Valhalla.fr

Sic Itur Ad Absurdum

"GF", "login"=>"gflorimond", "email"=>"[email protected]", "url"=>"http://www.valhalla.fr"}" itemtype="https://schema.org/Person" />
14 Avr 2011

Dans une conférence (11 avril 2011) à l'Université de Stanford (Californie, USA), le fondateur de la Free Software Foundation, Richard Stallman, a énoncé 8 problèmes relatifs aux nouvelles technologies, et en particulier à Internet, qui représentent selon lui de graves dangers pour la démocratie et les libertés individuelles. Cet article a pour but de présenter et de commenter ces 8 points, dans les grandes lignes, afin que les lecteurs non-anglophones puissent en profiter. Pour les autres, l'intervention de Stallman a été filmée, et le film est disponible à l'adresse suivante : http://cyberlaw.stanford.edu/node/6657. • 2537 mots • #Internet #Informatique #sécurité #société #software #Juridique #Web #loppsi #serveur #réseaux #liberté #USA #Neutralité du Net #Google #Droit américain #Régulation #NTIC #Logiciels #Système
"GF", "login"=>"gflorimond", "email"=>"[email protected]", "url"=>""}" itemtype="https://schema.org/Person" />
10 Avr 2011

Au sommaire d’un numéro très juridique, cette semaine, la responsabilité des intermédiaires, la protection des données personnelles, la neutralité du Net aux États-Unis et la compétence internationale des tribunaux français dans le contentieux des cyber-délits.

Responsabilité des intermédiaires

Nous parlions la semaine dernière des critiques formulées à l’encontre d’un rapport sénatorial proposant de créer une troisième qualification pour les opérateurs du Web, outre celles d’hébergeur et d’éditeur, et de lui associer certaines obligations de surveillance et de contrôle du contenu. Cette proposition a finalement été abandonnée. Les auteurs du rapport expliquent que la directive «commerce électronique», qui interdit aux États d’imposer aux intermédiaires techniques locaux une obligation générale de surveillance du réseau, rend difficile la création de cette troisième qualification.

Pour autant, il nous semble que l’idée d’une troisième qualification était intéressante, et qu’il ne faut pas l’abandonner si vite. Le contentieux de la responsabilité des opérateurs du Web 2.0 est en effet marqué, depuis plusieurs années, par une forte insécurité juridique. Celle-ci provient de l’application du principe de neutralité technologique dans la rédaction de la règle de qualification. Grâce à ce principe, la loi est suffisamment générale et abstraite pour être appliquée aux technologies futures ; elle n’est pas dépassée dès sont entrée en vigueur, parce qu’une nouvelle technologie différente a remplacé la technologie dominante pour laquelle la loi a été pensée. Corollaire de ce caractère abstrait, la loi est plus difficile à appliquer, car son application nécessite une plus forte dose d’interprétation. De cette interprétation provient l’insécurité juridique.

Ainsi, pour ce qui nous occupe ici, les grands opérateurs du Web 2.0 (eBay, Google, YouTube, etc.) ont été tantôt qualifiés d’éditeurs (directement responsables du dommage causé par la diffusion du contenu litigieux), tantôt d’hébergeurs (bénéficiaires d’un régime spécial d’irresponsabilité pour les dommages causés par la diffusion du contenu, mais responsables pour carence lorsque, sachant qu’un contenu est illicite et disposant des moyens d’en faire cesser la diffusion, ils n’ont pas agi). L’incertitude dans la qualification réside dans le fait que la loi (article 6 LCEN du 21 juin 2004) qualifie d’hébergeur «les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services». Les hébergeurs se bornent donc à assurer le stockage d’un contenu diffusé à l’initiative de l’internaute ; ils ne sont clairement pas intéressés dans cette diffusion : que le contenu soit une page blanche ou un site complet, cela revient pour eux au même.

Et si, pourtant, cela ne revenait pas au même, ces opérateurs pourraient-ils encore être qualifiés de simples intermédiaires techniques ? Tel est le coeur de la question de la qualification des «hébergeurs intéressés» du Web 2.0 : par exemple, un site d’hébergement de vidéos tel que YouTube propose bien aux internautes d’héberger leurs vidéos (à ce titre, il est hébergeur), mais son modèle économique est fondé sur la diffusion du contenu, et non sur son seul hébergement. Cela signifie, dans le cas de YouTube, qu’il bénéficie de la quantité et de la qualité des vidéos hébergées, parce que ce sont elles qui amènent les internautes à visiter son site. Est-il, dans ce contexte, toujours un simple hébergeur ? La jurisprudence semble dernièrement s’être fixée sur une réponse positive (notamment depuis l’arrêt de la CJUE dans l’affaire Google AdWords ; v. cependant et par exemple, contra, CA Paris, 3 sept. 2010). De la même manière, YouTube participe à l’organisation des vidéos sur son site, en les classant notamment par popularité ou par thème, ou en proposant à l’internaute qui visionne une vidéo de voir des vidéos «semblables». Est-ce là une simple mesure d’organisation du contenu (tel un kiosquier qui déciderait de mettre en avant tel journal plutôt que tel autre, sans pour autant être responsable du contenu de ces journaux), ou une mesure de sélection du contenu qui relève d’une activité d’édition ? Là aussi, après avoir tergiversé, la jurisprudence tend désormais à considérer qu’il s’agit d’une simple mesure d’organisation, qui permet à l’opérateur de bénéficier de la qualification d’hébergeur. La jurisprudence en la matière est très riche, et très fluctuante. Certaines décisions mettent en scène des situations où, par exemple, l’opérateur est qualifié d’hébergeur d’une partie de la page, et d’éditeur d’une autre partie. Une autre tendance s’oriente progressivement vers le «Notice & Stay Down», c’est-à-dire vers une obligation pour les intermédiaires techniques de surveiller l’ensemble du contenu afin de s’assurer qu’un contenu particulier qui a été juge illicite et retiré ne soit pas remis en ligne par d’autres internautes (pour un exemple en jurisprudence, v. n°50).

Voilà pourquoi une troisième qualification, correspondant aux opérateurs qui hébergent des fichiers et qui, sans être éditeurs du contenu mis en ligne par les internautes, ont un intérêt dans la diffusion de ce contenu. Toutefois, cette troisième qualification doit déboucher sur un système juridiquement plus sûr et plus juste, et non constituer une manière de détourner l’interdiction faite aux États européens d’imposer aux intermédiaires une obligation générale de surveillance du réseau. Elle doit permettre de s’assurer que chacun prend ses responsabilités, mais elle ne doit pas être une arme placée entre les mains des ayants droit pour réprimer un peu plus le partage d’oeuvres sur Internet au mépris de la vie privée et de la liberté d’expression d’autrui.

Vie privée et données personnelles

Nous parlions dans un précédent numéro du décret n°2011-219 relatif à la conservation des données d’identification des internautes par les opérateurs. Nous disions alors que la conservation de certaines données allait à l’encontre des principes de nécessité et de proportionnalité qui gouvernent la matière. La conservation des mots de passe, par exemple, semble être excessive. Tel est également l’avis des grands acteurs du Web 2.0, tels que Google, Facebook, Microsoft ou Yahoo qui, réunis au sein de l’Association des Services Internet Communautaires (ASIC), ont déposé un recours en annulation contre ce décret devant le Conseil d’État.

