Valhalla.fr
Sic Itur Ad Absurdum
29 Mai 2011 Numéro 59 - Semaine du 23 au 29 mai 2011

La revue de cette semaine sera centrée sur l’eG8, le forum international (24-25 mai) en marge du G8 consacré à la régulation d’Internet.

Qu’est-ce que l’eG8 ? L’eG8 est un forum international dédié à Internet, c’est-à-dire une réunion de différentes personnes venant du monde entier, compétentes dans le domaine d’Internet et des nouvelles technologies. Le but d’un tel forum est de discuter des grands problèmes relatifs à la régulation d’Internet, en prenant en compte différents points de vue (politique, économique, social, juridique, etc.).

Qui était présent à l’eG8 ? Étaient présents les représentants de grandes entreprises comme Facebook ou Google, les représentants d’ayants droit, le pouvoir exécutif (président de la République et ministres), des personnes renommées dans le monde d’Internet comme John Perry Barlow, des représentants d’associations de défense des internautes (EFF, La Quadrature, etc.).

Problématique, louanges et critiques. On ne peut que louer, a priori, l’initiative française d’organiser un sommet international dédié à Internet. En effet, d’un côté le réseau est mondial et les grands opérateurs fournissant leurs services dans une multitude de pays et, de l’autre côté, la plupart des législations et des réglementations applicables dans le monde virtuel demeurent de source et de portée nationales. Discuter afin de comprendre ce qui se fait ailleurs et d’adapter en fonction de cela ses propres initiatives est donc une bonne chose. Cela étant dit, un tel sommet soulève aussi des craintes. Pourquoi, en effet, se réunir si ce n’est pour trouver des solutions communes ou coordonnées aux problèmes qui se posent ? La crainte majeure des associations de défense des droits des internautes est donc que l’eG8 tourne au complot, en quelque sorte, entre les dirigeants politiques et les grandes entreprises, afin d’imposer la surveillance des internautes et le contrôle des contenus du réseau.

La Quadrature du Net qualifie l’eG8 «d’écran de fumée derrière lequel se cache une inquiétante alliance de gouvernements cherchant à contrôler Internet et de quelques entreprises qui tirent profit des restrictions aux libertés en ligne». Il est vrai que certains faits peuvent le laisser penser. D’abord, il y a une certaine forme de rhétorique employée de manière récurrente par le pouvoir exécutif français : l’on parle de «civiliser» Internet (ce que l’on peut comprendre comme un synonyme de «coloniser», en imposant certaines valeurs occidentales), car le réseau peut véhiculer «le mal» (concept moral totalement ajuridique). Ensuite, il y a les dernières lois françaises, notamment Hadopi et Loppsi, qui vont clairement dans le sens de la prévention et de la répression, c’est-à-dire de la restriction (légitime ou non, ce n’est pas la question à ce stade) des libertés individuelles. Enfin et surtout la crainte que les opérateurs privés participent volontiers à la limitation des droits des internautes, en collaborant avec les gouvernements : l’exemple de l’entreprise américaine Cisco accusée d’avoir favorisé la répression politique en Chine est significatif.

Mais tout n’est pas aussi noir. La rhétorique de la «responsabilisation» remplace celle de la «civilisation». Il s’agit là d’un concept juridique (et philosophique) très important : lorsqu’on est libre d’agir, il faut ensuite assumer ses actes et en répondre lorsqu’ils causent préjudice à autrui. «Responsabiliser» les opérateurs et les internautes n’est donc pas, a priori, une mauvaise idée. Le problème devient alors politique, puisque si l’on est libre et responsable, l’on doit faire des choix. L’exemple topique est celui de la transparence. D’un côté, la transparence la plus totale dans l’expression peut causer préjudice à autrui, en violant notamment le droit à la vie privée et les droits de propriété intellectuelle. D’un autre côté, à trop vouloir protéger ces droits, l’on restreint la liberté d’expression et l’on tombe rapidement dans la censure. Tout est donc une question de dosage.

