Valhalla.fr

Sic Itur Ad Absurdum

"GF", "login"=>"gflorimond", "email"=>"[email protected]", "url"=>""}" itemtype="https://schema.org/Person" />
27 Mars 2011

Gouvernance d’Internet

L’ICANN (Internet Corporation for Assigned Names and Numbers), la structure privée à but non lucratif de droit californien qui gère les extensions des noms de domain (.com, .org, .net, …) a finalement décidé, cette semaine, de créer une nouvelle extension, «.xxx», dédiée aux sites pornographiques. La dernière grande décision relative aux noms de domaine, prise en octobre 2009, était celle de permettre l’utilisation de caractères n’appartenant pas à l’alphabet latin.

La décision de l’ICANN alimente une controverse(es). D’un côté, cette nouvelle extension devrait permettre de mieux identifier les sites pornographiques et d’améliorer, par exemple, l’efficacité des logiciels de contrôle parental. D’un autre côté, elle rend la censure plus aisée. L’Inde a déjà annoncé sa volonté de bloquer les domaines .xxx, et d’autres pays devraient suivre. Enfin, luttant contre les deux arguments à la fois, le fait que l’utilisation des domaines .xxx soit facultative, les sites pornographiques pouvant continuer d’utiliser d’autres domaines plus habituels (.com, etc.).

Vie privée, données personnelles

Nous avions déjà parlé, à plusieurs reprises de Google Street View et des «Google Cars» sillonnant les routes du monde à la recherche de données. Plus précisément, Google voulait améliorer ses services de géolocalisation en dressant la liste des hotspots Wifi. En sachant qu’un internaute est connecté depuis tel point d’accès et l’endroit où ce situe ce point d’accès, Google peut proposer à l’internaute des contenus directement en relation avec l’endroit où il se trouve.

Il était reproché à Google, dans plusieurs pays, d’avoir capté des données personnelles transitant sur des réseaux Wifi non sécurisés. C’est pour ce motif que la CNIL a condamné Google à payer 100 000 euro d’amende.

La CNIL avait mené des contrôles en 2009 et 2010, au cours desquels elle avait constaté que les Google Cars captaient des «données de connexion à des sites web, mots de passe de messagerie, adresses de courrier électronique, échanges de courriels révélant notamment des informations sensibles sur l’orientation sexuelle ou la santé des personnes». Google s’est défendue en soutenant que la collecte était involontairele logiciel utilisé pour scanner les réseaux Wifi aurait été configuré, par défaut, pour enregistrer les données, et Google aurait omis de modifier ce paramètre–, sans pour autant accéder de bon gré aux demandes de la CNIL (ni, d’ailleurs, à celles de son homologue espagnole(es)). La société américaine continue d’ailleurs de soutenir que certaines données collectées, comme les SSID et les adresses MAC, ne sont pas des données personnelles.

En Allemagne, Google s’en est mieux tirée, et a échappé à la condamnation. Mais l’affaire, en France, n’est peut être pas terminée : Google a jusqu’au 17 mai pour exercer un recours devant le Conseil d’État contre la décision de la CNIL.

Liberté d’expression

La Chine filtrerait la messagerie de Google, Gmail. C’est du moins ce qu’affirmait en début de semaine la société américaine. La stratégie chinoise serait, selon Google, très subtile : plutôt que de bloquer totalement Gmail, les intermédiaires chinois rendraient l’accès à la messagerie lent et incertain, afin d’inciter les internautes à changer de fournisseur de courrier électronique (en se tournant de préférence vers un fournisseur local, plus facilement contrôlable par les autorités…). Après plusieurs vérifications, Google n’a trouvé aucune anomalie dans ses infrastructures, ce qui l’a amenée à en déduire que les intermédiaires chinois étaient à l’origine du blocage.

Le gouvernement chinois a rapidement réagi en parlant d’accusations inacceptables et en niant l’existence d’une quelconque mesure de censure(en) à l’encontre de Gmail. Il est difficile de savoir qui dit la vérité dans cette affaire : on sait que la Chine censure Internet, mais un problème technique indépendant de la volonté du gouvernement chinois est aussi possible.

De son côté, l’Iran a bloqué le réseau sécurisé TOR, probablement grâce à une mesure de filtrage par DPI (Deep Packets Inspection). Le blocage a eu lieu en janvier, et a vraisemblablement servi à tester l’efficacité du filtrage DPI. Reste à savoir comment l’Iran a procédé : certains suspectent une aide de grandes sociétés occidentales comme Cisco ou Siemens.

Propriété intellectuelle

Une fois encore, l’on retrouve Google. La société a été, en France, lourdement condamnée pour contrefaçon. Il s’agit de quatre décision du 14 janvier 2001 de la Cour d’appel de Paris. Il y a dans ces décision, à notre sens, du bon et du mauvais.

La Cour d’appel a reconnu à Google le statut d’hébergeur de la LCEN : l’hébergeur n’est pas responsable de la diffusion d’un contenu illicite, à moins qu’en toute connaissance de cause, il ne la fasse pas cesser. En l’espèce, c’est le fait de ne pas avoir empêché la remise en ligne des vidéos retirées qui est reproché à Google. Autrement dit, Google aurait dû, une fois les contenus illicites retirés, opérer un contrôle des contenus qui lui sont soumis afin d’empêcher leur remise en ligne. Cela est contraire à l’idée essentielle de la directive «commerce électronique» et de la LCEN, selon laquelle les intermédiaires techniques ne sont tenus à aucune obligation de surveillance des contenus.

La Cour d’appel a également décidé que Google avait engagé sa responsabilité en assurant la représentation des vidéos hébergées par d’autres (YouTube, Dailymotion…) sur son propre site (Google Videos). Ce faisant, Google perdait, selon la Cour, sa qualité d’intermédiaire technique. Ce raisonnement là doit être approuvé.

Dans un autre registre, Apple a attaqué Amazon, aux États-Unis, pour contrefaçon de sa marque «AppStore»(es) et concurrence déloyale.

Aux États-Unis toujours, un tribunal fédéral a annulé l’accord de 2008 entre Google et les ayants droit qui avait pour objet de permettre à la société américaine de numériser des livres dans les bibliothèques. Le système, reposant sur l’opt-out (le consentement à la numérisation est présumé) a été jugé inéquitable, inadéquat et déraisonnable. Un accord fondé sur l’opt-in (le consentement à la numérisation doit être explicite) aurait été préférable. Le ministre français de la culture se déclare satisfait de cette décision et demande à Google de mieux respecter les ayants droit. L’EFF, en revanche, trouve qu’il y a du bon et du mauvais dans cette décision, et souligne notamment que le demandeur (the Authors Guild) agit dans un but économique, et non dans celui de favoriser l’accès au savoir. Les obstacles au projet de bibliothèque numérique de Google sont nombreux, tant aux États-Unis qu’en Europe.