Les deux principales critiques(es) formulées contre le décret portent sur la forme pour la première et sur le fond pour la seconde. En premier lieu, le décret a été pris sans consultation de la Commission européenne, alors qu’une telle consultation est obligatoire pour les textes relatifs à la conservation des données (art. 15.2 de la directive 2006/24). En second lieu, s’agissant du fond, les requérants soutiennent que certaines données dont le décret impose la conservation, comme les mots de passe, ne sont pas des données d’identification de l’internaute. En effet, il n’est pas nécessaire (violation du principe de nécessité) de connaître le mot de passe lié au compte de l’utilisateur d’un service du Web pour savoir qui se cache derrière le pseudonyme associé à ce compte. Les opérateurs estiment en outre que la durée de conservation (1 an) est excessive, et que la conservation d’un grand volume de données pendant une telle durée sera pour eux très coûteuse.

Neutralité du Net

L’autorité américaine de régulation des télécommunications (Federal Communications Commission ou FCC) a publié, en décembre 2010, une série de règles visant à garantir la neutralité du Net (v. n°37). Ces règles furent rapidement très controversées : les partisans de la neutralité du Net estimèrent qu’elles n’allaient pas assez loin, tandis que les opérateurs (et le camp républicain) trouvèrent en elle une restriction excessive de la liberté du commerce. Dès janvier 2011, deux grands opérateurs américains, Verizon et MetroPCS, saisirent la justice afin d’obtenir l’annulation de la réglementation de la FCC. Le tribunal saisi du dossier (DC Columbia) a jugé que ces actions étaient prématurées et a débouté les demandeurs. Mais ce n’est qu’un début, d’autres actions seront, à n’en pas douter, engagées dès que la réglementation de la FCC entrera en vigueur.

Dans le même temps, la réglementation de la FCC et l’autorité elle-même font face à une attaque de bien plus grande ampleur, provenant directement du Congrès. Le législateur américain (comprendre: le parti républicain) veut, par la loi, annuler la réglementation de la FCC et priver cette dernière du pouvoir d’imposer aux opérateurs le respect de la neutralité du Net. Une proposition dans ce sens a été déposée à la Chambre des représentants(en). Il lui reste donc encore à être votée, puis à être soumise à l’examen du Sénat et, enfin, à celui du Président qui pourrait lui opposer son veto. Affaire à suivre, donc.

Conflits de juridictions

On appelle «conflits de juridictions» une branche du droit international privé visant à déterminer quel est le tribunal compétent, dans l’ordre international, pour connaître d’une affaire. Il y a un conflit de juridictions, par exemple, lorsqu’un délit est commis sur le territoire d’un État et que le préjudice est subi par la victime sur le territoire d’un autre État. Ce conflit est résolu par des «règles de conflit» qui, en l’occurrence (art. 46 CPC en droit interne, art. 5.3 du règlement n°44/2001 en droit communautaire), confèrent une compétence générale du tribunal du fait générateur du délit pour réparer tous les préjudices qui en découlent, et une compétence particulière des juridictions de chaque pays dans lequel une fraction du préjudice est subi, pour réparer cette fraction du préjudice.

Cela étant dit, voyons un cas pratique : un site Web diffuse depuis l’étranger un message qu’une personne résidant en France estime préjudiciable. Cette personne peut-elle saisir le juge français, en soutenant que la diffusion en France lui cause préjudice ? Deux réponses sont possibles. La première est un oui franc et massif. Elle se fonde sur la théorie dite de l’accessibilité : dès lors qu’un contenu est accessible en France, les tribunaux français sont compétents pour connaître des dommages qu’il cause. Cela semble logique, et pourtant, dans le cadre d’Internet, cela ne l’est pas. En effet, tous les sites sont, par hypothèse (c’est-à-dire sauf filtrage, ce qui reste exceptionnel) accessibles en France comme en tout endroit où une connexion à Internet est possible. Le critère de l’accessibilité revient donc, peu ou prou, à consacrer une compétence universelle des juridictions françaises. Or, une telle compétence présente plus d’inconvénients que d’avantages. En particulier, elle est largement inefficace, puisqu’elle amène les tribunaux français à juger des situations totalement détachées de la France et à condamner des personnes étrangères qui pourront être protégées par leur loi locale au moment de l’exequatur de la décision française (tel est le cas notamment aux États-Unis: en raison du premier amendement à la Constitution, les tribunaux américains refusent généralement l’exécution des décisions étrangères de condamnation d’une personne résidant aux États-Unis dans les affaires relatives à la liberté d’expression). La compétence universelle est donc généralement nuisible à la bonne circulation des décisions. Elle est aussi source d’insécurité juridique pour les justiciables : imaginons, par exemple, un français condamné à l’étranger pour avoir diffusé un message sur Internet, qui est licite en droit français et qui n’était destiné qu’au public français. Il existe d’autres arguments, plus techniques encore, sur lesquels nous passons.

La deuxième réponse est un «oui» conditionné ; c’est-à-dire, un «oui mais». Oui, les juridictions françaises peuvent être compétentes, mais encore faut-il que le site litigieux ait un lien avec la France ou le public français (v. p. ex. ces deux décisions). Un tel critère permet de restreindre la compétence des tribunaux français de manière «raisonnable», c’est-à-dire en évitant la compétence universelle tout en évitant tout déni de justice.

La jurisprudence a utilisé, ces dernières années, l’un ou l’autre des deux critères. Elle a d’abord utilisé le critère de l’accessibilité (v. p. ex. Cass Com, 20 mars 2007), avant de s’orienter peu à peu vers une appréciation plus restrictive. Ainsi, plusieurs arrêts du pôle propriété intellectuelle de la Cour d’appel de Paris, rendu depuis 2007, ont exigé que le site litigieux entretienne un lien «suffisant, substantiel ou significatif» avec la France. Le pôle droit international privé de la même Cour en était, quant à lui, resté au critère de l’accessibilité (v. CA Paris, 3 sept. 2010). La Cour de cassation était partagée entre une application pure et simple du critère de l’accessibilité par la première chambre civile (arrêt Castellblanch/Cristal), et une exigence timide par la chambre commerciale d’un lien entre le site et le public français (arrêt Hugo Boss).

C’est dans ce contexte qu’intervient l’arrêt de la chambre commerciale du 29 mars 2011. Au visa de l’article 46 CPC, la Cour explique d’abord que la Cour d’appel a appliqué le critère de l’accessibilité : «Attendu que pour débouter les sociétés Ebay de leur exception d’incompétence à l’égard de la société de droit américain Ebay Inc. l’arrêt retient qu’il est établi que le site exploité aux États-Unis d’Amérique est accessible sur le territoire français et que le préjudice allégué, ni virtuel, ni éventuel, subi sur ce territoire, peut être donc être apprécié par le juge français, sans qu’il soit utile de rechercher s’il existe ou non un lien suffisant, substantiel ou significatif entre les faits allégués et le territoire français» ; et juge ensuite que ce critère ne suffit pas à établir la compétence des juridictions françaises : «Attendu qu’en se déterminant ainsi alors que la seule accessibilité d’un site internet sur le territoire français n’est pas suffisante pour retenir la compétence des juridictions françaises, prises comme celles du lieu du dommage allégué et sans rechercher si les annonces litigieuses étaient destinées au public de France, la cour d’appel a privé sa décision de base légale».