Mais le bon dosage ne peut être trouvé, s’agissant d’Internet. Quoi que l’on fasse, il y aura trop de restrictions d’un côté ou de l’autre de la balance, selon que l’on adopte l’un ou l’autre des points de vue antagonistes (partisans de la liberté d’expression / partisans de la protection de la vie privée, par exemple). Pour autant, ce n’est pas une raison pour ne rien faire, car de telles divergences ont existé de tout temps, et le droit a dû faire avec elles. L’originalité du problème réside dans la dimension internationale d’Internet qui rend largement inopérantes les initiatives nationales et appelle des solutions internationales. L’exemple de l’affaire DSK, dont nous parlions la semaine dernière, l’illustre parfaitement : le débat vie privée et présomption d’innocence contre liberté d’expression existe depuis fort depuis longtemps, tant en France qu’aux États-Unis, mais la balance ne penche pas du même côté pour les Européens et pour les Américains ; lorsque le litige est interne, il peut tout simplement être tranché selon les valeurs locales ; en revanche, Internet étant mondial, ces réponses nationales entrent forcément en collision les unes avec les autres.

Cela étant dit, il reste permis de critiquer l’organisation de l’eG8, qui révèle certaines priorités de ses organisateurs. La CNIL, par exemple, n’a pas été invitée, contrairement à certaines grandes sociétés dont le modèle économique est fondé sur le traitement des données personnelles des internautes. Ensuite, le débat a été largement centré sur les questions de propriété intellectuelle, la loi française Hadopi étant présenté comme un exemple. Un tel exemple est-il pertinent ? Pour ceux qui l’invoquent, il n’est certainement ; mais d’autres voix se sont fait entendre, comme celle de John Perry Barlow qui milite pour la liberté de circulation de la culture, ou celle du célèbre juriste américain Lawrence Lessig pour qui le système Hadopi n’a pas d’avenir. Enfin et surtout, d’aucuns déplorent la sous-représentation de la société civile (i.e. les organismes de défense des droits des internautes) au sommet, en comparaison avec les gouvernements, les ayants droit et les industriels sur-représentés. Reprenant le slogan de Google, «Do No Harm» («ne pas nuire»), les représentants de la société civile militent pour un Internet neutre et ouvert, loin de l’Internet fermé, destiné à protéger les intérêts des industriels, qu’ils dénoncent.

Dans ce contexte, la définition du principe de «neutralité du Net» s’annonce comme la prochaine grande bataille du droit des nouvelles technologies…

• 1037 mots • #Internet #neutralité #données personnelles #libre #international #gouvernement #surveillance #Hadopi #LOPPSI #censure #FAI #régulation #eG8
22 Mai 2011 Numéro 58 - Semaine du 16 au 22 mai 2011

Au sommaire cette semaine : un nouveau scandale touchant la sécurité des données personnelles, la régulation d’Internet au programme du G8 et, comme si l’on n’en avait pas suffisamment parlé dans les médias traditionnels, l’affaire DSK.

Données personnelles

Nous parlions, la semaine dernière, des vols de données personnelles et de l’obligation incombant au responsable du traitement d’assurer la sécurité des données qu’il conserve. Nous en parlons à nouveau cette semaine, avec une nouvelle affaire grave et complexe : l’affaire TMG, du nom de la société française qui surveille les réseaux de partage P2P dans le cadre de la «riposte graduée» du système Hadopi.

Les faits : samedi dernier, plusieurs milliers d’adresses IP et de références de fichiers surveillés sur le réseau P2P BitTorrent ont été divulguées par erreur par la société TMG. Le site Numerama, qui a obtenu une archive des fichiers divulgués, rapporte que la fuite porte sur les données suivantes : les adresses IP des serveurs permettant la publication des fichiers, les adresses IP des clients connectés à ces serveurs, les adresses IP des pairs connectés à ces clients. Toujours selon Numerama, beaucoup d’adresses IP seraient étrangères, mais certaines auraient été attribuées à des internautes français. Par ailleurs, l’archive contient des fichiers anciens, qui remontent jusqu’au mois d’avril 2008, ce qui nous amène à nous interroger, avec Numerama, sur le respect des règles relatives à la durée de conservation des données (rappelons que la directive «data retention» de 2006 fixe un plafond de 2 ans, que l’article L34-1 CPCE et le décret n°2011-219 fixent un délai maximal de rétention de 1 an s’agissant des données de communication).