• 1075 mots • #Internet #propriété intellectuelle #responsabilité #vie privée #Apple #LCEN #liberté d'expression #infrastructure #intermédiaires #ICANN
"GF", "login"=>"gflorimond", "email"=>"[email protected]", "url"=>""}" itemtype="https://schema.org/Person" />
20 Mars 2011


Twitter

Cette semaine, l’on reparle de Twitter, qui fête ses 5 ans(es). Après des débuts pénibles, le réseau social de «micro-blogging» connaît aujourd’hui un véritable succès avec 460 000 nouveaux comptes créés chaque jour. En France, où 24 millions de personnes se connectent quotidiennement à Internet, c’est toujours Facebook qui croît le plus (bien que le site continue d’être critiqué pour sa faible protection des données personnelles), mais Twitter est également sur la pente ascendante. Ce dernier a décidé d’offrir aux internautes la possibilité de se connecter avec le protocole sécurisé HTTPS. Cette initiative est louable, sachant que les réseaux sociaux sont utilisés par individus de par le monde pour s’opposer aux régimes dictatoriaux ; les événements récents dans le monde arabo-musulman en témoignent (en Lybie, par exemple, l’activité des opposants sur les réseaux sociaux a «suffi à inquiéter le régime», selon l’ambassadeur de France, qui a réagi en coupant Internet). Certains s’étonnent ainsi que l’usage du protocole HTTPS ne se soit pas encore généralisé(en) sur le Web. Par ailleurs, la FTC a conclu à la responsabilité de Twitter dans le «piratage» de certains comptes (Obama, Britney Spears…) : les responsables du réseau social doivent assurer la sécurité des données personnelles publiées par les internautes, et indemniser ces derniers lorsqu’une faille de sécurité est exploitée par un tiers pour «voler» ces données (selon une étude récente, 30% des sites Web présenteraient une faille de sécurité exploitable). D’un autre côté, un juge américain vient de décider que Twitter a l’obligation de communiquer les données relatives à ses membres lorsque celles-ci sont réclamées par les autorités dans le cadre d’une enquête criminelle, en l’espèce l’enquête sur la fuite des documents secrets publiés par Wikileaks.

Japon

Au Japon, malgré l’important séisme et le tsunami dévastateur qui s’ensuivit, les grandes infrastructures d’Internet ont bien résisté, sans doute grâce à la résistance des câbles sous-marins. Et c’est heureux, car Internet constitue un outil efficace pour s’informer de l’évolution de la situation au Japon. Certains sites, comme Google, ont même mis en place des pages exclusivement dédiées aux informations relatives à la catastrophe (séisme, tsunami et centrale nucléaire), à la recherche de survivants, à l’information des familles, etc. Le Web chinois est, en revanche, bien différent : alors que 130 000 cyber-cafés ont fermé en 6 ans, le gouvernement de Pékin a décidé qu’il était nécessaire de bloquer les mots-clé «fuite» et «nucléaire» sur le Web pour tranquilliser le peuple, plutôt que de le maintenir informé sur l’évolution de la situation au Japon et sur les risques du nucléaire.

Liberté d’expression & sécurité

En France aussi, une certaine forme de censure semble avoir fait son apparition sur le Web. C’est, en tout cas, l’avis de Reporters Sans Frontières (RSF) qui place la France dans la liste des pays «à surveiller», en raison du vote récent de la loi LOPPSI 2 (v. notamment n°44 et n°48). Selon la carte publiée par RSF, la France est classée au même rang que la Russie, la Turquie ou l’Australie ; elle censure moins que la Chine ou l’Arabie Saoudite, mais plus que tous les autres pays européens et nord-américains. RSF insiste sur un argument que nous avons plusieurs fois présenté ici : les lois récentes ayant pour vocation de lutter contre le téléchargement illicite (Hadopi), les sites illicites de jeu en ligne (après l’affaire Stanjames, l’ARJEL veut d’ailleurs filtrer, cette semaine, un nouveau site, ce que les FAI considèrent comme inefficace), la pédopornographie, le terrorisme et le crime organisé (LOPPSI), mettent en place des mesures de surveillance et de filtrage qui pourraient, par la suite, être étendues à d’autres domaines. Autrement dit, RSF craint que ces lois servent de cheval de Troie et aboutissent à une diminution de la liberté d’expression sur le Web français.

Malgré le filtrage et la censure, Internet demeure un outil de communication libre et parfois terriblement efficace pour révéler ce qui avait vocation à rester caché. Un nouvel exemple est fourni cette semaine, non par Wikileaks, mais par le réseau de pirates Anonymous (s’illustrant notamment par des attaques contre le système Hadopi) qui publie sur le site bankofamericasucks.com de nombreux documents compromettants pour Bank of America. Cette publication appelle deux réflexions. D’abord, il est clair que Wikileaks, qui devait à l’origine publier des documents concernant Bank of America, a été totalement pris de court par le groupe Anonymous. On sait qu’en réponse aux critiques dont il a fait l’objet, selon lesquelles la diffusion incontrôlée d’informations secrètes peut mettre des vies en danger, le site Wikileaks a réagi en publiant les données petit à petit, après les avoir vérifiées. Wikileaks, chantre de la transparence, a donc mis en œuvre une forme d’auto-censure qui se retourne aujourd’hui contre lui. Ensuite, l’on peut s’interroger sur la fiabilité des informations publiées. Le groupe Anonymous est, comme son nom l’indique, composé de personnes souhaitant garder l’anonymat. Ce faisant, elles se protègent contre d’éventuelles représailles. Mais il est également possible pour une personne mal intentionnée de diffuser une fausse information, que l’on ne remettra pas en cause sous prétexte qu’elle provient d’une «fuite». Certains s’interrogent ainsi sur la pertinence des informations relatives à Bank of America : la fuite aurait pu être organisée.

Le système Hadopi se met en place peu à peu. Cette semaine, le décret permettant l’automatisation du volet pénal de la loi a été publié (décret n°2011-264 du 11 mars 2011). Ce décret intervient à partir de la 3ème phase de la répression, c’est-à-dire après le 2ème avertissement et au moment de la saisine du parquet, jusqu’au jugement et à son exécution (suspension de l’abonnement à Internet). Son intérêt est de mettre en place la transmission automatique (certains diront «industrielle») au parquet du dossier à charge constitué contre l’internaute.

La LOPPSI (qui suit la logique «la répression est la meilleure des préventions»), quant à elle, vient d’être promulguée, dans sa version censurée par le Conseil constitutionnel (v. n°48).

Signalons également, dans le registre de la surveillance et du filtrage, que l’Avocat général devrait rendre ses conclusions dans une affaire pendante devant la Cour de justice de l’Union Européenne (C-70/10). Il s’agit pour la Cour de répondre à une question préjudicielle posée par les juridictions belges qui souhaitent savoir si elles peuvent, dans le respect du droit communautaire, «ordonner à un FAI de mettre en place, à l’égard de toute sa clientèle, in abstracto et à titre préventif, aux frais exclusifs de ce FAI et sans limitation dans le temps, un système de filtrage de toutes les communications électroniques, tant entrantes que sortantes, transitant par ses services, notamment par l’emploi de logiciels peer to peer».