• 2250 mots • #neutralité #propriété intellectuelle #responsabilité #vie privée #données personnelles #hébergement #LCEN #surveillance #FCC #Web 2.0 #droit international #intermédiaires #régulation
"GF", "login"=>"gflorimond", "email"=>"[email protected]", "url"=>""}" itemtype="https://schema.org/Person" />
3 Avr 2011

Au sommaire cette semaine, Amazon et son nouveau service d’hébergement de musique «in the cloud», les problèmes de Google avec les autorités, en Chine et ailleurs, et certaines actualités relatives à des thèmes récurrents : la protection de la vie privée et des données personnelles, la liberté d’expression et le filtrage d’Internet, le droit de la propriété intellectuelle.

Amazon et la musique dans les nuages

La première actualité importante de la semaine concerne la musique en ligne, et plus particulièrement le nouveau service «dans les nuages» que vient d’ouvrir le libraire américain Amazon. Nommé «Cloud Drive», ce service offre aux internautes de stocker leurs fichiers musicaux en ligne, sur les serveurs de l’opérateur, afin de pouvoir les diffuser en streaming vers un périphérique mobile (tel qu’un smartphone sous Android). Le Cloud Drive ne permet pas d’acheter de la musique en ligne (ce que la boutique d’Amazon permet par ailleurs), mais seulement de stocker et de jouer des morceaux que l’on possède déjà. Amazon compare donc ce nouveau service à un simple lecteur de musique, comme un tourne-disque, un lecteur de cassettes ou un baladeur CD ou MP3, et soutient ainsi qu’il peut être utilisé sans accord supplémentaire des ayants droit(en). Bien entendu, les majors de l’industrie musicale ne partagent pas cet avis(es) ; Sony a été la première maison de disque à exprimer son désaccord et à faire savoir qu’elle examine «l’ensemble des recours légaux possibles» contre le service d’Amazon. L’on sait, par ailleurs, que Google et Apple préparent chacun de leur côté des services de stockage de musique dans le cloud ; si ces services n’ont pas encore vu le jour, c’est que les deux entreprises, contrairement à Amazon, cherchent à obtenir des accords avec les ayants droit.

Google

Chaque semaine apporte son lot de nouveaux problèmes à Google. Il est vrai que l’entreprise américaine semble être sur tous les fronts de l’économie numérique, parfois en position dominante, toujours en proposant des produits ou services innovants.

Cette semaine, c’est donc en premier lieu Google Maps qui se trouve dans le collimateur de Pékin, les autorités chinoises ayant toujours cherché à contrôler les services de cartographie disponibles dans le pays. Cela n’est pas sans rappeler le bras de fer engagé l’année dernière entre Google et les autorités chinoises sur la censure des résultats de recherche. La pression du gouvernement chinois sur Google s’est encore accentuée cette semaine, avec l’ouverture d’une enquête pour fraude fiscale contre trois sociétés liées à Google.

En Europe, Google est attaquée par un autre géant de l’informatique, Microsoft, qui l’accuse d’abus de position dominante dans la recherche et la publicité en ligne. Microsoft a ainsi déposé une plainte devant la Commission européenne (en charge des questions de concurrence au niveau européen), dans laquelle la société explique que Google possède 95% des parts du marché de la recherche en ligne en Europe. Mais le simple fait de se trouver en position dominante n’est pas contraire au droit de la concurrence ; l’illicéité est dans l’abus de cette position. Or, Microsoft soutient que Google abuse de sa position, par exemple en restreignant la disponibilité des méta-données de YouTube à sa propre plateforme mobile, Android, au détriment de Windows Phone 7(es). Microsoft semble donc désormais décidée à utiliser les mêmes armes qui, par le passé, lui ont fait tant de mal (on se souviendra de l’amende record infligée à Microsoft par la Commission européenne, ou de l’obligation qui lui a été faite de présenter le ballot screen de choix du navigateur aux utilisateurs de Windows). Cependant, Google adoptera probablement une défense bien différente de celle mise au point en son temps par Microsoft et consistant à refuser tout compromis. Cette défense pourrait viser la recherche d’un accord à l’amiable avec les autorités, en faisant quelques concessions afin d’éviter la condamnation. Google a déjà utilisé cette stratégie aux États-Unis, avec succès.

Google est en effet parvenue à un accord dans l’affaire «Buzz», cette semaine, avec l’autorité américaine de régulation de la concurrence et de protection des consommateurs, la Federal Trade Commission (FTC). Rappelons que Google Buzz est une forme de réseau social se greffant sur Gmail, le service de messagerie de Google. Lors de son ouverture publique, Google Buzz transmettait des informations personnelles relatives au titulaire du compte Gmail, de manière automatique et sans que ce dernier puisse s’y opposer. Ce faisant, Google violait le contrat le liant aux internautes(en) ainsi que le droit européen, selon lesquels tout nouveau traitement des données personnelles collectées doit être consenti par les personnes concernées. Le lancement de Google Buzz avait alors engendré une vaste polémique, et la saisine de la FTC par une organisation de défense du droit à la vie privée, l’Electronic Privacy Information Center (EPIC). Google est finalement parvenue à un accord avec la FTC [format PDF], qui implique la reconnaissance des fautes de l’opérateur(en) et la mise en place d’un audit indépendant du niveau de protection de la vie privée garanti par ses services, tous les 2 ans pendant 20 ans.

Commerce électronique

Le Parlement européen a approuvé le 24 mars des nouvelles règles faisant passer de 7 à 28 jours le délai légal donc dispose un consommateur pour se rétracter et renvoyer le produit après un achat en ligne. La Fédération française du e-commerce et de la vente à distance (Fevad) s’oppose à ces règles et demande au gouvernement français de ne pas les soutenir devant les instances européennes.

Responsabilité

Lacoste et Priceminister s’opposent aux conclusions d’un rapport sénatorial proposant la création d’une troisième qualification, à mi-chemin entre éditeur et hébergeur.

Selon le rapport, les «éditeurs de services» devraient mettre en place des mesures d’identification des pratiques illicites (la contrefaçon est clairement visée) et des internautes ayant créé le contenu hébergé, tout en étant responsables s’ils ne font pas cesser la diffusion d’un contenu illicite dont ils ont la connaissance. Cette nouvelle catégorie est taillée sur mesure pour les sites communautaires du Web 2.0, tels que YouTube, DailyMotion, ou eBay : en plus des obligations propres à tout hébergeur, il leur incomberait de surveiller le contenu soumis par les internautes. Il s’agit donc de passer d’un schéma répressif (notice & takedown) à un schéma préventif, c’est-à-dire à la censure.

Filtrage

Les arguments pratiques contre le filtrage du réseau sont bien connus : le filtrage est soit inefficace soit trop efficace. Cette semaine, c’est un nouvel exemple de trop grande efficacité qui est donné par un fournisseur d’accès canadien ayant bloqué le jeu en ligne World of Warcraft en tentant de bloquer les échanges de pair-à-pair sur son réseau(en). La validité de l’argument théorique principal contre le filtrage, selon lequel il participe de la censure, est également démontrée cette semaine, par le blocage en Côte d’Ivoire de certains sites dénonçant le gouvernement en place de Gbagbo et prenant parti pour son opposant soutenu par l’ONU.