Première réaction : des moqueries, ou le fait que «l’arroseur arrosé» continue de faire rire. En effet, tout le système Hadopi repose sur une nouvelle incrimination, indépendante du délit de contrefaçon : la «négligence caractérisée» conduisant au «défaut de sécurisation» de l’accès à Internet, celui-ci ayant pu être utilisé afin de partager des fichiers illicites. Voilà donc qu’une société impliquée dans la «riposte graduée», en collaboration avec l’Hadopi, se trouve à son tour accusée d’avoir fait preuve de négligence dans la sécurisation des données collectées.

Deuxième réaction : on se demande comment la CNIL va réagir, car les enjeux de cette réaction sont importants. Il ne s’agit pas seulement, en effet, de sanctionner la société TMG, en application de la loi «Informatique et Libertés», si elle se révèle fautive. La collecte et le traitement des données dans le cadre de la «riposte graduée» du système Hadopi est soumise à une autorisation administrative délivrée par la CNIL (et non à une simple déclaration). Par conséquent, si la CNIL retirait son autorisation à TMG, la société nantaise ne pourrait plus collecter des données sur les réseaux de partage, pour les transmettre ensuite à l’Hadopi. Or, et c’est là que l’affaire prend des airs de fiasco, TMG est actuellement la seule société ayant l’autorisation de collecter des données dans le cadre de la riposte graduée. Il en résulte que, si la CNIL retirait son autorisation, tout le système Hadopi s’en trouverait paralysé !

Troisième réaction et première conséquence : l’Hadopi coupe les ponts avec TMG. Du moins provisoirement, par précaution, car un membre de l’Hadopi a avoué que la Haute autorité ignorait «ce qu’il se passe réellement dans les serveurs de TMG». Concrètement, l’Hadopi ne recevra plus de nouvelles adresses IP relevées par TMG, mais elle poursuivra l’analyse des adresses communiquées jusqu’à présent. La durée de conservation maximale étant fixée par la loi à 1 an, les données antérieures à mai 2010 ne pourront pas être traitées, et les données relevées de mai 2010 à mai 2011 pourront être traitées jusqu’en mai 2012. En revanche, à partir de maintenant et jusqu’à ce que l’Hadopi reçoive de nouvelles données, le système de riposte graduée est paralysé. L’information est relayée à l’étranger(en).

Quatrième réaction : la parole est donnée à la défense, TMG. Selon la société, les données proviendraient d’un serveur de test, et non d’un serveur «de production» utilisé dans le cadre de la riposte graduée. L’argument peine à convaincre, lorsqu’on sait que les fichiers divulgués contiennent des adresses IP récentes attribuées à des internautes français. Dans le même temps, les ayants droit reprennent l’argumentation de TMG, avec une rhétorique plutôt hésitante.

Cinquième réaction et deuxième conséquence : la CNIL s’en mêle. C’est un tweet laconique qui l’indique : la CNIL est à Nantes pour contrôler TMG. Comme nous le disions précédemment, les enjeux de ce contrôle sont importants : si la CNIL rend rapidement un rapport favorable à TMG, la riposte graduée pourra reprendre ; en revanche, si la CNIL retire son autorisation à TMG, c’est tout le système Hadopi qui se retrouvera figé pendant une période indéterminée (et qui pourrait s’avérer longue…).

Sixième réaction et troisième conséquence : des poursuites sont envisagées. Les serveurs de TMG ayant été prétendument «piratés», un délit d’intrusion dans un système informatique aurait été commis. TMG a donc annoncé avoir déposé une plainte contre les «pirates» puis, peu de temps après, l’avoir retirée. En effet, suivez la logique : si les données sont protégées, il n’y a pas de violation de la loi «Informatique et Libertés» qui impose leur sécurisation, et l’accès à ces données sans autorisation constitue un délit d’intrusion dans un système informatique, passible de poursuites ; en revanche, si les données sont librement accessibles, il n’y a pas de délit d’intrusion, mais il y a violation de l’obligation de sécurisation. En l’occurrence, les données étaient librement accessibles, la plainte était donc vouée à l’échec, et c’est probablement la raison pour laquelle elle fut retirée.

Septième réaction : les suites. Car il y en aura, des suites. Plusieurs questions se posent, notamment sur l’avenir du système Hadopi, sur le fonctionnement de TMG et plus généralement sur la «traque» des internautes sur les réseaux de partage, sur les moyens de sécurisation des données, etc. Nous aurons très certainement l’occasion d’en reparler.

