la loi Hadopi. Verra-t-on bientôt une «hadopi 4» marquant la fin de la riposte graduée ? Affaire à suivre (sans trop d’illusions, toutefois).
Après un Internet «civilisé», c’est d’un Internet «sain» dont on parle. La rhétorique est plutôt fascisante… pourquoi ne pas parler, tout simplement, d’un Internet «licite» ?
• 823 mots • #Internet #propriété intellectuelle #commerce électronique #responsabilité #données personnelles #Apple #sécurité #USA #intermédiaires #régulationRien de vraiment nouveau, cette semaine, dans l’actualité des nouvelles technologies. C’est l’occasion de revenir sur certains sujets déjà abordés dans le passé et d’en constater l’évolution.
Le filtrage, thème récurrent dans cette revue d’actualité, a un peu progressé aux États-Unis et en France. On le sait, les deux pays filtrent les sites de jeux en ligne, principalement de poker, lorsqu’ils permettent aux joueurs locaux de participer à des parties, sans être se mettre en conformité avec la loi locale. Les autorités américaines ont adopté une approche très offensive en recherchant le déréférencement des noms de domaine, tandis que la loi française, elle, permet leur filtrage.
L’Autorité de Régulation des Jeux en Ligne (ARJEL) a émis, cette semaine, trois nouvelles demandes de filtrage de sites permettant la participation des joueurs français. L’un de ces trois sites est hébergé en France, ce qui rend son retrait plus facile que son filtrage. Mais le site et son hébergeur résistent, et ce sera au juge de trancher le litige. Affaire à suivre.
Le thème du filtrage revient aussi à propos de la protection des droits de propriété intellectuelle, et plus précisément dans le système Hadopi. La haute autorité a publié mercredi un nouveau projet de spécifications techniques des moyens de sécurisation de l’accès à Internet (rappelons au passage que, dans le système Hadopi, ce n’est pas le téléchargement ou la contrefaçon qui sont sanctionnés, mais le défaut de sécurisation de l’accès à Internet qui rend la contrefaçon possible). Ce projet propose de placer un logiciel de surveillance et de filtrage au sein des «box» ADSL. On ne reviendra pas sur l’atteinte à la vie privée des internautes, qui est évidente.
En Italie, une décision de justice a ordonné le filtrage du site BTJunkie par les FAI locaux. Cela confirme que la tendance au filtrage s’étend de plus en plus dans le monde, y compris dans les démocraties occidentales.
Google Street View ne cesse de faire polémique. Nous en avons déjà parlé à plusieurs reprises et nous y revenons, cette semaine. Google risque une forte amende aux Pays-Bas, et la justice belge a été saisie par l’homologue belge de la CNIL.
Le géant américain Yahoo a, quant à lui, décidé de conserver les données de connexion des internautes pendant 18 mois. La société avait, il y a quelques années, décidé de ne conserver les données que pendant 3 mois, afin de préserver la vie privée des internautes. Elle justifie le passage à une durée de rétention de 18 mois par des raisons tenant à l’amélioration de son moteur de recherche. Une durée plus longue de rétention des données permettrait à Yahoo d’innover (on comprend donc : les données ne sont pas seulement conservées, elles subissent aussi un traitement) et de se maintenir au niveau de la concurrence. Yahoo risque un conflit avec les autorités européennes de protection des données, celles-ci ayant recommandé une durée maximale de rétention de 6 mois. Précisons toutefois que le droit européen (la directive «data retention» de 2006) permet aux États membres de définir une durée légale de conservation des données comprise entre 6 mois et 2 ans ; Yahoo pourrait donc violer la loi de certains États membres tout en se conformant à la loi d’autres pays européens. Là aussi, c’est une affaire à suivre.
Apple se retrouve également, cette semaine, au centre d’une polémique liée au respect de la vie privée de ses clients. Les terminaux mobiles Apple dotés d’un GPS (iPhone, iPad) stockent dans un fichier non chiffré l’historique de localisation. On en a beaucoup entendu parler dans la presse, et beaucoup d’erreurs ont été commises. Alors, rétablissons la vérité. D’abord, les données ne sont pas directement accessibles depuis l’appareil. Y accéder depuis l’appareil n’est pas aisé, ce n’est pas à la portée du premier venu. Ensuite, les données sont accessibles sur l’ordinateur avec lequel l’appareil est synchronisé, sous deux conditions : 1) il doit y avoir, sur cet ordinateur, une sauvegarde du système de l’appareil (iTunes la réalise automatiquement, mais il est possible de la supprimer manuellement) ; 2) cette sauvegarde ne doit pas être chiffrée (iTunes permet, en cochant une simple case, de chiffrer la sauvegarde). Enfin, il s’agit d’un historique lié au système d’exploitation de l’appareil ; il suffit donc, pour le supprimer, de réinitialiser l’appareil (sans restaurer la sauvegarde locale, bien entendu). Cela étant dit, les données peuvent être exploitées en installant un petit logiciel qui se charge de récupérer le fichier d’historique et d’afficher les coordonnées stockées dans ce fichier sur une carte. Notons bien –c’est important– que ces données-là ne sont pas conservées ou traitées par Apple : elles sont simplement stockées sur l’appareil et dans la sauvegarde locale. Le meilleur moyen de prévenir les abus est donc de chiffrer la sauvegarde.