Neutralité du Net

Parlons encore du filtrage judiciaire, avec une ordonnance de référe du TGI de Montpellier, qui ordonne à Google de désindexer certains sites. L’affaire est assez classique : une institutrice ayant tourné dans un film porno amateur se rend compte que la diffusion de cette vidéo sur le Web ne fait pas beaucoup de bien à sa réputation. Elle constate également que Google renvoie des liens vers des sites diffusant cette vidéo lorsqu’on lui soumet une requête avec certains mots-clé précisément identifiés. Elle demande alors à Google de supprimer ces liens. Le moteur de recherche lui oppose qu’il ne lui appartient pas de surveiller le contenu auquel il permet d’accéder : en tant qu’intermédiaire technique, il est déchargé de toute obligation de surveillance (selon le droit européen et, en France, la LCEN du 21 juin 2004). L’institutrice saisit alors le juge des référés et lui demande d’ordonner à Google de supprimer les liens vers les sites diffusant la vidéo qui apparaissent sur la page présentant les résultats des requêtes formées à partir de certains mots-clés. Le juge accède à la demande et l’on peut lire, dans le dispositif de la décision, qu’il est ordonné à Google, sous astreinte de 1000 euro par jour de retard, «de supprimer de ses moteurs de recherche tous résultats (titre, descriptif, adresse URL) apparaissant à la suite des requêtes effectuées avec les termes “Marie C. swallows” et «Marie C.” + “école de laetitia” renvoyant directement ou indirectement à la vidéo à caractère pornographique mettant en scène Madame Marie C.». En quoi cela est-il problématique ? Analysons ce que doit faire Google pour exécuter la décision. Google doit effectuer certaines requêtes sur son moteur de recherche, qui sont indiquées dans le dispositif de l’ordonnance. Elle doit ensuite trier les résultats de recherche et vérifier lesquels renvoient vers la vidéo incriminée. Enfin, elle doit supprimer les liens ainsi identifiés des résultats des requêtes précédemment effectuées. Le problème est que c’est à Google qu’il incombe d’identifier les liens à retirer, en fonction d’un contenu qui lui est signalé. Cette mission d’identification est contraire à l’activité d’intermédiaire de Google, puisqu’elle suppose une analyse du contenu. En outre, la mesure est inefficace, puisqu’elle ne porte que sur les résultats de certaines requêtes : les adresses de la vidéo restent dans la base de données de Google, et elles pourront être affichées en réponse à toute autre requête non mentionnée dans le dispositif de la décision. Il aurait mieux valu, dans ce contexte, que la demanderesse identifie chaque URL, et demande à Google de retirer toutes les URL incriminées, indépendamment de la requête de recherche effectuée par l’internaute (à défaut de pouvoir obtenir le retrait de la vidéo auprès de ses hébergeurs, probablement étrangers). Cette affaire montre que la neutralité des intermédiaires (et, partant, celle du Net) est bien précaire. On en a même parlé à l’étranger(es).

Insolite

Pour finir avec une note d’humour (quoi que…), mentionnons que certains s’interrogent sur l’application sur Internet de l’interdiction de porter la burka dans les lieux ouverts au public. Ainsi va l’argumentation : Internet est un ensemble de lieux privés, mais peu importe : la loi est applicable à tous les lieux privés ou publics, dès lors qu’ils sont ouverts au public. Or, l’accès à Internet étant libre, on peut considérer qu’Internet est un lieu ouvert au public… Bien entendu, tout cela ne tient pas debout ! Internet n’est pas un lieu, c’est un réseau d’ordinateurs ! Les juristes ont parfois recours à des «fictions juridiques», de pures abstractions qui permettent d’appliquer la règle de droit à des situations qui n’avaient pas été prévues lors de son élaboration, mais celles-ci doivent tout de même être cohérentes. Considérer qu’Internet est un lieu, c’est pousser le bouchon un peu trop loin. Les lieux appartiennent au monde physique, pas au monde virtuel. Le lieu où il est interdit de porter le voile n’est pas tel ou tel site Web sur lequel se rend l’internaute, mais celui où se situe le terminal grâce auquel il accède à ce site. Ainsi, on peut parfaitement «surfer» voilé chez soi, mais pas dans un cyber-café, dans le train, à la terrasse d’un café…

• 1842 mots • #Internet #neutralité #téléchargement #responsabilité #Google #données personnelles #Facebook #filtrage #réseaux sociaux #LCEN #piratage #surveillance #sécurité #Hadopi #LOPPSI #Wikileaks #censure #USA #liberté d'expression #Twitter #FAI #intermédiaires #Anonymous
"GF", "login"=>"gflorimond", "email"=>"[email protected]", "url"=>""}" itemtype="https://schema.org/Person" />
13 Mars 2011

Sécurité

Le ministère des Finances, à Bercy, a subi cette semaine une attaque informatique de grande ampleur (à tel point que le ministre du Budget s’est exprimé à ce propos à la radio). Il s’agit de la première attaque de cette importance contre le gouvernement français, bien qu’il y ait eu des précédents ailleurs dans le monde, notamment en Estonie en 2007 ou au Canada cette année. D’autres administrations auraient été touchées (notamment le ministère des Affaires étrangères), dans une moindre mesure, ou au moins prises pour cible par les attaquants.

L’attaque en elle-même est plutôt complexe. Les attaquants se sont d’abord introduits dans les serveurs de messagerie (e-mail) du ministère, afin d’envoyer des courriers électroniques vers certains postes de travail. Ces messages contenaient des fichiers PDF infectés par un cheval de Troie. L’ANSSI note plusieurs choses intéressantes à propos de cette attaque : 1) elle a été réalisée par des experts, avec des techniques et des moyens divers ; 2) elle a été bien préparée (le cheval de Troie a été spécifiquement élaboré pour cette attaque, il n’est pas détecté par les logiciels antivirus) ; 3) elle a visé très spécifiquement les postes de travail des personnes travaillant sur le sommet du G20, et a eu pour objet de copier leurs documents de travail.

Surveillance / LOPPSI 2

Le Conseil constitutionnel a rendu sa décision sur la loi LOPPSI2 (DCC n°2011-625). De nombreux articles ont été censurés, si bien que la décision a été présentée comme un désaveu pour la politique sécuritaire du gouvernement. Pour ce qui nous intéresse ici, c’est-à-dire les articles relatifs aux nouvelles technologies en général et à Internet en particulier, il y a une censure, une validation et un silence.

Article 53 (censure)

L’article 53 a été censuré. Cet article sanctionnait pénalement (15 000 euro d’amende) le fait de revendre plus cher que leur prix d’achat, des billets d’entrée à des manifestations sportives, culturelles ou commerciales. On a en effet pu voir, ces dernières années, des billets atteindre des prix exorbitants sur eBay ou d’autres sites de vente aux enchères. Mais le législateur ne visait pas vraiment ces pratiques : il entendait notamment empêcher certains supporters d’équipes sportives de contourner les mesures prises par les organisateurs des rencontres pour les séparer des supporters de l’équipe adverse. Le Conseil constitutionnel a estimé que les moyens (interdiction générale, pour l’ensemble des manifestations sportives, culturelles et commerciales) étaient disproportionnés par rapport à l’objectif poursuivi (entre autres, empêcher les «dérapages» lors de certaines manifestations à base de ballon rond), et a trouvé dans l’article 53 une violation du principe de nécessité des délits et des peines.

Article 4 (validation)

L’article 4, sur le filtrage d’Internet, en revanche, a été validé. Rappelons que l’article 4, plusieurs fois dénoncé ici, permet à l’administration, sans saisine de l’autorité judiciaire, d’ordonner aux intermédiaires techniques français de bloquer des sites diffusant des contenus pédopornographiques. Parmi les critiques formulées contre cette disposition, les deux principales étaient les suivantes : 1) le filtrage est inefficace (il risque de toucher des sites légitimes, il n’est utile que face aux néophytes et non face aux réseaux criminels organisés qui savent parfaitement le contourner) ; 2) le filtrage est une forme de censure, donc de restriction de la liberté d’expression, qui doit être assorti de garanties juridictionnelles. Le Conseil constitutionnel a rejeté ces deux critiques. À la première, il a répondu qu’étant juge du droit et non de l’opportunité, il «ne saurait rechercher si les objectifs que s’est assignés le législateur auraient pu être atteints par d’autres voies, dès lors que les modalités retenues par la loi ne sont pas manifestement inappropriées à l’objectif visé». À la deuxième critique, le Conseil constitutionnel a opposé que la décision de blocage faisait grief et que par conséquent, elle «est susceptible d’être contestée à tout moment et par toute personne intéressée devant la juridiction compétente [le juge administratif], le cas échéant en référé». L’article 4 est donc déclaré conforme à la Constitution, malgré le caractère peu convaincant des arguments avancés par le gouvernement pour le défendre.