Régulation, libertés et censure

L’autre information importante de la semaine, parfaitement scandaleuse, porte sur la politique française en matière de contrôle d’Internet, et plus particulièrement du «Web social».

Le prochain sommet du G8, qui se tiendra à Deauville, aura notamment pour thème la régulation d’Internet. Mais quelle sera la position de la France sur cette question ? Il apparaît dans les travaux préparatoires du sommet qu’il y a un gouffre entre la position défendue par l’ancien ministre des Affaires étrangères, Bernard Kouchner, et celle soutenue par l’Élysée.

En parlant «gouffre», nous ne faisons pas dans l’hyperbole. Voici, en effet, les deux positions, sans caricature aucune : <ul> <li>Pour le ministre des Affaires étrangères : la défense de la liberté d’expression sur le réseau, la lutte contre la censure et le filtrage, au niveau international, la réflexion sur les moyens de garantir que le réseau reste ouvert, neutre et respectueux de la vie privée de chacun.</li> <li>Pour l’Élysée : le contrôle, la surveillance, le filtrage, la censure.</li> </ul> <p>Pourquoi une telle divergence ? La raison est simple : le ministre et le président n’envisagent pas la «régulation» d’Internet pour les mêmes raisons, et ils n’ont pas les mêmes faits en tête.

Le ministre, d’abord, pense à l’importance revêtue par les réseaux sociaux et la communication directe entre les internautes lors des révolutions dans le monde arabo-musulman. Nous en avons déjà parlé ici : les réseaux sociaux ne sont ni la cause ni la conséquence de ces révolutions démocratiques, mais ils ont joué un rôle (très) important en permettant des soulèvements de masse rapides. S’ils ont pu jouer un tel rôle, c’est que leurs infrastructures sont physiquement localisées dans des États démocratiques, hors de portée des régimes dictatoriaux. Pour le ministre, il faut donc montrer l’exemple, et garantir qu’Internet reste libre et ouvert dans nos démocraties occidentales, afin que les internautes subissant la dictature puissent s’exprimer sans subir la répression du pouvoir local. En outre, la censure est contraire au droit français (qui consacre le principe de liberté en matière d’expression) ce qui rend, dans beaucoup de cas, le filtrage illicite. C’est donc aussi pour la protection des droits des internautes français (ou, plus largement, européens) qu’Internet doit rester ouvert et libre.

L’Élysée, au contraire, pense aux droits de propriété intellectuelle et aux intérêts financiers des ayants droit (l’argent, encore l’argent… rien de bien nouveau là-dedans). La dialectique et la rhétorique qui l’accompagne sont connues : le «piratage» est un «fléau», il faut le «prévenir» et le «réprimer», en «surveillant» les internautes (cf. Hadopi) afin de les dissuader, et en «contrôlant» les contenus échangés afin de les «filtrer» et de «bloquer» les fichiers illicites.

Les grands opérateurs d’Internet semblent préférer la position du ministre (ce qui est, en un sens, bien compréhensible, puisqu’elle favorise leurs activités). Google, par exemple, soutient cette semaine, par la voix d’Eric Schmidt (président du Conseil d’Administration)(en), que le filtrage d’Internet rapproche nos démocraties occidentales de la Chine, s’agissant du contrôle de l’expression. La société américaine s’oppose à l’usage de moyens disproportionnés, nuisibles à la liberté d’expression (et, au passage, au droit à la vie privée et à la protection des données), dans le cadre de la prévention et de la répression de la contrefaçon en ligne.

La Commission Européenne refuse pour l’instant d’instaurer un filtrage généralisé d’Internet au niveau européen. Mais dans le même temps, le filtrage arrive en Autriche, par une décision de justice ordonnant le blocage d’un site de streaming. Et la censure d’Internet continue de progresser dans le monde(en)

Digressions et participation à l’emballement médiatique

L’affaire judiciaire qui accapare actuellement l’attention des médias français est l’affaire DSK. Elle ne concerne pas directement l’actualité des nouvelles technologies ; aussi, ce qui suit est légèrement hors sujet. Nous avons toutefois décidé de faire deux remarques qui nous semblent pertinentes dans le cadre du thème de cette revue.