• 811 mots • #téléchargement #propriété intellectuelle #Google #vie privée #données personnelles #Apple #jeux en ligne #surveillance #HadopiAu sommaire, cette semaine, la question du filtrage d’Internet en Europe et la protection des données personnelles aux États-Unis.
Le fait marquant dans l’actualité du droit des nouvelles technologies est, cette semaine, la publication des conclusions de l’Avocat général près la Cour de Justice de l’Union Européenne (CJUE) dans l’affaire Scarlet c. Sabam.
Les faits sont assez classiques : la Sabam, société belge d’ayants droit, assigne le fournisseur d’accès (FAI) Scarlet devant le juge belge, et demande à ce dernier d’ordonner des mesures de filtrage d’Internet afin de bloquer les contenus contrefaisants échangés sur les réseaux de partage de pair-à-pair. Le juge belge saisit alors la CJUE afin de déterminer la conformité de ces mesures au droit communautaire, et lui pose la question de savoir s’il peut «ordonner à un FAI de mettre en place, à l’égard de toute sa clientèle, in abstracto et à titre préventif, aux frais exclusifs de ce FAI et sans limitation dans le temps, un système de filtrage de toutes les communications électroniques, tant entrantes que sortantes, transitant par ses services, notamment par l’emploi de logiciels peer to peer».
Dans ses conclusions, l’Avocat général estime le filtrage contraire au droit communautaire. Voyons son raisonnement :
1) Il faut d’abord distinguer «filtrage» et «blocage», car «le «système» à mettre en place est double. Il doit garantir, en premier lieu, le filtrage de toutes les communications de données transitant par le réseau de Scarlet, en vue de détecter ou si l’on préfère, d’isoler, celles qui impliquent une atteinte au droit d’auteur. À partir de ce filtrage, le système doit garantir, en second lieu, le blocage des communications qui impliquent effectivement une atteinte au droit d’auteur, que ce soit «au niveau de la requête» ou que ce soit «à l’occasion de l’envoi». Dans la mesure où l’efficacité du système de filtrage est une condition d’efficacité du mécanisme de blocage, ces deux opérations, bien qu’étroitement liées, s’avèrent d’une nature très différente et ont donc des implications différentes» (point 46). Le filtrage, «pour être efficace, [doit] être à la fois systématique, universel et évolutif» (point 48). Les modalités du filtrage doivent être déterminées par les juridictions nationales, mais ces caractères systématique, universel et évolutif ont des incidences en droit communautaire. S’agissant du blocage, ses modalités n’ont pas été fixées par les juridictions belges et «ni son impact concret sur les échanges de données ni son coût économique global, en particulier le coût d’installation et les coûts de maintenance, ne peuvent être déterminés a priori» (point 52).
2) Les mesures de filtrage ou de blocage sont ordonnées au FAI par le juge. L’avocat général constate à ce propos que «la portée très générale du système à déployer fait que les champs d’application ratione personae et ratione materiae de la mesure sollicitée sous forme d’injonction sont eux-mêmes forcément de caractère général, tout comme l’est son champ d’application ratione temporis» (point 53), le filtrage n’étant pas limité dans le temps. Cela revient à mettre à la charge du FAI une «obligation de résultat sous peine d’astreinte», «à la fois permanente et perpétuelle», et «les coûts de mise en place du système de filtrage et de blocage» (points 54 et 56). En outre, toutes les communications de tous les clients du FAI doivent être filtrées ; «par voie de conséquence, la mesure sollicitée, présentée comme une simple injonction adressée à un FAI (…) tend, en réalité, à la mise en place permanente et perpétuelle d’un système systématique et universel de filtrage de l’ensemble des communications électroniques» (point 58). Il s’agit là d’une obligation générale de surveillance, contraire à l’article 15 de la directive 2001/31 dite «commerce électronique» (point 66).