On se souviendra que dans sa décision relative à la loi Hadopi 1 (DCC n°2009-580 du 10 juin 2009), le Conseil constitutionnel avait exigé l’intervention de l’autorité judiciaire pour couper l’accès à Internet des personnes ayant téléchargé des fichiers contrefaisants. Cette intervention se manifestait par le caractère essentiel pour l’exercice de la liberté d’expression qu’a acquis, depuis quelques années, l’accès à Internet. Le même raisonnement aurait pu être suivi ici, puisque la coupure d’accès ou la censure d’un site poursuivent le même objectif (empêcher que telle ou telle information parvienne à l’internaute). Pourquoi, alors, ne l’a-t-il pas été ? Le site PCInpact a recherché, dans les cahiers de travail du Conseil constitutionnel, des explications plus détaillées (les motifs de la décision ne le sont pas vraiment) sur la validation de l’article 4. Il a ainsi trouvé que la lutte contre la pédopornographie peut, selon le Conseil constitutionnel, «justifier des mesures que la préservation de la propriété intellectuelle ne peut fonder». Autrement dit, la censure du réseau serait justifiée, en l’espèce, par la gravité des comportements incriminés, mais elle ne saurait être étendue à n’importe quelle infraction. De manière détournée, le Conseil constitutionnel nous dit que si l’article 4 avait prévu le blocage des sites proposant des liens vers des contenus contrefaisants, il aurait certainement été déclaré contraire à la constitution (mais cela suffira-t-il à répondre aux craintes exprimées par l’AFNIC et par tant d’autres ?). La question est d’autant plus importante que les ayants droit tentent, comme l’atteste une récente condamnation de Google, de rendre les intermédiaires responsables du filtrage des contenus diffusés sur Internet (doctrine du «take down & stay down»).

Pendant que le ministre de la Culture parle d’un Internet civilisé aux États-Unis, les opposants au filtrage du réseau, déçus par la décision du Conseil constitutionnel, se préparent à saisir la Cour de justice de l’Union Européenne ou la Cour européenne des droits de l’homme, qui constitueraient le «dernier rempart au filtrage».

Article 2 (silence)

Pour le reste, le Conseil constitutionnel ne s’est pas autosaisi de l’article 2 de la loi, qui incrimine notamment le fait de «faire usage d’une ou plusieurs données de toute nature permettant [d’identifier une personne] en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération». Le problème avec l’article 2 n’est pas tant l’incrimination que la peine qui lui est associée. On comprend en effet parfaitement que le législateur réagisse aux nouvelles possibilités de nuire offertes par les nouvelles technologies (l’article vise en premier lieu l’usurpation d’identité), et notamment les réseaux sociaux. En revanche, la peine d’un an de prison et de 15 000 euro d’amende est beaucoup plus lourde que les peines destinées à sanctionner les délits de presse (pour lesquels il n’y a plus depuis longtemps de privation de liberté). Or, le fait de «faire usage d’une ou plusieurs données» peut parfaitement être compris comme incluant la publication d’informations. Comme le relève Numerama, le doute existe quant à la portée de cette disposition, notamment dans le cadre de l’utilisation des réseaux sociaux. Plusieurs scénarios sont envisageables : l’article pourrait faire l’objet d’une question prioritaire de constitutionnalité (la fameuse «QPC» dont on a parlé cette semaine à propos du procès de Jacques Chirac), ou être interprété par la jurisprudence judiciaire d’une manière qui exclut la peine de prison dans le cas d’un usage des données sur Internet. Cette dernière hypothèse est très probable : le juge pourrait décider que l’article 2 de la LOPPSI constitue le droit commun et en déduire, en application d’une jurisprudence constante selon laquelle l’application des dispositions spéciales relatives aux abus de la liberté d’expression est exclusive de l’application du droit commun, que les faits incriminés doivent recevoir la sanction du délit de diffamation.

• 1332 mots • #Internet #propriété intellectuelle #Google #gouvernement #filtrage #réseaux sociaux #piratage #surveillance #sécurité #Hadopi #LOPPSI #censure #liberté d'expression #FAI #intermédiaires
"GF", "login"=>"gflorimond", "email"=>"[email protected]", "url"=>""}" itemtype="https://schema.org/Person" />
6 Mars 2011

Les thèmes de la protection des données (1) et de la neutralité du Net (2) dominent, cette semaine, l’actualité du droit des nouvelles technologies.

Protection des données, surveillance

Alors que 44% des internautes français se disent vigilants avec leurs données personnelles, l’événement marquant concernant la protection des données et la surveillance des internautes est la publication, près de 7 ans après l’entrée de vigueur de la Loi pour la Confiance dans l’Économie Numérique (LCEN), du décret d’application n°2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne.

Ce décret définit les données que les intermédiaires devront collecter, et la durée de leur conservation, lorsqu’un internaute publie un contenu sur Internet. L’article 1er du décret énumère la liste des données à conserver par chaque type d’intermédiaire.

1) Ce sont d’abord les données à collecter à chaque opération qui sont énumérées. Ces données doivent toujours être collectées, c’est une obligation : les intermédiaires devront donc modifier leurs infrastructures, si nécessaire, pour les collecter et les conserver.

Pour les fournisseurs d’accès, les données à conserver sont les suivantes : a) L’identifiant de la connexion (c’est-à-dire ? le numéro de téléphone ? et dans le cadre d’un accès par Wifi, sans ligne téléphonique associée ? de quoi parle-t-on exactement ?) ; b) L’identifiant attribué par ces personnes à l’abonné (le numéro d’abonné ? l’adresse IP ?) ; c) L’identifiant du terminal utilisé pour la connexion lorsqu’elles y ont accès (l’adresse MAC du périphérique ? son numéro de série ?) ; d) Les dates et heure (sic) de début et de fin de la connexion ; e) Les caractéristiques de la ligne de l’abonné (notamment le débit, le type de connexion, filiaire ou wifi, etc.).

Les hébergeurs doivent conserver : a) L’identifiant de la connexion à l’origine de la communication (adresse IP ?) ; b) L’identifiant attribué par le système d’information au contenu, objet de l’opération (en pratique, cela se résumera souvent à la colonne «id» de la table MySQL…) ; c) Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus (Http pour le Web, Smtp, Pop, ou Imap pour le courrier électronique, etc.) ; d) La nature de l’opération (si l’on se contente de stocker le type de requête http, GET, POST, PUT, DELETE, cela suffit-il ?) ; e) Les date et heure de l’opération ; f) L’identifiant utilisé par l’auteur de l’opération lorsque celui-ci l’a fourni (pseudonyme).

2) Ensuite, les données à conserver lors de l’inscription de l’utilisateur au service. Ces données ne doivent être conservées que si les intermédiaires «les collectent habituellement». Autrement dit, pas d’obligation de modifier son infrastructure pour collecter ces données. Il s’agit : a) Au moment de la création du compte, l’identifiant de cette connexion (l’adresse IP ? quel intérêt si celle-ci est dynamique ?) ; b) Les nom et prénom ou la raison sociale (heureusement, ces données ne sont à conserver que si la personne les fournit) ; c) Les adresses postales associées (idem) ; d) Les pseudonymes utilisés ; e) Les adresses de courrier électronique ou de compte associées (idem) ; f) Les numéros de téléphone (idem) ; g) Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour (le hash MD5 ou SHA1, c’est-à-dire le mot de passe chiffré ? ou bien, le mot de passe en clair !?).

Doivent en outre être conservées les données relatives au paiement lorsque le service fourni est payant.

L’article 3 définit la durée de conservation : pour les données relatives aux opérations, 1 an à compter du jour de la création du contenu ; pour les données relatives au compte utilisateur, 1 an à compter de la fermeture du compte ; pour les données relatives au paiement, 1 an à compter du jour d’émission de la facture ou de l’opération de paiement (ce n’est pourtant pas la même chose…).