La première remarque concerne à la fois la diffusion des images de DSK menotté et la publication du nom de la victime alléguée dans la presse française. Ces deux informations sont perçues de manière différente selon le côté de l’Atlantique où l’on se place. Aux États-Unis, les victimes alléguées sont très protégées, et il est inconcevable pour la presse de publier leur nom dès le début d’une affaire telle que celle qui nous occupe ; en France, au contraire, si l’accusé est connu, il semble normal que l’accusatrice le soit aussi. Aux États-Unis, il est normal de montrer un suspect menotté, le présentant comme un coupable avéré plutôt que potentiel, alors qu’en France la diffusion d’un tel message est contraire à la présomption d’innocence et ouvre droit à réparation (article 9-1 Code civil).

Cela étant dit, voici où nous voulons en venir : si les deux informations ont été diffusées à la fois aux États-Unis et en France, c’est principalement grâce à Internet. Or, s’agissant de telles informations, en l’état actuel du droit et de la technologie, aucune mesure de filtrage ou de blocage ne peut empêcher leur diffusion. Quoi que l’on fasse, l’information parviendra au public visé ou la recherchant. Cela montre deux choses : d’abord qu’il est illusoire de vouloir contrôler à tout prix l’information, et surtout des informations de cette nature ; ensuite, qu’un Internet «civilisé», contrairement à ce que dit M. Sarkozy, n’est pas un Internet «contrôlé», filtré et censuré, mais un Internet libre et ouvert, fondé sur le respect de l’autre et de ses idées, sur lequel l’on navigue en gardant à l’esprit qu’il s’agit d’un «monde» virtuel et que tout le monde ne partage pas les mêmes valeurs.

La deuxième remarque porte justement sur ces valeurs, de liberté d’expression et de présomption d’innocence, que les français et les américains ont en commun, mais qu’ils ne conçoivent pas de la même manière. En France, l’expression est libre, mais les abus de cette liberté sont sanctionnés. Or, porter atteinte à la présomption d’innocence d’autrui constitue un abus de la liberté d’expression passible de sanctions. En d’autres termes, selon le droit français, la présomption d’innocence est à mettre en balance avec la liberté d’expression, elle intervient dans le domaine médiatique et peut fonder la censure d’une information. Aux États-Unis, tout raisonnement relatif à la diffusion d’une information a pour fondement le premier amendement à la Constitution fédérale. La liberté d’expression est un droit presque absolu : il est naturellement limité lorsque les propos tenus sont faux (diffamation), mais, d’une part, les «personnages publics» tels que DSK n’ont que peu de chances d’obtenir réparation en cas de diffamation (les conditions posées par la jurisprudence sont très restrictives – cf. New York Times v. Sullivan, 376 U.S. 254 (S. Ct. 1964) et, d’autre part, il ne s’agit pas en l’espèce de diffamation, mais de la représentation d’un fait brut et indiscutable, l’accusé sortant menotté du commissariat (le fondement d’une éventuelle action, si DSK était innocenté, pourrait alors être le délit de false light – cf. W. Prosser, Privacy, 48 California Law Review 383 (1960)(PDF) et le Restatement (Second) or Torts §652E). La présomption d’innocence n’intervient donc pas à ce niveau, en droit américain. Elle intervient en revanche dans la procédure juridictionnelle qui doit, à tout moment, respecter les droits de la défense de l’accusé (ce que l’on appelle la clause due process de la Constitution). Dernière précision pour éclairer la position américaine : la victime alléguée sera bientôt interrogée par la défense, et son exposition médiatique sera sans doute égale à celle dont pâtit actuellement DSK.

• 2262 mots • #Internet #P2P #propriété intellectuelle #Google #vie privée #données personnelles #libre #international #filtrage #réseaux sociaux #piratage #Hadopi #censure #USA #liberté d'expression #régulation
15 Mai 2011 Numéro 57 - Semaine du 9 au 15 mai 2011

L’actualité du droit des nouvelles technologies est dominée, cette semaine, par plusieurs affaires relatives à la protection des données personnelles.