3) Une telle mesure de filtrage, reposant sur l’analyse des adresses IP, a notamment des incidences sur le droit de chacun au respect de sa vie privée (et au secret de ses correspondances). Or, à ce propos, l’Avocat général considère «[qu’]une adresse IP peut être qualifiée de donnée à caractère personnel dans la mesure où elle peut permettre l’identification d’une personne, par référence à un numéro d’identification où à tout autre élément qui lui soit propre «. Le droit de la protection des données personnelles est donc applicable en l’espèce. Mais le droit à la protection des données n’est pas absolu : il admet des limitations, notamment lorsqu’il s’agit de protéger les droits des tiers. Or, c’est bien le cas en l’espèce, puisque le filtrage a pour vocation de préserver le droit de propriété des ayants droit. La question qui se pose est donc celle de savoir si l’ingérence dans la vie privée des internautes est nécessaire et proportionnée au but poursuivi. La même analyse peut être menée pour départager le droit de propriété des ayants droit et la liberté d’expression des internautes. L’Avocat général répond par la négative : «dans la perspective des utilisateurs des services de Scarlet et plus largement des internautes, le système de filtrage exigé a vocation, indépendamment des modalités de son fonctionnement concret, à s’appliquer de façon systématique et universelle, permanente et perpétuelle, mais sa mise en place n’est assortie d’aucune garantie spécifique, en ce qui concerne notamment la protection des données personnelles et la confidentialité des communications» (point 106).
La conclusion est claire : le filtrage, tel que présenté ici, est contraire aux libertés publiques (vie privée, liberté d’expression) garanties par le droit communautaire, car il ne respecte pas les principes de nécessité et de proportionnalité. Reste à savoir ce que décidera la Cour, car c’est elle qui aura le dernier mot. Avec d’autres, nous espérons qu’elle suivra les conclusions de l’Avocat général.
Revenons un instant en France, avec la réaction d’un FAI aux conclusions de l’Avocat général : même si la loi permet au juge d’ordonner le filtrage, la mesure doit être, au cas d’espèce, proportionnée à la finalité poursuivie. Il serait donc par exemple excessif d’ordonner aux FAI français de bloquer «par tout moyen» l’accès à un site. Cette réaction est exactement celle que nous avions face au jugement rendu dans l’affaire Stanjames (v. n°17), à propos duquel nous écrivions qu’il «va beaucoup trop loin en ordonnant aux FAI français de mettre en oeuvre “toutes mesures de nature à permettre l’arrêt de l’accès au service en cause, soit toute mesure de filtrage, pouvant être obtenu (…) par blocage du nom de domaine, de l’adresse IP connue, de l’URL, ou par analyse du contenu des messages, mises en oeuvre alternativement ou éventuellement concomitamment, de manière à ce qu’elles soient suivies de l’effet escompté sur le territoire français”. Le juge met à la charge des FAI une obligation de résultat : le contenu doit être bloqué, peu important les moyens employés pour y parvenir. Ce faisant, il laisse la responsabilité aux FAI de prendre des mesures attentatoires à la neutralité du Net et aux droits fondamentaux (respect de la vie privée, liberté d’expression, notamment), comme le filtrage DPI qu’il suggère et qui ne se limite pas, par définition, aux contenus illicites. Si le juge avait ordonné aux FAI de prendre une mesure précise de blocage, sur un nom de domaine, une adresse IP ou un URL déterminés, quitte à rendre une nouvelle ordonnance de référé en cas de contournement de cette mesure, le principe de neutralité aurait moins souffert de sa décision.».
En Russie, le gouvernement a désavoué un officier des services secrets qui préconisait le blocage de certains logiciels de communication permettant les échanges chiffrés (Skype, Gmail, Hotmail).
En Allemagne, le projet de loi de filtrage des sites pédopornographiques, lancé en janvier 2009, vient d’être abandonné. Ces contenus seront donc retirés, comme tous les autres contenus illicites, en suivant la procédure classique issue de la directive «commerce électronique» (notification à l’hébergeur, qui engage sa responsabilité s’il ne retire pas le contenu).
Le droit américain protège, comme le droit européen, la vie privée des citoyens (et des internautes). Cependant, le droit européen va plus loin que le droit américain en protégeant également les individus contre les traitements abusifs de leurs données personnelles. En droit américain, les données personnelles que les internautes laissent notamment sur les réseaux sociaux sont des données publiques (ne concernant donc pas la vie privée) qui tombent sous la protection du premier amendement. Dans un contexte de développement à outrance des réseaux sociaux et de surexposition des personnes, cette situation est jugée insatisfaisante par la doctrine majoritaire. Ainsi, régulièrement, le Congrès examine des propositions de loi visant à encadrer la collecte et le traitement des données personnelles des internautes.
Cette semaine, une proposition importante(en) a été déposée conjointement par deux anciens candidats à la présidence, John Kerry (démocrate) et John McCain (républicain). – [version PDF].