En France, l’Hadopi, qui fonctionne à plein régime, prépare une analyse du streaming afin de déterminer l’opportunité du filtrage. Peu importe que la «troisième qualification» proposée par le rapport sénatorial soit rejetée, car l’on y revient d’une manière ou d’une autre : les intérêts économiques de l’industrie culturelle sont tellement importants qu’ils engendrent chez certains une volonté de contrôler et de censurer Internet. Les mesures de surveillance et de contrôle pourraient même, selon le souhait de Vivendi, prendre place directement dans la «box» (le modem ADSL) des internautes.

Heureusement, il existe certains outils, comme le réseau Tor auquel la Free Software Foundation vient décerner le prix du «projet d’intérêt social», qui permettent d’accéder à une information libre. Heureusement, il existe des opérateurs privés soucieux du droit à la vie privée des internautes, comme la fondation Mozilla et l’agence Associated Press qui viennent de s’entendre sur l’utilisation de la fonction «Do Not Track» de Firefox 4, permettant de limiter le profilage des internautes. Heureusement, il existe des tribunaux protégeant les libertés publiques, comme la Cour constitutionnelle de la République Tchèque qui vient de juger, à l’instar de ses homologues allemande, roumaine, hongroise et chypriote, que la loi nationale de transposition de la directive «Data Retention» de 2006 était contraire à la Constitution et à l’article 8 (vie privée) de la Convention européenne de sauvegarde des droits de l’Homme.

• 1402 mots • #Internet #P2P #propriété intellectuelle #Google #vie privée #données personnelles #filtrage #hébergement #LCEN #surveillance #Hadopi #censure #liberté d'expression #économie #Web 2.0 #FAI #Amazon #Cloud
"GF", "login"=>"gflorimond", "email"=>"[email protected]", "url"=>""}" itemtype="https://schema.org/Person" />
27 Mars 2011

Gouvernance d’Internet

L’ICANN (Internet Corporation for Assigned Names and Numbers), la structure privée à but non lucratif de droit californien qui gère les extensions des noms de domain (.com, .org, .net, …) a finalement décidé, cette semaine, de créer une nouvelle extension, «.xxx», dédiée aux sites pornographiques. La dernière grande décision relative aux noms de domaine, prise en octobre 2009, était celle de permettre l’utilisation de caractères n’appartenant pas à l’alphabet latin.

La décision de l’ICANN alimente une controverse(es). D’un côté, cette nouvelle extension devrait permettre de mieux identifier les sites pornographiques et d’améliorer, par exemple, l’efficacité des logiciels de contrôle parental. D’un autre côté, elle rend la censure plus aisée. L’Inde a déjà annoncé sa volonté de bloquer les domaines .xxx, et d’autres pays devraient suivre. Enfin, luttant contre les deux arguments à la fois, le fait que l’utilisation des domaines .xxx soit facultative, les sites pornographiques pouvant continuer d’utiliser d’autres domaines plus habituels (.com, etc.).

Vie privée, données personnelles

Nous avions déjà parlé, à plusieurs reprises de Google Street View et des «Google Cars» sillonnant les routes du monde à la recherche de données. Plus précisément, Google voulait améliorer ses services de géolocalisation en dressant la liste des hotspots Wifi. En sachant qu’un internaute est connecté depuis tel point d’accès et l’endroit où ce situe ce point d’accès, Google peut proposer à l’internaute des contenus directement en relation avec l’endroit où il se trouve.

Il était reproché à Google, dans plusieurs pays, d’avoir capté des données personnelles transitant sur des réseaux Wifi non sécurisés. C’est pour ce motif que la CNIL a condamné Google à payer 100 000 euro d’amende.

La CNIL avait mené des contrôles en 2009 et 2010, au cours desquels elle avait constaté que les Google Cars captaient des «données de connexion à des sites web, mots de passe de messagerie, adresses de courrier électronique, échanges de courriels révélant notamment des informations sensibles sur l’orientation sexuelle ou la santé des personnes». Google s’est défendue en soutenant que la collecte était involontairele logiciel utilisé pour scanner les réseaux Wifi aurait été configuré, par défaut, pour enregistrer les données, et Google aurait omis de modifier ce paramètre–, sans pour autant accéder de bon gré aux demandes de la CNIL (ni, d’ailleurs, à celles de son homologue espagnole(es)). La société américaine continue d’ailleurs de soutenir que certaines données collectées, comme les SSID et les adresses MAC, ne sont pas des données personnelles.

En Allemagne, Google s’en est mieux tirée, et a échappé à la condamnation. Mais l’affaire, en France, n’est peut être pas terminée : Google a jusqu’au 17 mai pour exercer un recours devant le Conseil d’État contre la décision de la CNIL.

Liberté d’expression

La Chine filtrerait la messagerie de Google, Gmail. C’est du moins ce qu’affirmait en début de semaine la société américaine. La stratégie chinoise serait, selon Google, très subtile : plutôt que de bloquer totalement Gmail, les intermédiaires chinois rendraient l’accès à la messagerie lent et incertain, afin d’inciter les internautes à changer de fournisseur de courrier électronique (en se tournant de préférence vers un fournisseur local, plus facilement contrôlable par les autorités…). Après plusieurs vérifications, Google n’a trouvé aucune anomalie dans ses infrastructures, ce qui l’a amenée à en déduire que les intermédiaires chinois étaient à l’origine du blocage.

Le gouvernement chinois a rapidement réagi en parlant d’accusations inacceptables et en niant l’existence d’une quelconque mesure de censure(en) à l’encontre de Gmail. Il est difficile de savoir qui dit la vérité dans cette affaire : on sait que la Chine censure Internet, mais un problème technique indépendant de la volonté du gouvernement chinois est aussi possible.

De son côté, l’Iran a bloqué le réseau sécurisé TOR, probablement grâce à une mesure de filtrage par DPI (Deep Packets Inspection). Le blocage a eu lieu en janvier, et a vraisemblablement servi à tester l’efficacité du filtrage DPI. Reste à savoir comment l’Iran a procédé : certains suspectent une aide de grandes sociétés occidentales comme Cisco ou Siemens.

Propriété intellectuelle

Une fois encore, l’on retrouve Google. La société a été, en France, lourdement condamnée pour contrefaçon. Il s’agit de quatre décision du 14 janvier 2001 de la Cour d’appel de Paris. Il y a dans ces décision, à notre sens, du bon et du mauvais.

La Cour d’appel a reconnu à Google le statut d’hébergeur de la LCEN : l’hébergeur n’est pas responsable de la diffusion d’un contenu illicite, à moins qu’en toute connaissance de cause, il ne la fasse pas cesser. En l’espèce, c’est le fait de ne pas avoir empêché la remise en ligne des vidéos retirées qui est reproché à Google. Autrement dit, Google aurait dû, une fois les contenus illicites retirés, opérer un contrôle des contenus qui lui sont soumis afin d’empêcher leur remise en ligne. Cela est contraire à l’idée essentielle de la directive «commerce électronique» et de la LCEN, selon laquelle les intermédiaires techniques ne sont tenus à aucune obligation de surveillance des contenus.

La Cour d’appel a également décidé que Google avait engagé sa responsabilité en assurant la représentation des vidéos hébergées par d’autres (YouTube, Dailymotion…) sur son propre site (Google Videos). Ce faisant, Google perdait, selon la Cour, sa qualité d’intermédiaire technique. Ce raisonnement là doit être approuvé.