Protection des données personnelles

D’abord, un rebondissement dans une affaire ancienne : les serveurs de Sony, stockant les données personnelles des utilisateurs de PlayStation et des services en ligne de l’opérateur japonais, ont été «piratés» et les malfaiteurs ont dérobé les données de plusieurs millions d’internautes. Sony a réagi de plusieurs manières : la société «chasse» les données volées sur le Web, pour les retirer lorsqu’elles sont publiées, offre une récompense à toute personne en mesure de lui apporter des éléments concernant l’acte de «piratage», et retarde le rétablissement de ses services jusqu’à ce qu’ils soient mieux sécurisés. Rappelons à ce titre que, selon le droit européen, le responsable du traitement des données personnelles d’autrui a l’obligation d’assurer la sécurité de ces données. Bien entendu, aucun système de protection informatique n’est en mesure d’assurer une sécurité parfaite ; l’obligation de sécurisation des données signifie donc que le responsable du traitement doit mettre en oeuvre tous les moyens nécessaires afin d’assurer la sécurité des données, et qu’il est juridiquement responsable en cas de fuite.

De son côté, le réseau de hackers Anonymous… a été hacké. Des centaines d’adresses IP ont été publiées, donnant ainsi aux autorités la possibilité d’identifier dans le monde réel des membres du groupe Anonymous. Qui est derrière cette opération ? À qui profite-t-elle ? Quelles en seront les conséquences ? Le réseau s’en remettra-t-il ?

Une autre polémique relative aux données personnelles touche Google et Facebook. On sait que les deux sociétés américaines s’affrontent pour la domination du Web social (mais se rejoignent volontiers lorsque leurs intérêts concordent), Facebook devenant petit à petit un «portail» vers d’autres contenus qui éloignerait les internautes du moteur de recherche de Google. Or, l’on a appris cette semaine que Facebook a financé une campagne de publicité contre Google. Cette campagne invitait à s’intéresser à la manière dont le service Google Circles révélait aux internautes des données relatives aux «amis de leurs amis». Pas de chance pour Facebook, le service de Google semble être conforme à la loi américaine.

Et c’est l’arroseur arrosé : Facebook se retrouve à son tour au centre d’un scandale relatif à la sécurisation des données de ses utilisateurs. Une faille de sécurité découverte par Symantec (l’éditeur de l’antivirus Norton) aurait permis à des applications tierces, par le truchement des applications publicitaires intégrées à Facebook, d’accéder aux profils des membres du réseau social. Facebook a corrigé la faille et conseille à ses membres de changer leur mot de passe. Toute la question, dans cette affaire, est celle de savoir si la faille a été effectivement exploitée pour obtenir frauduleusement des données personnelles. Le Congrès américain s’intéresse au problème et demande des explications à Facebook.

En France, la CNIL constate la baisse du niveau de protection des données personnelles par les moteurs de recherche, en réagissant à la décision de Yahoo! (dont nous avions parlé) d’augmenter la durée de la rétention des données personnelles des internautes.

De son côté, le groupe européen en charge des questions relatives à la protection des données personnelles (le «G29», créé par l’article 29 de la directive 1995/46), réagit à la polémique suscitée par la gestion des données de géolocalisation dans les terminaux mobiles Apple (dont nous avions également parlé, à plusieurs reprises). Le G29 devrait ainsi, dans un prochain avis, qualifier les données de géolocalisation de données personnelles, et préciser les conditions dans lesquelles leur collecte, leur traitement et leur stockage sont conformes au droit européen. Affaire à suivre.

Propriété intellectuelle

Changeons de sujet, et parlons un peu de propriété intellectuelle. Le système de la riposte graduée, que nous connaissons en droit français avec la loi Hadopi, vient d’être rejeté par le législateur belge. La question qui se pose désormais est donc celle de savoir quelle sera la réponse belge au phénomène du téléchargement illicite : filtrage ou licence globale ?

En France, selon une statistique récente, 50% des internautes avertis par l’Hadopi auraient cessé de télécharger des fichiers contrefaisants. D’un autre côté, sous pression constante des ayants droit, l’Hadopi envisage le filtrage des sites de streaming. Reste à savoir quelle sera la position des autorités européennes sur cette question, le filtrage n’étant possible que dans le cadre juridique défini par la directive «commerce électronique» de 2000.

Aux États-Unis, la répression bête et méchante continue, avec l’assignation de plusieurs FAI dans le but d’obtenir l’identité de plus de 23 000 internautes suspectés d’avoir téléchargé de manière illicite le film «The Expendables».