Les mesures phare de la proposition de loi sont les suivantes :
Cette proposition de loi constitue une avancée pour la protection de la vie privée en droit américain (reste à savoir si le Congrès la votera). Elle fait cependant (déjà) l’objet de nombreuses critiques, sur lesquelles nous ne nous étendrons pas. Disons simplement que, d’un côté, certains pensent que les données publiques devraient rester librement accessibles ou que les personnes devraient recevoir un droit de propriété sur leurs données et être libres de les échanger ; alors que, d’un autre côté, les partisans d’une protection plus forte de la vie privée soutiennent que la proposition de loi ne va pas encore assez loin. L’EFF, en particulier, soulève certains défauts de la proposition de loi : elle ne prend pas en compte la proposition Do Not Track de la FTC ; étant une réglementation fédérale, elle empêche les États fédérés d’élaborer des lois plus protectrices des personnes ; elle est trop centrée sur l’utilisation des données au détriment des conditions de leur collecte ; elle ne restreint pas suffisamment l’échange des données avec les tiers, etc.
• 1758 mots • #Internet #neutralité #commerce électronique #vie privée #données personnelles #gouvernement #filtrage #sécurité #liberté d'expression #FAI #régulationAu sommaire d’un numéro très juridique, cette semaine, la responsabilité des intermédiaires, la protection des données personnelles, la neutralité du Net aux États-Unis et la compétence internationale des tribunaux français dans le contentieux des cyber-délits.
Nous parlions la semaine dernière des critiques formulées à l’encontre d’un rapport sénatorial proposant de créer une troisième qualification pour les opérateurs du Web, outre celles d’hébergeur et d’éditeur, et de lui associer certaines obligations de surveillance et de contrôle du contenu. Cette proposition a finalement été abandonnée. Les auteurs du rapport expliquent que la directive «commerce électronique», qui interdit aux États d’imposer aux intermédiaires techniques locaux une obligation générale de surveillance du réseau, rend difficile la création de cette troisième qualification.
Pour autant, il nous semble que l’idée d’une troisième qualification était intéressante, et qu’il ne faut pas l’abandonner si vite. Le contentieux de la responsabilité des opérateurs du Web 2.0 est en effet marqué, depuis plusieurs années, par une forte insécurité juridique. Celle-ci provient de l’application du principe de neutralité technologique dans la rédaction de la règle de qualification. Grâce à ce principe, la loi est suffisamment générale et abstraite pour être appliquée aux technologies futures ; elle n’est pas dépassée dès sont entrée en vigueur, parce qu’une nouvelle technologie différente a remplacé la technologie dominante pour laquelle la loi a été pensée. Corollaire de ce caractère abstrait, la loi est plus difficile à appliquer, car son application nécessite une plus forte dose d’interprétation. De cette interprétation provient l’insécurité juridique.
Ainsi, pour ce qui nous occupe ici, les grands opérateurs du Web 2.0 (eBay, Google, YouTube, etc.) ont été tantôt qualifiés d’éditeurs (directement responsables du dommage causé par la diffusion du contenu litigieux), tantôt d’hébergeurs (bénéficiaires d’un régime spécial d’irresponsabilité pour les dommages causés par la diffusion du contenu, mais responsables pour carence lorsque, sachant qu’un contenu est illicite et disposant des moyens d’en faire cesser la diffusion, ils n’ont pas agi). L’incertitude dans la qualification réside dans le fait que la loi (article 6 LCEN du 21 juin 2004) qualifie d’hébergeur «les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services». Les hébergeurs se bornent donc à assurer le stockage d’un contenu diffusé à l’initiative de l’internaute ; ils ne sont clairement pas intéressés dans cette diffusion : que le contenu soit une page blanche ou un site complet, cela revient pour eux au même.