Dans un autre registre, Apple a attaqué Amazon, aux États-Unis, pour contrefaçon de sa marque «AppStore»(es) et concurrence déloyale.

Aux États-Unis toujours, un tribunal fédéral a annulé l’accord de 2008 entre Google et les ayants droit qui avait pour objet de permettre à la société américaine de numériser des livres dans les bibliothèques. Le système, reposant sur l’opt-out (le consentement à la numérisation est présumé) a été jugé inéquitable, inadéquat et déraisonnable. Un accord fondé sur l’opt-in (le consentement à la numérisation doit être explicite) aurait été préférable. Le ministre français de la culture se déclare satisfait de cette décision et demande à Google de mieux respecter les ayants droit. L’EFF, en revanche, trouve qu’il y a du bon et du mauvais dans cette décision, et souligne notamment que le demandeur (the Authors Guild) agit dans un but économique, et non dans celui de favoriser l’accès au savoir. Les obstacles au projet de bibliothèque numérique de Google sont nombreux, tant aux États-Unis qu’en Europe.

• 1075 mots • #Internet #propriété intellectuelle #responsabilité #vie privée #Apple #LCEN #liberté d'expression #infrastructure #intermédiaires #ICANN
"GF", "login"=>"gflorimond", "email"=>"[email protected]", "url"=>""}" itemtype="https://schema.org/Person" />
20 Mars 2011


Twitter

Cette semaine, l’on reparle de Twitter, qui fête ses 5 ans(es). Après des débuts pénibles, le réseau social de «micro-blogging» connaît aujourd’hui un véritable succès avec 460 000 nouveaux comptes créés chaque jour. En France, où 24 millions de personnes se connectent quotidiennement à Internet, c’est toujours Facebook qui croît le plus (bien que le site continue d’être critiqué pour sa faible protection des données personnelles), mais Twitter est également sur la pente ascendante. Ce dernier a décidé d’offrir aux internautes la possibilité de se connecter avec le protocole sécurisé HTTPS. Cette initiative est louable, sachant que les réseaux sociaux sont utilisés par individus de par le monde pour s’opposer aux régimes dictatoriaux ; les événements récents dans le monde arabo-musulman en témoignent (en Lybie, par exemple, l’activité des opposants sur les réseaux sociaux a «suffi à inquiéter le régime», selon l’ambassadeur de France, qui a réagi en coupant Internet). Certains s’étonnent ainsi que l’usage du protocole HTTPS ne se soit pas encore généralisé(en) sur le Web. Par ailleurs, la FTC a conclu à la responsabilité de Twitter dans le «piratage» de certains comptes (Obama, Britney Spears…) : les responsables du réseau social doivent assurer la sécurité des données personnelles publiées par les internautes, et indemniser ces derniers lorsqu’une faille de sécurité est exploitée par un tiers pour «voler» ces données (selon une étude récente, 30% des sites Web présenteraient une faille de sécurité exploitable). D’un autre côté, un juge américain vient de décider que Twitter a l’obligation de communiquer les données relatives à ses membres lorsque celles-ci sont réclamées par les autorités dans le cadre d’une enquête criminelle, en l’espèce l’enquête sur la fuite des documents secrets publiés par Wikileaks.

Japon

Au Japon, malgré l’important séisme et le tsunami dévastateur qui s’ensuivit, les grandes infrastructures d’Internet ont bien résisté, sans doute grâce à la résistance des câbles sous-marins. Et c’est heureux, car Internet constitue un outil efficace pour s’informer de l’évolution de la situation au Japon. Certains sites, comme Google, ont même mis en place des pages exclusivement dédiées aux informations relatives à la catastrophe (séisme, tsunami et centrale nucléaire), à la recherche de survivants, à l’information des familles, etc. Le Web chinois est, en revanche, bien différent : alors que 130 000 cyber-cafés ont fermé en 6 ans, le gouvernement de Pékin a décidé qu’il était nécessaire de bloquer les mots-clé «fuite» et «nucléaire» sur le Web pour tranquilliser le peuple, plutôt que de le maintenir informé sur l’évolution de la situation au Japon et sur les risques du nucléaire.

Liberté d’expression & sécurité

En France aussi, une certaine forme de censure semble avoir fait son apparition sur le Web. C’est, en tout cas, l’avis de Reporters Sans Frontières (RSF) qui place la France dans la liste des pays «à surveiller», en raison du vote récent de la loi LOPPSI 2 (v. notamment n°44 et n°48). Selon la carte publiée par RSF, la France est classée au même rang que la Russie, la Turquie ou l’Australie ; elle censure moins que la Chine ou l’Arabie Saoudite, mais plus que tous les autres pays européens et nord-américains. RSF insiste sur un argument que nous avons plusieurs fois présenté ici : les lois récentes ayant pour vocation de lutter contre le téléchargement illicite (Hadopi), les sites illicites de jeu en ligne (après l’affaire Stanjames, l’ARJEL veut d’ailleurs filtrer, cette semaine, un nouveau site, ce que les FAI considèrent comme inefficace), la pédopornographie, le terrorisme et le crime organisé (LOPPSI), mettent en place des mesures de surveillance et de filtrage qui pourraient, par la suite, être étendues à d’autres domaines. Autrement dit, RSF craint que ces lois servent de cheval de Troie et aboutissent à une diminution de la liberté d’expression sur le Web français.

Malgré le filtrage et la censure, Internet demeure un outil de communication libre et parfois terriblement efficace pour révéler ce qui avait vocation à rester caché. Un nouvel exemple est fourni cette semaine, non par Wikileaks, mais par le réseau de pirates Anonymous (s’illustrant notamment par des attaques contre le système Hadopi) qui publie sur le site bankofamericasucks.com de nombreux documents compromettants pour Bank of America. Cette publication appelle deux réflexions. D’abord, il est clair que Wikileaks, qui devait à l’origine publier des documents concernant Bank of America, a été totalement pris de court par le groupe Anonymous. On sait qu’en réponse aux critiques dont il a fait l’objet, selon lesquelles la diffusion incontrôlée d’informations secrètes peut mettre des vies en danger, le site Wikileaks a réagi en publiant les données petit à petit, après les avoir vérifiées. Wikileaks, chantre de la transparence, a donc mis en œuvre une forme d’auto-censure qui se retourne aujourd’hui contre lui. Ensuite, l’on peut s’interroger sur la fiabilité des informations publiées. Le groupe Anonymous est, comme son nom l’indique, composé de personnes souhaitant garder l’anonymat. Ce faisant, elles se protègent contre d’éventuelles représailles. Mais il est également possible pour une personne mal intentionnée de diffuser une fausse information, que l’on ne remettra pas en cause sous prétexte qu’elle provient d’une «fuite». Certains s’interrogent ainsi sur la pertinence des informations relatives à Bank of America : la fuite aurait pu être organisée.

Le système Hadopi se met en place peu à peu. Cette semaine, le décret permettant l’automatisation du volet pénal de la loi a été publié (décret n°2011-264 du 11 mars 2011). Ce décret intervient à partir de la 3ème phase de la répression, c’est-à-dire après le 2ème avertissement et au moment de la saisine du parquet, jusqu’au jugement et à son exécution (suspension de l’abonnement à Internet). Son intérêt est de mettre en place la transmission automatique (certains diront «industrielle») au parquet du dossier à charge constitué contre l’internaute.