L’article 4 précise que la conservation des données est soumise aux règles de la loi Informatique et Libertés, notamment ses dispositions concernant la sécurité des données. Le décret n’est pas plus précis que la loi, et l’on reste dans le flou…

En 2007, l’ARCEP avait émis un avis dans lequel elle s’inquiétait de la conservation de certaines données qui, manifestement, «n’ont que peu de rapport ou même aucun avec l’identification de la personne ayant créé un contenu» : les caractéristiques de la ligne de l’abonné ; la nature de l’opération ; les mots de passe ou données permettant de le vérifier ou de le modifier ; les données relatives au paiement. En effet, toutes les données énumérées plus haut n’ont pas un rapport direct avec l’identification de l’abonné. Par exemple, l’adresse e-mail ou le numéro de téléphone n’entrent pas en compte dans la procédure d’identification, qui consiste généralement à associer un pseudonyme ou une adresse IP à un nom réel. Peu importe que l’on connaisse l’adresse e-mail ou le numéro de téléphone de l’internaute, car dès lors que l’on connaît son nom, celui-ci est bel et bien identifié. La conservation de ces données doit donc avoir un autre motif : préparer le terrain pour mettre en oeuvre rapidement et efficacement une surveillance complète de l’internaute, après qu’il ait été identifié.

Le site Numérama identifie un autre «bug» dans le décret : les intermédiaires (FAI et hébergeurs) ont l’obligation de conserver certaines données (celles relatives à chaque opération) pendant 1 an «à compter du jour de la création des contenus» ; or, puisqu’ils sont de simples intermédiaires (et non des éditeurs), ils n’ont pas à savoir qu’un contenu a été créé… Certains hébergeurs pourront satisfaire à cette obligation : par exemple, un logiciel de blog peut enregistrer dans la base de données MySQL l’heure de création de chaque enregistrement. D’autres hébergeurs, en revanche, auront plus de mal : tel est le cas de ceux qui se contentent de fournir les machines, l’internaute pouvant créer ou transférer du contenu avec les outils qu’il désire (par exemple avec le protocole FTP, sans passer par MySQL). Quant aux FAI, ils se contentent de fournir un accès à Internet, c’est-à-dire une adresse IP… ils n’ont strictement rien à voir avec les contenus créés sur les sites visités par l’internaute, et n’ont aucun moyen direct de savoir si telle ou telle requête crée un contenu. Pour le savoir, il faudrait mettre en oeuvre un filtrage DPI des données transmises sur le réseau. Or, un tel filtrage ne serait efficace que lorsque les données sont transmises au clair (exit, donc, les connexions SSL et celles passant par un proxy VPN).

On le voit, le décret sur la conservation des données est loin d’être parfait. Un recours devant le Conseil d’État devrait prochainement être déposé afin d’en obtenir l’annulation.

Neutralité du Net

Aux États-Unis, la question de la neutralité du Net fait toujours l’objet d’une polémique entre républicains et démocrates, depuis la publication du réglement de la FCC. Les républicains accusent la FCC de vouloir «contrôler» le Net. Plutôt étrange lorsqu’on sait que les républicains n’ont jamais hésité à élaborer des lois liberticides, comme le PATRIOT Act, au nom de la lutte contre le terrorisme…

En France, la proposition PS sur la neutralité du Net a été rejetée le 1er mars par 311 voix contre 218.

Nous parlions la semaine dernière de la volonté de Google d’amoindrir la visibilité des «fermes de contenu». Sachant que ces sites sont au Web ce que les spams sont au courrier électronique, on est tenté de dire qu’il s’agit d’une bonne chose. Néanmoins, les mesures prises par Google posent deux problèmes. D’abord, les effets collatéraux, ou le déréférencement de sites parfaitement légitimes. Ensuite et surtout, le rôle de Google. La société américaine se présente comme un intermédiaire, qui n’est pas responsable des résultats de recherche (dans le cas où les liens pointent vers des contrefaçons, par exemple). Mais en opérant un tri des résultats selon un critère fondé sur le contenu des sites référencés, n’exerce-t-elle pas une forme d’activité éditoriale ?

• 1366 mots • #Internet #Google #données personnelles #blog #DPI #LCEN #surveillance #FCC #infrastructure #FAI #intermédiaires
"GF", "login"=>"gflorimond", "email"=>"[email protected]", "url"=>""}" itemtype="https://schema.org/Person" />
27 Fév 2011

Au sommaire cette semaine, la protection de la vie privée des internautes, notamment dans le cadre des réseaux sociaux et de la téléphonie par Internet ; le système Hadopi en plein fonctionnement ; le filtrage et la régulation du réseau aux États-Unis.

Vie privée, réseaux sociaux et données personnelles

Le droit au respect de la vie privée est de nouveau dans l’actualité, cette semaine. C’est d’abord des «fuites» de données personnelles dont on a parlé. On sait que le droit au respect de la vie privée est un droit fondamental consacré à la fois en droit interne (par le Conseil constitutionnel) et en droit international (CEDH, notamment). Or, pour que ce droit soit garanti, il est nécessaire de réglementer l’usage des données personnelles (c’est-à-dire des données se rapportant à une personne et l’identifiant) : tel est l’esprit de la loi française «Informatique et Libertés» et de plusieurs directives communautaires. Cette réglementation crée, schématiquement, trois séries d’obligations pour les personnes responsables d’un traitement de données personnelles : des obligations relatives à la collecte des données (p. ex. le consentement de la personne intéressée), des obligations relatives à leur traitement (p. ex. la finalité du traitement qui doit être déterminée) et, enfin, des obligations relatives à leur sécurité. Il incombe ainsi au responsable du traitement d’assurer la sécurité des données, c’est-à-dire, pour ce qui nous occupe ici, d’assurer qu’elles ne soient pas accessibles par n’importe qui et, a fortiori, qu’elles ne soient pas librement accessibles sur le Web. Cette semaine, le bureau britannique des passeports a annoncé avoir perdu des données personnelles tout comme, en France, le site de l’UMP afficherait une liste d’adhérents facilement accessible sur le Web. Pour y accéder, il serait nécessaire d’exploiter une faille de sécurité et c’est précisément en ne corrigeant pas cette faille que le responsable du traitement violerait ses obligations.

Il arrive ainsi parfois que des données personnelles soient librement accessibles, en violation de l’obligation de sécurisation. Mais ce n’est certainement pas l’obligation issue de la loi Informatique et Libertés qui est le plus souvent méconnue. Ainsi, sur le Web, de nombreux sites utilisent des «cookies» (petits fichiers placés lors de la navigation sur le disque dur de l’ordinateur de l’internaute) afin de dresser un profil du visiteur. L’UE s’intéresse de près à la question, tout comme les éditeurs de logiciels (Microsoft, Google, Mozilla…) qui tentent d’élaborer des mécanismes de «navigation privée» plus efficaces.

Mais le principal problème n’est pas là. Le volume de données collectées grâce à une faille de sécurité est bien moins important que celui des données volontairement publiées par les internautes. De même, la pertinence des données obtenues à l’insu de l’internaute par des cookies ou d’autres technologies plus ou moins invasives est bien inférieure à celle des données librement mises à disposition sur les réseaux sociaux. Il est ainsi inquiétant que près de la moitié des internautes américains soient inscrits sur Facebook (selon une étude américaine, le réseau social aurait le plus de succès auprès des femmes de 18 à 34 ans), d’autant plus que le réseau social est propice au «click-jacking» (intercepter le clic de l’internaute sur un lien pour l’envoyer sur un site où il n’avait aucune intention de se rendre). Alors aux États-Unis, dans le New Jersey, le chef de la police d’une petite ville conseille aux parents de «pirater» le compte Facebook de leurs enfants pour les surveiller.

Et avec tout cela, le juriste se pose une question : la preuve obtenue sur Facebook est-elle recevable ?