Et si, pourtant, cela ne revenait pas au même, ces opérateurs pourraient-ils encore être qualifiés de simples intermédiaires techniques ? Tel est le coeur de la question de la qualification des «hébergeurs intéressés» du Web 2.0 : par exemple, un site d’hébergement de vidéos tel que YouTube propose bien aux internautes d’héberger leurs vidéos (à ce titre, il est hébergeur), mais son modèle économique est fondé sur la diffusion du contenu, et non sur son seul hébergement. Cela signifie, dans le cas de YouTube, qu’il bénéficie de la quantité et de la qualité des vidéos hébergées, parce que ce sont elles qui amènent les internautes à visiter son site. Est-il, dans ce contexte, toujours un simple hébergeur ? La jurisprudence semble dernièrement s’être fixée sur une réponse positive (notamment depuis l’arrêt de la CJUE dans l’affaire Google AdWords ; v. cependant et par exemple, contra, CA Paris, 3 sept. 2010). De la même manière, YouTube participe à l’organisation des vidéos sur son site, en les classant notamment par popularité ou par thème, ou en proposant à l’internaute qui visionne une vidéo de voir des vidéos «semblables». Est-ce là une simple mesure d’organisation du contenu (tel un kiosquier qui déciderait de mettre en avant tel journal plutôt que tel autre, sans pour autant être responsable du contenu de ces journaux), ou une mesure de sélection du contenu qui relève d’une activité d’édition ? Là aussi, après avoir tergiversé, la jurisprudence tend désormais à considérer qu’il s’agit d’une simple mesure d’organisation, qui permet à l’opérateur de bénéficier de la qualification d’hébergeur. La jurisprudence en la matière est très riche, et très fluctuante. Certaines décisions mettent en scène des situations où, par exemple, l’opérateur est qualifié d’hébergeur d’une partie de la page, et d’éditeur d’une autre partie. Une autre tendance s’oriente progressivement vers le «Notice & Stay Down», c’est-à-dire vers une obligation pour les intermédiaires techniques de surveiller l’ensemble du contenu afin de s’assurer qu’un contenu particulier qui a été juge illicite et retiré ne soit pas remis en ligne par d’autres internautes (pour un exemple en jurisprudence, v. n°50).
Voilà pourquoi une troisième qualification, correspondant aux opérateurs qui hébergent des fichiers et qui, sans être éditeurs du contenu mis en ligne par les internautes, ont un intérêt dans la diffusion de ce contenu. Toutefois, cette troisième qualification doit déboucher sur un système juridiquement plus sûr et plus juste, et non constituer une manière de détourner l’interdiction faite aux États européens d’imposer aux intermédiaires une obligation générale de surveillance du réseau. Elle doit permettre de s’assurer que chacun prend ses responsabilités, mais elle ne doit pas être une arme placée entre les mains des ayants droit pour réprimer un peu plus le partage d’oeuvres sur Internet au mépris de la vie privée et de la liberté d’expression d’autrui.
Nous parlions dans un précédent numéro du décret n°2011-219 relatif à la conservation des données d’identification des internautes par les opérateurs. Nous disions alors que la conservation de certaines données allait à l’encontre des principes de nécessité et de proportionnalité qui gouvernent la matière. La conservation des mots de passe, par exemple, semble être excessive. Tel est également l’avis des grands acteurs du Web 2.0, tels que Google, Facebook, Microsoft ou Yahoo qui, réunis au sein de l’Association des Services Internet Communautaires (ASIC), ont déposé un recours en annulation contre ce décret devant le Conseil d’État.
Les deux principales critiques(es) formulées contre le décret portent sur la forme pour la première et sur le fond pour la seconde. En premier lieu, le décret a été pris sans consultation de la Commission européenne, alors qu’une telle consultation est obligatoire pour les textes relatifs à la conservation des données (art. 15.2 de la directive 2006/24). En second lieu, s’agissant du fond, les requérants soutiennent que certaines données dont le décret impose la conservation, comme les mots de passe, ne sont pas des données d’identification de l’internaute. En effet, il n’est pas nécessaire (violation du principe de nécessité) de connaître le mot de passe lié au compte de l’utilisateur d’un service du Web pour savoir qui se cache derrière le pseudonyme associé à ce compte. Les opérateurs estiment en outre que la durée de conservation (1 an) est excessive, et que la conservation d’un grand volume de données pendant une telle durée sera pour eux très coûteuse.
L’autorité américaine de régulation des télécommunications (Federal Communications Commission ou FCC) a publié, en décembre 2010, une série de règles visant à garantir la neutralité du Net (v. n°37). Ces règles furent rapidement très controversées : les partisans de la neutralité du Net estimèrent qu’elles n’allaient pas assez loin, tandis que les opérateurs (et le camp républicain) trouvèrent en elle une restriction excessive de la liberté du commerce. Dès janvier 2011, deux grands opérateurs américains, Verizon et MetroPCS, saisirent la justice afin d’obtenir l’annulation de la réglementation de la FCC. Le tribunal saisi du dossier (DC Columbia) a jugé que ces actions étaient prématurées et a débouté les demandeurs. Mais ce n’est qu’un début, d’autres actions seront, à n’en pas douter, engagées dès que la réglementation de la FCC entrera en vigueur.
Dans le même temps, la réglementation de la FCC et l’autorité elle-même font face à une attaque de bien plus grande ampleur, provenant directement du Congrès. Le législateur américain (comprendre: le parti républicain) veut, par la loi, annuler la réglementation de la FCC et priver cette dernière du pouvoir d’imposer aux opérateurs le respect de la neutralité du Net. Une proposition dans ce sens a été déposée à la Chambre des représentants(en). Il lui reste donc encore à être votée, puis à être soumise à l’examen du Sénat et, enfin, à celui du Président qui pourrait lui opposer son veto. Affaire à suivre, donc.