La LOPPSI (qui suit la logique «la répression est la meilleure des préventions»), quant à elle, vient d’être promulguée, dans sa version censurée par le Conseil constitutionnel (v. n°48).

Signalons également, dans le registre de la surveillance et du filtrage, que l’Avocat général devrait rendre ses conclusions dans une affaire pendante devant la Cour de justice de l’Union Européenne (C-70/10). Il s’agit pour la Cour de répondre à une question préjudicielle posée par les juridictions belges qui souhaitent savoir si elles peuvent, dans le respect du droit communautaire, «ordonner à un FAI de mettre en place, à l’égard de toute sa clientèle, in abstracto et à titre préventif, aux frais exclusifs de ce FAI et sans limitation dans le temps, un système de filtrage de toutes les communications électroniques, tant entrantes que sortantes, transitant par ses services, notamment par l’emploi de logiciels peer to peer».

Neutralité du Net

Parlons encore du filtrage judiciaire, avec une ordonnance de référe du TGI de Montpellier, qui ordonne à Google de désindexer certains sites. L’affaire est assez classique : une institutrice ayant tourné dans un film porno amateur se rend compte que la diffusion de cette vidéo sur le Web ne fait pas beaucoup de bien à sa réputation. Elle constate également que Google renvoie des liens vers des sites diffusant cette vidéo lorsqu’on lui soumet une requête avec certains mots-clé précisément identifiés. Elle demande alors à Google de supprimer ces liens. Le moteur de recherche lui oppose qu’il ne lui appartient pas de surveiller le contenu auquel il permet d’accéder : en tant qu’intermédiaire technique, il est déchargé de toute obligation de surveillance (selon le droit européen et, en France, la LCEN du 21 juin 2004). L’institutrice saisit alors le juge des référés et lui demande d’ordonner à Google de supprimer les liens vers les sites diffusant la vidéo qui apparaissent sur la page présentant les résultats des requêtes formées à partir de certains mots-clés. Le juge accède à la demande et l’on peut lire, dans le dispositif de la décision, qu’il est ordonné à Google, sous astreinte de 1000 euro par jour de retard, «de supprimer de ses moteurs de recherche tous résultats (titre, descriptif, adresse URL) apparaissant à la suite des requêtes effectuées avec les termes “Marie C. swallows” et «Marie C.” + “école de laetitia” renvoyant directement ou indirectement à la vidéo à caractère pornographique mettant en scène Madame Marie C.». En quoi cela est-il problématique ? Analysons ce que doit faire Google pour exécuter la décision. Google doit effectuer certaines requêtes sur son moteur de recherche, qui sont indiquées dans le dispositif de l’ordonnance. Elle doit ensuite trier les résultats de recherche et vérifier lesquels renvoient vers la vidéo incriminée. Enfin, elle doit supprimer les liens ainsi identifiés des résultats des requêtes précédemment effectuées. Le problème est que c’est à Google qu’il incombe d’identifier les liens à retirer, en fonction d’un contenu qui lui est signalé. Cette mission d’identification est contraire à l’activité d’intermédiaire de Google, puisqu’elle suppose une analyse du contenu. En outre, la mesure est inefficace, puisqu’elle ne porte que sur les résultats de certaines requêtes : les adresses de la vidéo restent dans la base de données de Google, et elles pourront être affichées en réponse à toute autre requête non mentionnée dans le dispositif de la décision. Il aurait mieux valu, dans ce contexte, que la demanderesse identifie chaque URL, et demande à Google de retirer toutes les URL incriminées, indépendamment de la requête de recherche effectuée par l’internaute (à défaut de pouvoir obtenir le retrait de la vidéo auprès de ses hébergeurs, probablement étrangers). Cette affaire montre que la neutralité des intermédiaires (et, partant, celle du Net) est bien précaire. On en a même parlé à l’étranger(es).

Insolite

Pour finir avec une note d’humour (quoi que…), mentionnons que certains s’interrogent sur l’application sur Internet de l’interdiction de porter la burka dans les lieux ouverts au public. Ainsi va l’argumentation : Internet est un ensemble de lieux privés, mais peu importe : la loi est applicable à tous les lieux privés ou publics, dès lors qu’ils sont ouverts au public. Or, l’accès à Internet étant libre, on peut considérer qu’Internet est un lieu ouvert au public… Bien entendu, tout cela ne tient pas debout ! Internet n’est pas un lieu, c’est un réseau d’ordinateurs ! Les juristes ont parfois recours à des «fictions juridiques», de pures abstractions qui permettent d’appliquer la règle de droit à des situations qui n’avaient pas été prévues lors de son élaboration, mais celles-ci doivent tout de même être cohérentes. Considérer qu’Internet est un lieu, c’est pousser le bouchon un peu trop loin. Les lieux appartiennent au monde physique, pas au monde virtuel. Le lieu où il est interdit de porter le voile n’est pas tel ou tel site Web sur lequel se rend l’internaute, mais celui où se situe le terminal grâce auquel il accède à ce site. Ainsi, on peut parfaitement «surfer» voilé chez soi, mais pas dans un cyber-café, dans le train, à la terrasse d’un café…

• 1842 mots • #Internet #neutralité #téléchargement #responsabilité #Google #données personnelles #Facebook #filtrage #réseaux sociaux #LCEN #piratage #surveillance #sécurité #Hadopi #LOPPSI #Wikileaks #censure #USA #liberté d'expression #Twitter #FAI #intermédiaires #Anonymous
"GF", "login"=>"gflorimond", "email"=>"[email protected]", "url"=>""}" itemtype="https://schema.org/Person" />
13 Mars 2011

Sécurité

Le ministère des Finances, à Bercy, a subi cette semaine une attaque informatique de grande ampleur (à tel point que le ministre du Budget s’est exprimé à ce propos à la radio). Il s’agit de la première attaque de cette importance contre le gouvernement français, bien qu’il y ait eu des précédents ailleurs dans le monde, notamment en Estonie en 2007 ou au Canada cette année. D’autres administrations auraient été touchées (notamment le ministère des Affaires étrangères), dans une moindre mesure, ou au moins prises pour cible par les attaquants.

L’attaque en elle-même est plutôt complexe. Les attaquants se sont d’abord introduits dans les serveurs de messagerie (e-mail) du ministère, afin d’envoyer des courriers électroniques vers certains postes de travail. Ces messages contenaient des fichiers PDF infectés par un cheval de Troie. L’ANSSI note plusieurs choses intéressantes à propos de cette attaque : 1) elle a été réalisée par des experts, avec des techniques et des moyens divers ; 2) elle a été bien préparée (le cheval de Troie a été spécifiquement élaboré pour cette attaque, il n’est pas détecté par les logiciels antivirus) ; 3) elle a visé très spécifiquement les postes de travail des personnes travaillant sur le sommet du G20, et a eu pour objet de copier leurs documents de travail.

Surveillance / LOPPSI 2

Le Conseil constitutionnel a rendu sa décision sur la loi LOPPSI2 (DCC n°2011-625). De nombreux articles ont été censurés, si bien que la décision a été présentée comme un désaveu pour la politique sécuritaire du gouvernement. Pour ce qui nous intéresse ici, c’est-à-dire les articles relatifs aux nouvelles technologies en général et à Internet en particulier, il y a une censure, une validation et un silence.