Vie privée et contenu des communications

Le très populaire logiciel de VoIP («Voice over IP», téléphonie par Internet) Skype ne respecterait pas la loi française. Pour comprendre, il faut commencer par se poser la question de la qualification de la société éditrice de Skype : est-elle un simple éditeur de logiciel, ou est-elle un opérateur de télécommunications ? En tant que simple éditeur de logiciel, elle est libre d’implémenter dans Skype les fonctions qu’elle désire. En tant qu’opérateur télécom, en revanche, elle doit se conformer à certaines obligations que lui impose la loi française. Il s’agit notamment des obligations d’acheminer les appels d’urgence vers la police, les pompiers ou les secours médicaux, et de permettre les écoutes ordonnées par la justice. L’Arcep, l’autorité française de régulation des télécoms, considère depuis 2007 que Skype est un opérateur de télécommunications, et qu’il viole donc la loi française en n’exécutant pas les obligations qu’elle lui impose. Si la question refait surface aujourd’hui, c’est parce que Skype prépare son entrée en bourse et que la SEC (autorité américaine de régulation des marchés financiers) s’intéresse à cette situation.

Propriété intellectuelle, Hadopi

Selon Numerama, qui surveille de près l’activité de l’Hadopi grâce aux témoignages des internautes, la Haute autorité fonctionnerait à plein régime, envoyant toujours plus d’e-mails de menace. Pour autant, tout cela se déroule dans la plus grande opacité, puisque le juge n’est saisi que dans la dernière phase de la procédure et qu’en attendant l’Hadopi peut traiter des adresses IP et envoyer des courriers sans contrôle judiciaire et sans recours pour les personnes concernées (selon le ministère de la Culture, le recours pour excès de pouvoir devant les juridictions administratives n’est pas plus ouvert contre les courriers de l’Hadopi, ceux-ci ne faisant pas grief à l’internaute…CQFD).

Pour autant qu’on critique le système Hadopi, on doit lui reconnaître un mérite. Il permet en effet une répression du téléchargement illicite plus «juste» que celle qui est menée aux États-Unis, à coup de «reverse class action» et d’amendes exorbitantes. Mais il aurait été parfaitement possible d’aboutir à un système juste et équitable sans la lourdeur et la complexité de la procédure Hadopi. En Suède, par exemple, un internaute a été condamné à payer 229 euro d’amende pour avoir téléchargé 44 chansons (soit 5,2 euro par chanson ; pour information, la plupart des morceaux sur iTunes sont vendus entre 0,99 euro et 1,5 euro).

Liberté d’expression, Filtrage

En Lybie, une révolution est en cours, un peu comme celles qui viennent d’avoir lieu en Tunisie et en Égypte. En Lybie, comme ce fut le cas en Tunisie et en Égypte, le pouvoir tente de censurer le Web. Cela montre, une fois encore, la peur que les dictateurs ont de ce nouveau moyen de communication permettant des échanges directs et libres entre les personnes. Les dirigeants chinois ne s’y trompent pas, et intensifient encore la censure d’Internet.

Les autorités américaines reconnaissent le blocage de 84 000 sites licites dans le cadre de la lutte contre la pédopornographie en ligne. Comme nous l’avions dit la semaine dernière, cela incite à s’interroger sur le bien fondée du filtrage prévu par la loi française LOPPSI. Celle-ci est actuellement devant le Conseil constitutionnel, qui devrait rendre sa décision prochainement. Une autre décision, de la Cour constitutionnelle allemande, devrait être rendue sur la loi allemande sur le blocage des sites pédopornographiques, qui est comparable sur certains points à la LOPPSI.

Régulation, neutralité du Net

Le blocage de sites légitimes aux États-Unis soulève une autre question : la place occupée par ce pays dans la régulation du réseau. La plupart des infrastructures d’Internet sont aux États-Unis, si bien qu’elles se trouvent soumises aux lois et à la justice de ce pays(es). En cas de conflit de lois ou de décisions de justice, le droit américain aura toujours le dernier mot. Certains, et notamment l’ICANN, y voient une menace pour la gouvernance d’Internet.

Au même moment, le géant Google se trouve au centre de trois questions importantes relatives à la neutralité du Net. 1) D’abord, la société américaine fait l’objet d’une nouvelle plainte auprès de la Commission européenne. Google est accusée d’abuser de sa position dominante dans le domaine de la recherche, en privilégiant ses propres sites dans son algorithme de recherche(en). 2) Ensuite, Google a justement annoncé cette semaine une modification de son algorithme visant à privilégier les sites fournissant un contenu original au détriment des «fermes de contenu»(es). Il s’agit de sites qui «aspirent» le plus de contenu possible, en provenance de diverses sources, afin d’attirer le plus d’internautes possible et de gagner de l’argent grâce à la publicité ; cependant, les contenus aspirés ne sont pas classés ou analysés, ils n’ont aucune valeur ajoutée, et ne sont souvent utiles en rien aux internautes. Autrement dit, ces sites sont au Web ce que le Spam est aux e-mails. Il est donc difficile de reprocher à Google de les filtrer… même si, ce faisant, il perd de sa neutralité ! 3) Enfin, Google a déposé un amicus curiae (en common law, mémoire donné au tribunal par un tiers dans lequel ce dernier expose son analyse juridique de l’affaire) dans l’affaire IsoHunt (moteur de recherche de fichiers .torrent). Pour Google, IsoHunt est bien destiné au téléchargement illicite ; il ne peut donc être protégé par la jurisprudence Grokster. Cependant, Google estime que cela ne devrait pas suffire à exclure la protection conférée par la loi DMCA aux intermédiaires (telle est la qualification des moteurs de recherche), car les deux questions sont indépendantes l’une de l’autre.

• 1534 mots • #Internet #neutralité #téléchargement #Google #vie privée #données personnelles #Facebook #filtrage #réseaux sociaux #LCEN #Hadopi #LOPPSI #censure #USA #liberté d'expression #droit international #régulation #ICANN
"GF", "login"=>"gflorimond", "email"=>"[email protected]", "url"=>""}" itemtype="https://schema.org/Person" />
20 Fév 2011

L’actualité des nouvelles technologies est, cette semaine, très judiciaire. Hormis la saisine(pdf) du Conseil constitutionnel contre la loi LOPPSI2, elle est en effet dominée par plusieurs décisions de la Cour de cassation relatives à la responsabilité des intermédiaires.

LOPPSI 2

C’est l’article 4 de la LOPPSI2 qui continue de faire polémique. On sait que cet article permet le filtrage du réseau dans le cadre de la lutte contre la pédopornographie. Bien entendu la finalité, parfaitement légitime, n’est pas contestée. Ce sont les moyens (le filtrage), et leurs conséquences qui sont dénoncés.

D’aucuns craignent en effet que l’autorisation de censurer des sites pédopornographiques soit ensuite étendue à d’autres sites, comme les sites de partage illicite d’œuvres protégées par le droit d’auteur. Un tel filtrage existe en Australie, et il a servi à bloquer, notamment, des sites de jeu en ligne, des pages de Wikipédia ou de Wikileaks.

Ensuite, ce sont les effets «collatéraux» des mesures de filtrage qui sont dénoncés. Le filtrage basé sur des «listes noires» et reposant sur un blocage DNS ne ferait pas dans la dentelle et causerait, pour bloquer un site illicite, la censure de nombreux sites licites et légitimes. Aux États-Unis, par exemple, ce ne sont pas moins de 84000 sites qui ont été bloqués à tort par des mesures prises pour lutter contre la pédopornographie.

Cette situation a amené la Commission des libertés civiles du Parlement européen à rappeler que le filtrage devait répondre aux principes de nécessité et de proportionnalité, et que les titulaires de sites bloqués devaient être en mesure d’exercer un recours en justice contre la mesure de blocage.