On appelle «conflits de juridictions» une branche du droit international privé visant à déterminer quel est le tribunal compétent, dans l’ordre international, pour connaître d’une affaire. Il y a un conflit de juridictions, par exemple, lorsqu’un délit est commis sur le territoire d’un État et que le préjudice est subi par la victime sur le territoire d’un autre État. Ce conflit est résolu par des «règles de conflit» qui, en l’occurrence (art. 46 CPC en droit interne, art. 5.3 du règlement n°44/2001 en droit communautaire), confèrent une compétence générale du tribunal du fait générateur du délit pour réparer tous les préjudices qui en découlent, et une compétence particulière des juridictions de chaque pays dans lequel une fraction du préjudice est subi, pour réparer cette fraction du préjudice.
Cela étant dit, voyons un cas pratique : un site Web diffuse depuis l’étranger un message qu’une personne résidant en France estime préjudiciable. Cette personne peut-elle saisir le juge français, en soutenant que la diffusion en France lui cause préjudice ? Deux réponses sont possibles. La première est un oui franc et massif. Elle se fonde sur la théorie dite de l’accessibilité : dès lors qu’un contenu est accessible en France, les tribunaux français sont compétents pour connaître des dommages qu’il cause. Cela semble logique, et pourtant, dans le cadre d’Internet, cela ne l’est pas. En effet, tous les sites sont, par hypothèse (c’est-à-dire sauf filtrage, ce qui reste exceptionnel) accessibles en France comme en tout endroit où une connexion à Internet est possible. Le critère de l’accessibilité revient donc, peu ou prou, à consacrer une compétence universelle des juridictions françaises. Or, une telle compétence présente plus d’inconvénients que d’avantages. En particulier, elle est largement inefficace, puisqu’elle amène les tribunaux français à juger des situations totalement détachées de la France et à condamner des personnes étrangères qui pourront être protégées par leur loi locale au moment de l’exequatur de la décision française (tel est le cas notamment aux États-Unis: en raison du premier amendement à la Constitution, les tribunaux américains refusent généralement l’exécution des décisions étrangères de condamnation d’une personne résidant aux États-Unis dans les affaires relatives à la liberté d’expression). La compétence universelle est donc généralement nuisible à la bonne circulation des décisions. Elle est aussi source d’insécurité juridique pour les justiciables : imaginons, par exemple, un français condamné à l’étranger pour avoir diffusé un message sur Internet, qui est licite en droit français et qui n’était destiné qu’au public français. Il existe d’autres arguments, plus techniques encore, sur lesquels nous passons.
La deuxième réponse est un «oui» conditionné ; c’est-à-dire, un «oui mais». Oui, les juridictions françaises peuvent être compétentes, mais encore faut-il que le site litigieux ait un lien avec la France ou le public français (v. p. ex. ces deux décisions). Un tel critère permet de restreindre la compétence des tribunaux français de manière «raisonnable», c’est-à-dire en évitant la compétence universelle tout en évitant tout déni de justice.
La jurisprudence a utilisé, ces dernières années, l’un ou l’autre des deux critères. Elle a d’abord utilisé le critère de l’accessibilité (v. p. ex. Cass Com, 20 mars 2007), avant de s’orienter peu à peu vers une appréciation plus restrictive. Ainsi, plusieurs arrêts du pôle propriété intellectuelle de la Cour d’appel de Paris, rendu depuis 2007, ont exigé que le site litigieux entretienne un lien «suffisant, substantiel ou significatif» avec la France. Le pôle droit international privé de la même Cour en était, quant à lui, resté au critère de l’accessibilité (v. CA Paris, 3 sept. 2010). La Cour de cassation était partagée entre une application pure et simple du critère de l’accessibilité par la première chambre civile (arrêt Castellblanch/Cristal), et une exigence timide par la chambre commerciale d’un lien entre le site et le public français (arrêt Hugo Boss).