Article 53 (censure)

L’article 53 a été censuré. Cet article sanctionnait pénalement (15 000 euro d’amende) le fait de revendre plus cher que leur prix d’achat, des billets d’entrée à des manifestations sportives, culturelles ou commerciales. On a en effet pu voir, ces dernières années, des billets atteindre des prix exorbitants sur eBay ou d’autres sites de vente aux enchères. Mais le législateur ne visait pas vraiment ces pratiques : il entendait notamment empêcher certains supporters d’équipes sportives de contourner les mesures prises par les organisateurs des rencontres pour les séparer des supporters de l’équipe adverse. Le Conseil constitutionnel a estimé que les moyens (interdiction générale, pour l’ensemble des manifestations sportives, culturelles et commerciales) étaient disproportionnés par rapport à l’objectif poursuivi (entre autres, empêcher les «dérapages» lors de certaines manifestations à base de ballon rond), et a trouvé dans l’article 53 une violation du principe de nécessité des délits et des peines.

Article 4 (validation)

L’article 4, sur le filtrage d’Internet, en revanche, a été validé. Rappelons que l’article 4, plusieurs fois dénoncé ici, permet à l’administration, sans saisine de l’autorité judiciaire, d’ordonner aux intermédiaires techniques français de bloquer des sites diffusant des contenus pédopornographiques. Parmi les critiques formulées contre cette disposition, les deux principales étaient les suivantes : 1) le filtrage est inefficace (il risque de toucher des sites légitimes, il n’est utile que face aux néophytes et non face aux réseaux criminels organisés qui savent parfaitement le contourner) ; 2) le filtrage est une forme de censure, donc de restriction de la liberté d’expression, qui doit être assorti de garanties juridictionnelles. Le Conseil constitutionnel a rejeté ces deux critiques. À la première, il a répondu qu’étant juge du droit et non de l’opportunité, il «ne saurait rechercher si les objectifs que s’est assignés le législateur auraient pu être atteints par d’autres voies, dès lors que les modalités retenues par la loi ne sont pas manifestement inappropriées à l’objectif visé». À la deuxième critique, le Conseil constitutionnel a opposé que la décision de blocage faisait grief et que par conséquent, elle «est susceptible d’être contestée à tout moment et par toute personne intéressée devant la juridiction compétente [le juge administratif], le cas échéant en référé». L’article 4 est donc déclaré conforme à la Constitution, malgré le caractère peu convaincant des arguments avancés par le gouvernement pour le défendre.

On se souviendra que dans sa décision relative à la loi Hadopi 1 (DCC n°2009-580 du 10 juin 2009), le Conseil constitutionnel avait exigé l’intervention de l’autorité judiciaire pour couper l’accès à Internet des personnes ayant téléchargé des fichiers contrefaisants. Cette intervention se manifestait par le caractère essentiel pour l’exercice de la liberté d’expression qu’a acquis, depuis quelques années, l’accès à Internet. Le même raisonnement aurait pu être suivi ici, puisque la coupure d’accès ou la censure d’un site poursuivent le même objectif (empêcher que telle ou telle information parvienne à l’internaute). Pourquoi, alors, ne l’a-t-il pas été ? Le site PCInpact a recherché, dans les cahiers de travail du Conseil constitutionnel, des explications plus détaillées (les motifs de la décision ne le sont pas vraiment) sur la validation de l’article 4. Il a ainsi trouvé que la lutte contre la pédopornographie peut, selon le Conseil constitutionnel, «justifier des mesures que la préservation de la propriété intellectuelle ne peut fonder». Autrement dit, la censure du réseau serait justifiée, en l’espèce, par la gravité des comportements incriminés, mais elle ne saurait être étendue à n’importe quelle infraction. De manière détournée, le Conseil constitutionnel nous dit que si l’article 4 avait prévu le blocage des sites proposant des liens vers des contenus contrefaisants, il aurait certainement été déclaré contraire à la constitution (mais cela suffira-t-il à répondre aux craintes exprimées par l’AFNIC et par tant d’autres ?). La question est d’autant plus importante que les ayants droit tentent, comme l’atteste une récente condamnation de Google, de rendre les intermédiaires responsables du filtrage des contenus diffusés sur Internet (doctrine du «take down & stay down»).

Pendant que le ministre de la Culture parle d’un Internet civilisé aux États-Unis, les opposants au filtrage du réseau, déçus par la décision du Conseil constitutionnel, se préparent à saisir la Cour de justice de l’Union Européenne ou la Cour européenne des droits de l’homme, qui constitueraient le «dernier rempart au filtrage».

Article 2 (silence)

Pour le reste, le Conseil constitutionnel ne s’est pas autosaisi de l’article 2 de la loi, qui incrimine notamment le fait de «faire usage d’une ou plusieurs données de toute nature permettant [d’identifier une personne] en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération». Le problème avec l’article 2 n’est pas tant l’incrimination que la peine qui lui est associée. On comprend en effet parfaitement que le législateur réagisse aux nouvelles possibilités de nuire offertes par les nouvelles technologies (l’article vise en premier lieu l’usurpation d’identité), et notamment les réseaux sociaux. En revanche, la peine d’un an de prison et de 15 000 euro d’amende est beaucoup plus lourde que les peines destinées à sanctionner les délits de presse (pour lesquels il n’y a plus depuis longtemps de privation de liberté). Or, le fait de «faire usage d’une ou plusieurs données» peut parfaitement être compris comme incluant la publication d’informations. Comme le relève Numerama, le doute existe quant à la portée de cette disposition, notamment dans le cadre de l’utilisation des réseaux sociaux. Plusieurs scénarios sont envisageables : l’article pourrait faire l’objet d’une question prioritaire de constitutionnalité (la fameuse «QPC» dont on a parlé cette semaine à propos du procès de Jacques Chirac), ou être interprété par la jurisprudence judiciaire d’une manière qui exclut la peine de prison dans le cas d’un usage des données sur Internet. Cette dernière hypothèse est très probable : le juge pourrait décider que l’article 2 de la LOPPSI constitue le droit commun et en déduire, en application d’une jurisprudence constante selon laquelle l’application des dispositions spéciales relatives aux abus de la liberté d’expression est exclusive de l’application du droit commun, que les faits incriminés doivent recevoir la sanction du délit de diffamation.

• 1332 mots • #Internet #propriété intellectuelle #Google #gouvernement #filtrage #réseaux sociaux #piratage #surveillance #sécurité #Hadopi #LOPPSI #censure #liberté d'expression #FAI #intermédiaires
"GF", "login"=>"gflorimond", "email"=>"[email protected]", "url"=>""}" itemtype="https://schema.org/Person" />
6 Mars 2011

Les thèmes de la protection des données (1) et de la neutralité du Net (2) dominent, cette semaine, l’actualité du droit des nouvelles technologies.

Protection des données, surveillance

Alors que 44% des internautes français se disent vigilants avec leurs données personnelles, l’événement marquant concernant la protection des données et la surveillance des internautes est la publication, près de 7 ans après l’entrée de vigueur de la Loi pour la Confiance dans l’Économie Numérique (LCEN), du décret d’application n°2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne.