LCEN

La Loi pour la Confiance dans l’Économie Numérique (LCEN) du 21 juin 2004, transposant la directive européenne «commerce électronique», prévoit à son article 6 un régime spécial de responsabilité pour les «intermédiaires» d’Internet, et plus particulièrement pour les «hébergeurs». Les hébergeurs permettent à des tiers de diffuser du contenu sur le réseau, sans opérer eux-mêmes de contrôle sur ce contenu. N’exerçant pas d’activité éditoriale, ils sont en principe exonérés de responsabilité pour la diffusion de contenus illicites et les dommages causés par cette diffusion. En revanche, ils engagent leur responsabilité lorsqu’ayant été notifiés de la diffusion d’un contenu manifestement illicite, ils n’ont rien fait pour la faire cesser. Leur faute ne réside donc pas dans un comportement actif (la diffusion du contenu, qui est le fait de l’éditeur ou de l’auteur), mais dans leur passivité (ils n’ont rien fait pour faire cesser la diffusion d’un contenu qu’ils savaient illicite).

Les avantages d’un tel système sont évidents pour qui est qualifié d’hébergeur : la garantie de pouvoir diffuser du contenu sans être tenu responsable civilement ou pénalement de son illicéité. Cela profite également à la liberté d’expression, puisque les hébergeurs n’ont pas à opérer de censure (contrôle a priori) des contenus diffusés. Ce n’est qu’a posteriori, après la diffusion, que l’hébergeur doit contrôler la licéité d’un contenu, si et seulement si celui-ci lui est dûment signalé (le formalisme est drastique) comme étant illicite.

On comprend donc qu’un grand nombre d’opérateurs du Web 2.0 aient tenté d’obtenir la qualification d’hébergeur. La définition de l’hébergeur a été élaborée au début des années 2000, à l’époque où le Web 2.0 ou «social» n’existait pas encore, en des termes technologiquement neutres. On se retrouve donc dans une situation où la loi, bien que n’ayant pas été prévue pour s’appliquer à ces nouveaux sujets, peut s’appliquer à eux grâce à sa formulation plutôt abstraite. La jurisprudence en la matière est très dense (on n’y reviendra pas ici), et l’on compte autant de décisions qui admettent que YouTube, Dailymotion, eBay, Facebook ou d’autres sites semblables sont des hébergeurs, que de décisions qui rejettent cette qualification. La question a été soulevée en France comme ailleurs, sans jamais être réellement tranchée.

Une nouvelle étape a cependant été franchie cette semaine, par la première chambre civile de la Cour de cassation, dans un arrêt du 17 février 2011 où elle qualifie Dailymotion d’hébergeur (voir aussi l’arrêt rendu dans l’affaire Fuzz). La Cour revient ainsi sur sa jurisprudence précédente, résultant de l’arrêt Tiscali du 10 janvier 2010. L’arrêt rendu entre temps par la CJCE n’y est sans doute pas pour rien.

La qualification d’hébergeur attribuée à Dailymotion constitue un sérieux obstacle pour les ayants droit lancés dans la lutte contre la contrefaçon. En effet, ces derniers ne pourront plus assigner directement en justice les sites communautaires ; ils devront d’abord contacter l’internaute à l’origine de la diffusion du contenu pour lui en demander le retrait (ou échouer à le contacter) puis, s’il refuse d’obtempérer, signaler l’illicéité de ce contenu à l’hébergeur et attendre qu’il le retire. Ce n’est que si l’hébergeur ne retire pas le contenu qu’ils pourront l’assigner en responsabilité.

On l’aura compris : les ayants droit veulent que les sites communautaires soient qualifiés d’éditeurs, pour que l’application du régime de responsabilité de droit commun les incite à filtrer a priori les contenus publiés par les internautes, tandis que les sites communautaires eux-mêmes soutiennent qu’ils agissent en tant qu’hébergeurs, de manière à être exonérés de responsabilité tout en profitant parfois (souvent, pour certains) de la diffusion de contenus illicites. Il y a donc une part de mauvaise foi dans les deux camps : les ayants droit tentent par tout moyen de censurer Internet, et les sites communautaires font semblant de croire que l’enjeu du contentieux est le régime de responsabilité des intermédiaires (en réalité, celui-ci n’est jamais contesté) alors qu’il réside en réalité dans leur qualification juridique. Autrement dit, il n’est pas contesté que les hébergeurs n’ont pas d’obligation de surveillance des contenus hébergés, il est contesté que les sites communautaires soient des hébergeurs (et l’on trouve la raison de cette contestation dans ce qui a été dit plus haut : la rédaction de la loi dans des termes technologiquement neutres, à une époque où le Web 2.0 n’existait pas).

C’est dans ce contexte qu’intervient un récent rapport sénatorial proposant une troisième voie, à mi-chemin entre hébergeur et éditeur. Les sénateurs constatent d’abord que les sites communautaires, contrairement aux hébergeurs traditionnels (ceux qui ne font qu’offrir des machines à la location), ont un intérêt économique direct à diffuser le contenu fourni par les internautes. Plus ce contenu est intéressant pour les internautes, plus il y aura de visites et plus les revenus issus de la publicité contextuelle augmenteront. Or, l’on sait que les contenus contrefaisants sont particulièrement attrayants… Cette constatation des sénateurs est parfaitement fondée. En revanche, leur proposition l’est moins, puisqu’elle réintroduit une obligation à la charge des sites communautaires «de mettre en place tous moyens propres à assurer une surveillance des contenus qu’ils hébergent». Cela revient à imposer la censure, alors qu’elle devrait être interdite et le sort des contenus déterminé a posteriori par leur licéité.

La question de la qualification des sites communautaires fera donc sans doute couler encore beaucoup d’encre…

• 1162 mots • #Internet #responsabilité #Facebook #LCEN #surveillance #Hadopi #LOPPSI #droit d'auteur #liberté d'expression #FAI #intermédiaires
"GF", "login"=>"gflorimond", "email"=>"[email protected]", "url"=>""}" itemtype="https://schema.org/Person" />
13 Fév 2011

Nous revenons cette semaine sur le vote de la loi LOPPSI 2 (1), l’affaire de la présence d’un commissaire du gouvernement à l’ARCEP (2), la taxation de l’iPad avec la redevance pour la copie privée (3), le filtrage du réseau et le rôle des intermédiaires (4).

LOPPSI 2

L’événement marquant dans l’actualité des nouvelles technologies, cette semaine, est le vote de la loi LOPPSI 2 (dont nous avions parlé à plusieurs reprises lors de son élaboration). Avant de parler à nouveau de la LOPPSI, rappelons 3 choses : 1) il s’agit d’une loi sécuritaire à portée générale, qui contient des dispositions relatives aux nouvelles technologies, sans toutefois se cantonner à ce domaine ; 2) le danger représenté par certaines dispositions n’est pour le moment que potentiel : tout dépendra de la mise en œuvre de la loi ; 3) il faudra donc attendre, pour pouvoir formuler des critiques concrètes, que les décrets d’application soient publiés et que la jurisprudence sur l’interprétation de la LOPPSI se forme. En outre, on précisera que le Conseil constitutionnel pourrait être saisi par l’opposition afin d’examiner la conformité de la LOPPSI à la constitution.

Ce rappel étant effectué, on peut signaler les 3 points les plus importants pour le droit des nouvelles technologies :

  • L'article 4 permet la mise hors ligne d'images pédopornographiques. La critique principale formulée à l'encontre de cet article est l'automaticité de la procédure (administrative) qui pourrait conduire, craignent les contempteurs de la LOPPSI, à une censure du réseau.
  • L'article 36 (ancien article 23) permet à la police, sur autorisation judiciaire, de mettre en œuvre des mesures d'espionnage informatique. L'une des mesures est l'installation d'un spyware/keylogger.
  • L'article 2 sanctionne l'usurpation d'identité en insérant un nouvel article dans le Code pénal, ainsi formulé : « Art. 226-4-1. – Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000 € d’amende. » -- « Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne. » La critique principale de cet article réside dans le risque d'atteinte à la liberté d'expression.