C’est dans ce contexte qu’intervient l’arrêt de la chambre commerciale du 29 mars 2011. Au visa de l’article 46 CPC, la Cour explique d’abord que la Cour d’appel a appliqué le critère de l’accessibilité : «Attendu que pour débouter les sociétés Ebay de leur exception d’incompétence à l’égard de la société de droit américain Ebay Inc. l’arrêt retient qu’il est établi que le site exploité aux États-Unis d’Amérique est accessible sur le territoire français et que le préjudice allégué, ni virtuel, ni éventuel, subi sur ce territoire, peut être donc être apprécié par le juge français, sans qu’il soit utile de rechercher s’il existe ou non un lien suffisant, substantiel ou significatif entre les faits allégués et le territoire français» ; et juge ensuite que ce critère ne suffit pas à établir la compétence des juridictions françaises : «Attendu qu’en se déterminant ainsi alors que la seule accessibilité d’un site internet sur le territoire français n’est pas suffisante pour retenir la compétence des juridictions françaises, prises comme celles du lieu du dommage allégué et sans rechercher si les annonces litigieuses étaient destinées au public de France, la cour d’appel a privé sa décision de base légale».
• 2250 mots • #neutralité #propriété intellectuelle #responsabilité #vie privée #données personnelles #hébergement #LCEN #surveillance #FCC #Web 2.0 #droit international #intermédiaires #régulationAu sommaire cette semaine, Amazon et son nouveau service d’hébergement de musique «in the cloud», les problèmes de Google avec les autorités, en Chine et ailleurs, et certaines actualités relatives à des thèmes récurrents : la protection de la vie privée et des données personnelles, la liberté d’expression et le filtrage d’Internet, le droit de la propriété intellectuelle.
La première actualité importante de la semaine concerne la musique en ligne, et plus particulièrement le nouveau service «dans les nuages» que vient d’ouvrir le libraire américain Amazon. Nommé «Cloud Drive», ce service offre aux internautes de stocker leurs fichiers musicaux en ligne, sur les serveurs de l’opérateur, afin de pouvoir les diffuser en streaming vers un périphérique mobile (tel qu’un smartphone sous Android). Le Cloud Drive ne permet pas d’acheter de la musique en ligne (ce que la boutique d’Amazon permet par ailleurs), mais seulement de stocker et de jouer des morceaux que l’on possède déjà. Amazon compare donc ce nouveau service à un simple lecteur de musique, comme un tourne-disque, un lecteur de cassettes ou un baladeur CD ou MP3, et soutient ainsi qu’il peut être utilisé sans accord supplémentaire des ayants droit(en). Bien entendu, les majors de l’industrie musicale ne partagent pas cet avis(es) ; Sony a été la première maison de disque à exprimer son désaccord et à faire savoir qu’elle examine «l’ensemble des recours légaux possibles» contre le service d’Amazon. L’on sait, par ailleurs, que Google et Apple préparent chacun de leur côté des services de stockage de musique dans le cloud ; si ces services n’ont pas encore vu le jour, c’est que les deux entreprises, contrairement à Amazon, cherchent à obtenir des accords avec les ayants droit.
Chaque semaine apporte son lot de nouveaux problèmes à Google. Il est vrai que l’entreprise américaine semble être sur tous les fronts de l’économie numérique, parfois en position dominante, toujours en proposant des produits ou services innovants.
Cette semaine, c’est donc en premier lieu Google Maps qui se trouve dans le collimateur de Pékin, les autorités chinoises ayant toujours cherché à contrôler les services de cartographie disponibles dans le pays. Cela n’est pas sans rappeler le bras de fer engagé l’année dernière entre Google et les autorités chinoises sur la censure des résultats de recherche. La pression du gouvernement chinois sur Google s’est encore accentuée cette semaine, avec l’ouverture d’une enquête pour fraude fiscale contre trois sociétés liées à Google.
En Europe, Google est attaquée par un autre géant de l’informatique, Microsoft, qui l’accuse d’abus de position dominante dans la recherche et la publicité en ligne. Microsoft a ainsi déposé une plainte devant la Commission européenne (en charge des questions de concurrence au niveau européen), dans laquelle la société explique que Google possède 95% des parts du marché de la recherche en ligne en Europe. Mais le simple fait de se trouver en position dominante n’est pas contraire au droit de la concurrence ; l’illicéité est dans l’abus de cette position. Or, Microsoft soutient que Google abuse de sa position, par exemple en restreignant la disponibilité des méta-données de YouTube à sa propre plateforme mobile, Android, au détriment de Windows Phone 7(es). Microsoft semble donc désormais décidée à utiliser les mêmes armes qui, par le passé, lui ont fait tant de mal (on se souviendra de l’amende record infligée à Microsoft par la Commission européenne, ou de l’obligation qui lui a été faite de présenter le ballot screen de choix du navigateur aux utilisateurs de Windows). Cependant, Google adoptera probablement une défense bien différente de celle mise au point en son temps par Microsoft et consistant à refuser tout compromis. Cette défense pourrait viser la recherche d’un accord à l’amiable avec les autorités, en faisant quelques concessions afin d’éviter la condamnation. Google a déjà utilisé cette stratégie aux États-Unis, avec succès.