Ce décret définit les données que les intermédiaires devront collecter, et la durée de leur conservation, lorsqu’un internaute publie un contenu sur Internet. L’article 1er du décret énumère la liste des données à conserver par chaque type d’intermédiaire.

1) Ce sont d’abord les données à collecter à chaque opération qui sont énumérées. Ces données doivent toujours être collectées, c’est une obligation : les intermédiaires devront donc modifier leurs infrastructures, si nécessaire, pour les collecter et les conserver.

Pour les fournisseurs d’accès, les données à conserver sont les suivantes : a) L’identifiant de la connexion (c’est-à-dire ? le numéro de téléphone ? et dans le cadre d’un accès par Wifi, sans ligne téléphonique associée ? de quoi parle-t-on exactement ?) ; b) L’identifiant attribué par ces personnes à l’abonné (le numéro d’abonné ? l’adresse IP ?) ; c) L’identifiant du terminal utilisé pour la connexion lorsqu’elles y ont accès (l’adresse MAC du périphérique ? son numéro de série ?) ; d) Les dates et heure (sic) de début et de fin de la connexion ; e) Les caractéristiques de la ligne de l’abonné (notamment le débit, le type de connexion, filiaire ou wifi, etc.).

Les hébergeurs doivent conserver : a) L’identifiant de la connexion à l’origine de la communication (adresse IP ?) ; b) L’identifiant attribué par le système d’information au contenu, objet de l’opération (en pratique, cela se résumera souvent à la colonne «id» de la table MySQL…) ; c) Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus (Http pour le Web, Smtp, Pop, ou Imap pour le courrier électronique, etc.) ; d) La nature de l’opération (si l’on se contente de stocker le type de requête http, GET, POST, PUT, DELETE, cela suffit-il ?) ; e) Les date et heure de l’opération ; f) L’identifiant utilisé par l’auteur de l’opération lorsque celui-ci l’a fourni (pseudonyme).

2) Ensuite, les données à conserver lors de l’inscription de l’utilisateur au service. Ces données ne doivent être conservées que si les intermédiaires «les collectent habituellement». Autrement dit, pas d’obligation de modifier son infrastructure pour collecter ces données. Il s’agit : a) Au moment de la création du compte, l’identifiant de cette connexion (l’adresse IP ? quel intérêt si celle-ci est dynamique ?) ; b) Les nom et prénom ou la raison sociale (heureusement, ces données ne sont à conserver que si la personne les fournit) ; c) Les adresses postales associées (idem) ; d) Les pseudonymes utilisés ; e) Les adresses de courrier électronique ou de compte associées (idem) ; f) Les numéros de téléphone (idem) ; g) Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour (le hash MD5 ou SHA1, c’est-à-dire le mot de passe chiffré ? ou bien, le mot de passe en clair !?).

Doivent en outre être conservées les données relatives au paiement lorsque le service fourni est payant.

L’article 3 définit la durée de conservation : pour les données relatives aux opérations, 1 an à compter du jour de la création du contenu ; pour les données relatives au compte utilisateur, 1 an à compter de la fermeture du compte ; pour les données relatives au paiement, 1 an à compter du jour d’émission de la facture ou de l’opération de paiement (ce n’est pourtant pas la même chose…).

L’article 4 précise que la conservation des données est soumise aux règles de la loi Informatique et Libertés, notamment ses dispositions concernant la sécurité des données. Le décret n’est pas plus précis que la loi, et l’on reste dans le flou…

En 2007, l’ARCEP avait émis un avis dans lequel elle s’inquiétait de la conservation de certaines données qui, manifestement, «n’ont que peu de rapport ou même aucun avec l’identification de la personne ayant créé un contenu» : les caractéristiques de la ligne de l’abonné ; la nature de l’opération ; les mots de passe ou données permettant de le vérifier ou de le modifier ; les données relatives au paiement. En effet, toutes les données énumérées plus haut n’ont pas un rapport direct avec l’identification de l’abonné. Par exemple, l’adresse e-mail ou le numéro de téléphone n’entrent pas en compte dans la procédure d’identification, qui consiste généralement à associer un pseudonyme ou une adresse IP à un nom réel. Peu importe que l’on connaisse l’adresse e-mail ou le numéro de téléphone de l’internaute, car dès lors que l’on connaît son nom, celui-ci est bel et bien identifié. La conservation de ces données doit donc avoir un autre motif : préparer le terrain pour mettre en oeuvre rapidement et efficacement une surveillance complète de l’internaute, après qu’il ait été identifié.

Le site Numérama identifie un autre «bug» dans le décret : les intermédiaires (FAI et hébergeurs) ont l’obligation de conserver certaines données (celles relatives à chaque opération) pendant 1 an «à compter du jour de la création des contenus» ; or, puisqu’ils sont de simples intermédiaires (et non des éditeurs), ils n’ont pas à savoir qu’un contenu a été créé… Certains hébergeurs pourront satisfaire à cette obligation : par exemple, un logiciel de blog peut enregistrer dans la base de données MySQL l’heure de création de chaque enregistrement. D’autres hébergeurs, en revanche, auront plus de mal : tel est le cas de ceux qui se contentent de fournir les machines, l’internaute pouvant créer ou transférer du contenu avec les outils qu’il désire (par exemple avec le protocole FTP, sans passer par MySQL). Quant aux FAI, ils se contentent de fournir un accès à Internet, c’est-à-dire une adresse IP… ils n’ont strictement rien à voir avec les contenus créés sur les sites visités par l’internaute, et n’ont aucun moyen direct de savoir si telle ou telle requête crée un contenu. Pour le savoir, il faudrait mettre en oeuvre un filtrage DPI des données transmises sur le réseau. Or, un tel filtrage ne serait efficace que lorsque les données sont transmises au clair (exit, donc, les connexions SSL et celles passant par un proxy VPN).

On le voit, le décret sur la conservation des données est loin d’être parfait. Un recours devant le Conseil d’État devrait prochainement être déposé afin d’en obtenir l’annulation.

Neutralité du Net

Aux États-Unis, la question de la neutralité du Net fait toujours l’objet d’une polémique entre républicains et démocrates, depuis la publication du réglement de la FCC. Les républicains accusent la FCC de vouloir «contrôler» le Net. Plutôt étrange lorsqu’on sait que les républicains n’ont jamais hésité à élaborer des lois liberticides, comme le PATRIOT Act, au nom de la lutte contre le terrorisme…

En France, la proposition PS sur la neutralité du Net a été rejetée le 1er mars par 311 voix contre 218.

Nous parlions la semaine dernière de la volonté de Google d’amoindrir la visibilité des «fermes de contenu». Sachant que ces sites sont au Web ce que les spams sont au courrier électronique, on est tenté de dire qu’il s’agit d’une bonne chose. Néanmoins, les mesures prises par Google posent deux problèmes. D’abord, les effets collatéraux, ou le déréférencement de sites parfaitement légitimes. Ensuite et surtout, le rôle de Google. La société américaine se présente comme un intermédiaire, qui n’est pas responsable des résultats de recherche (dans le cas où les liens pointent vers des contrefaçons, par exemple). Mais en opérant un tri des résultats selon un critère fondé sur le contenu des sites référencés, n’exerce-t-elle pas une forme d’activité éditoriale ?

• 1366 mots • #Internet #Google #données personnelles #blog #DPI #LCEN #surveillance #FCC #infrastructure #FAI #intermédiaires