La LOPPSI contient bien d’autres dispositions relatives au droit des nouvelles technologies. On remarquera ainsi que, sans créer de nouveau dispositif, elle adapte plusieurs articles de loi aux nouvelles technologies. Par exemple, l’article 3 complète des dispositions pénales en ajoutant, après « en bande organisée », « ou sur un réseau de communication au public en ligne ».

ARCEP et commissaire du gouvernement

Dans un tout autre domaine, celui de la régulation des télécommunications, le gouvernement a décidé d’être représenté à l’ARCEP. Rappelons que l’ARCEP est une autorité de régulation des télécoms indépendante du pouvoir exécutif.

L’ARCEP, qui compte bien rester indépendante, s’oppose à la proposition du gouvernement. L’Union européenne rejoint l’ARCEP en désapprouvant la position du gouvernement. Le Sénat également, voit d’un mauvais œil cette ingérence de l’exécutif dans l’activité d’une autorité de régulation indépendante.

Redevance copie privée

Le prix de l’iPad devrait augmenter de 12 euro. L’augmentation est due à l’application de la taxe pour la copie privée qui a pour but de compenser le manque à gagner, pour les ayants droit, résultant de la copie privée d’œuvres protégées par le droit d’auteur (car si l’on copie une œuvre, on ne l’achète pas une deuxième fois).

Cette mesure est jugée absurde par de nombreux experts. En effet, elle porte uniquement sur les appareils sous Apple iOS et Google Android, à l’exclusion de ceux sous Linux et Windows.

Pourquoi cela est-il incohérent ? Deux raisons peuvent être invoquées. La première prête à sourire : Android est un système Linux ; il est donc contradictoire de taxer Android tout en exonérant Linux.

La deuxième est plus sérieuse. Commençons par nous demander pourquoi taxer les tablettes. Comme il a été dit plus haut, la redevance pour la copie privée a pour but de compenser le manque à gagner résultant de la copie privée. On taxe donc les tablettes parce qu’elles permettent de réaliser des copies privées d’œuvres soumises au droit d’auteur, tout comme les baladeurs MP3 ou les CD vierges (qui sont aussi taxés). Poursuivons en nous demandant si les tablettes iOS/Android sont différentes, à ce titre, des tablettes Windows/Linux. La réponse est affirmative : les tablettes iOS/Android (particulièrement les iPad), évoluent dans un écosystème plus fermé que les tablettes Windows/Linux, ce qui rend la copie privée plus difficile (notamment chez Apple, avec les DRM). On en conclut que les tablettes Windows/Linux ont plus de raisons encore que les tablettes iOS/Android d’être soumises à la taxe pour la copie privée.

Alors, pourquoi distinguer entre les tablettes iOS/Android et les tablettes Windows/Linux ? Il y a une raison théorique et une raison pratique.

La raison théorique est la suivante : les systèmes iOS/Android sont conçus spécifiquement pour les tablettes, qui se distinguent à ce titre des véritables «ordinateurs» ; en revanche, Windows et Linux sont des systèmes d’exploitation d’ordinateur. Or, iOS et Android partent du principe, dans leur conception, que les tablettes servent principalement à consulter du contenu. Windows et Linux ne partent pas de ce principe, et ne distinguent pas entre création et consultation de contenus. On peut donc en conclure (bien qu’en pratique une telle conclusion soit hautement contestable) que l’utilisateur d’iOS/Android fera des copies privées, alors que celui de Windows/Linux n’en fera pas nécessairement.

La raison pratique est moins légitime. Le premier fabricant français de tablettes (Archos) produit des tablettes sous Windows/Linux, et non sous iOS/Android. Il échappe donc à la taxation, contrairement à la majorité de ses concurrents qui sont des sociétés étrangères produisant des tablettes sous iOS/Android. Il s’agirait donc simplement d’une mesure protectionniste.

Propriété intellectuelle, neutralité du Net et filtrage

La Cour de cassation a rendu cette semaine un arrêt très attendu. Le problème était le suivant : les sites de partage illicite (direct download, streaming, liens bittorrent…) sont financés, en grande partie, par la publicité ; un des meilleurs moyens de les faire cesser étant de couper leur financement, les ayants droit se sont attaqué aux annonceurs. Les annonceurs font appel à une régie publicitaire qui, à son tour, achète des emplacements publicitaires sur les sites. La Cour relève que les annonceurs ne sont pas en contact direct avec ces sites, et qu’ils ne sont pas au courant du caractère illicite des informations qu’ils diffusent. Par conséquent, ils ne sont pas responsables.

Une autre affaire, actuellement pendante devant la CJUE, concerne la segmentation par pays des boutiques en ligne de musique ou de vidéos. Or, l’avocat général près la CJUE estime, dans ses conclusions, qu’une telle segmentation est contraire au principe de liberté de prestation de services consacrée par le traité instituant l’UE.

Plus inquiétant, le projet de loi COICA revient à l’ordre du jour au Congrès américain. Ce projet (donc nous avions déjà parlé à plusieurs reprises) a pour but d’impliquer les intermédiaires (les fournisseurs d’accès et les hébergeurs, principalement), les services de paiement en ligne et les régies publicitaires, dans la lutte contre la contrefaçon en ligne.

Sur le même thème du filtrage, une étude d’OpenDNS nous apprend que la censure touche principalement les sites pornographiques et Facebook (au vu des événements récents en Tunisie et en Égypte, on comprend pourquoi…). En France, le FAI Orange confirme à nouveau qu’il refuse le filtrage DPI (rappel : il s’agit d’analyser le contenu des communications sur le réseau, comme si La Poste ouvrait les enveloppes pour lire les lettres). Cette position courageuse risque de ne pas tenir, car il existe bel et bien une tendance générale, au niveau mondial, à transformer les intermédiaires techniques en «gendarmes de la toile»(en).

Aux États-Unis, l’association d’ayants droit MPAA a porté plainte contre l’hébergeur de fichiers Hotfile. La MPAA reproche à Hotfile d’avoir construit un modèle économique sur le partage de fichiers contrefaisants. Cela est en effet indéniable : si les hébergeurs comme Hotfile, Rapidshare et Megaupload ont tant de clients, c’est bien parce qu’ils hébergeur de la musique et des films. Peu de gens ont besoin de disposer d’un énorme espace de stockage pour partager leurs créations musicales ou leurs films de vacances. Les services d’hébergement et de téléchargement n’auraient pas connu un tel succès s’ils ne permettaient d’échanger que des fichiers licites. Pourtant, l’action de la MPAA va probablement échouer. En effet, d’une part, s’il est possible de prouver que tel ou tel fichier illicite est hébergé par tel ou tel service, il est quasiment impossible de prouver que ce service a fondé son modèle économique sur l’hébergement de fichiers illicites. D’autre part, les hébergeurs sont protégés, aux États-Unis comme en Europe, par un régime spécial qui les exonère de responsabilité à moins qu’ils aient refusé de mettre hors ligne un contenu manifestement illicite qui leur est dûment signalé.

En Espagne, la lutte contre le partage illicite de fichiers protégés par les droits d’auteur continue, avec la loi Sinde dont nous avions parlé en décembre dernier, et qui (es) revient aujourd’hui sur le devant de la scène. La loi devrait être votée prochainement et entrer en vigueur cet été.

• 1566 mots • #téléchargement #linux #LOPPSI #USA #Tunisie #Orange #COICA #Sinde #FAI #intermédiaires