Google est en effet parvenue à un accord dans l’affaire «Buzz», cette semaine, avec l’autorité américaine de régulation de la concurrence et de protection des consommateurs, la Federal Trade Commission (FTC). Rappelons que Google Buzz est une forme de réseau social se greffant sur Gmail, le service de messagerie de Google. Lors de son ouverture publique, Google Buzz transmettait des informations personnelles relatives au titulaire du compte Gmail, de manière automatique et sans que ce dernier puisse s’y opposer. Ce faisant, Google violait le contrat le liant aux internautes(en) ainsi que le droit européen, selon lesquels tout nouveau traitement des données personnelles collectées doit être consenti par les personnes concernées. Le lancement de Google Buzz avait alors engendré une vaste polémique, et la saisine de la FTC par une organisation de défense du droit à la vie privée, l’Electronic Privacy Information Center (EPIC). Google est finalement parvenue à un accord avec la FTC [format PDF], qui implique la reconnaissance des fautes de l’opérateur(en) et la mise en place d’un audit indépendant du niveau de protection de la vie privée garanti par ses services, tous les 2 ans pendant 20 ans.
Le Parlement européen a approuvé le 24 mars des nouvelles règles faisant passer de 7 à 28 jours le délai légal donc dispose un consommateur pour se rétracter et renvoyer le produit après un achat en ligne. La Fédération française du e-commerce et de la vente à distance (Fevad) s’oppose à ces règles et demande au gouvernement français de ne pas les soutenir devant les instances européennes.
Lacoste et Priceminister s’opposent aux conclusions d’un rapport sénatorial proposant la création d’une troisième qualification, à mi-chemin entre éditeur et hébergeur.
Selon le rapport, les «éditeurs de services» devraient mettre en place des mesures d’identification des pratiques illicites (la contrefaçon est clairement visée) et des internautes ayant créé le contenu hébergé, tout en étant responsables s’ils ne font pas cesser la diffusion d’un contenu illicite dont ils ont la connaissance. Cette nouvelle catégorie est taillée sur mesure pour les sites communautaires du Web 2.0, tels que YouTube, DailyMotion, ou eBay : en plus des obligations propres à tout hébergeur, il leur incomberait de surveiller le contenu soumis par les internautes. Il s’agit donc de passer d’un schéma répressif (notice & takedown) à un schéma préventif, c’est-à-dire à la censure.
Les arguments pratiques contre le filtrage du réseau sont bien connus : le filtrage est soit inefficace soit trop efficace. Cette semaine, c’est un nouvel exemple de trop grande efficacité qui est donné par un fournisseur d’accès canadien ayant bloqué le jeu en ligne World of Warcraft en tentant de bloquer les échanges de pair-à-pair sur son réseau(en). La validité de l’argument théorique principal contre le filtrage, selon lequel il participe de la censure, est également démontrée cette semaine, par le blocage en Côte d’Ivoire de certains sites dénonçant le gouvernement en place de Gbagbo et prenant parti pour son opposant soutenu par l’ONU.
En France, l’Hadopi, qui fonctionne à plein régime, prépare une analyse du streaming afin de déterminer l’opportunité du filtrage. Peu importe que la «troisième qualification» proposée par le rapport sénatorial soit rejetée, car l’on y revient d’une manière ou d’une autre : les intérêts économiques de l’industrie culturelle sont tellement importants qu’ils engendrent chez certains une volonté de contrôler et de censurer Internet. Les mesures de surveillance et de contrôle pourraient même, selon le souhait de Vivendi, prendre place directement dans la «box» (le modem ADSL) des internautes.
Heureusement, il existe certains outils, comme le réseau Tor auquel la Free Software Foundation vient décerner le prix du «projet d’intérêt social», qui permettent d’accéder à une information libre. Heureusement, il existe des opérateurs privés soucieux du droit à la vie privée des internautes, comme la fondation Mozilla et l’agence Associated Press qui viennent de s’entendre sur l’utilisation de la fonction «Do Not Track» de Firefox 4, permettant de limiter le profilage des internautes. Heureusement, il existe des tribunaux protégeant les libertés publiques, comme la Cour constitutionnelle de la République Tchèque qui vient de juger, à l’instar de ses homologues allemande, roumaine, hongroise et chypriote, que la loi nationale de transposition de la directive «Data Retention» de 2006 était contraire à la Constitution et à l’article 8 (vie privée) de la Convention européenne de sauvegarde des droits de l’Homme.
• 1402 mots • #Internet #P2P #propriété intellectuelle #Google #vie privée #données personnelles #filtrage #hébergement #LCEN #surveillance #Hadopi #censure #liberté d'expression #économie #Web 2.0 #FAI #Amazon #Cloud