• 783 mots • #téléchargement #P2P #propriété intellectuelle #Google #Apple #Facebook #filtrage #piratage #sécurité #Hadopi #FAI #Anonymous
8 Mai 2011 Numéro 56 - Semaine du 2 au 8 mai 2011

Propriété intellectuelle – Hadopi

Le feuilleton Hadopi continue. Après les deux premières phases de la riposte graduée, c’est la troisième phase (la dernière) qui se met progressivement en place. Et cela ne va pas sans soulever certains problèmes. Le problème dont on a parlé cette semaine est celui du maintien de la possibilité d’échanger des e-mails lorsque l’accès à Internet est suspendu.

D’où vient ce problème ? La loi parle de suspendre les services de communication au public en ligne, ce qui ne concerne pas les services de messagerie, qui relèvent de la correspondance privée des internautes. En outre, la riposte graduée à pour but d’empêcher le partage illicite d’oeuvres soumises au droit d’auteur, qui ne se fait pas par e-mail.

Pourquoi ne pas tout couper ? Il y aurait discrimination entre les internautes. Soient deux internautes, le premier utilise le service de messagerie de son fournisseur d’accès (FAI) ([email protected], [email protected], etc.) ; le second utilise un service tiers ([email protected], [email protected], etc.). Si le FAI annule les deux abonnements, le premier internaute perdra l’accès à son compte de messagerie, tandis que le second pourra toujours accéder à son compte, depuis la connexion d’un tiers.

Comment faire ? Il existe deux possibilités, l’une est acceptable et l’autre non. La première possibilité est de couper l’accès à Internet, ce qui interdit à l’internaute de consulter son courrier, tout en maintenant son compte de messagerie ouvert de manière à ce qu’il puisse relever son courrier depuis un autre point d’accès au réseau. La seconde possibilité est de maintenir l’accès au réseau de l’internaute, tout en discriminant selon la technologie : les connexions au service de courrier électronique seraient acceptées et les connexions à tous les autres services seraient refusées. Cette dernière option doit être rejetée. Elle est en effet contraire au principe de neutralité du Net selon lequel les intermédiaires techniques ne doivent pas opérer de discrimination en fonction des technologies utilisées ou des contenus échangés. Internet est un réseau d’ordinateurs offrant plusieurs types de services ; couper l’accès à Internet, c’est donc couper l’accès à tous ces services sans distinction et, réciproquement, offrir un accès à Internet c’est permettre l’accès à tous ces services sans distinction. En outre, le coût de la seconde mesure est beaucoup plus élevé que celui de la première, ce qui ne fait que rajouter au problème du financement de la riposte graduée.

Encore un grain de sable dans le mécanisme Hadopi, déjà bien mal huilé. Un spécialiste du réseau eDonkey a élaboré un logiciel réalisant des statistiques d’activité des clients (le même logiciel permet aussi de repérer le censeur chinois). Grâce à ces statistiques, il est très facile de distinguer les internautes «normaux» des ordinateurs des ayants droit qui espionnent les utilisateurs : ces derniers lancent des requêtes périodiques (en l’occurrence, toutes les 2 minutes). Une fois le «bot» (robot, ou logiciel, par opposition à utilisateur humain) repéré, il suffit de dresser la liste de ses requêtes pour savoir quels fichiers sont surveillés.

L’Hadopi envisage de s’attaquer aux sites de téléchargement direct, mais cela ne sera pas une mince affaire. En vrac : le régime de responsabilité des intermédiaires protège ces sites, souvent qualifiés d’hébergeurs ; les internautes peuvent utiliser un service de proxy VPN pour y accéder, et masquer ainsi leur adresse IP réelle ; même s’ils ne la masquent pas, l’adresse IP n’est accessible que si le site de téléchargement veut bien la révéler, ce qui est plus qu’incertain pour les sites hébergés en dehors de l’UE (et non soumis à la directive «data retention» de 2006) ; reste la solution du filtrage, mais il devrait reposer sur une analyse DPI, car tous les contenus hébergés par les sites de téléchargement ne sont pas illicites (et un tel filtrage violerait vraisemblablement le droit à la vie privée des internautes).

Filtrage

Poursuivons sur la question du filtrage. Aux États-Unis, la sécurité nationale est l’un des fondements du filtrage. Le gouvernement américain a ainsi demandé à la Fondation Mozilla de retirer un add-on pour Firefox qui permet de contourner le blocage de certains sites en redirigeant l’internaute vers un site miroir. La Fondation Mozilla a refusé de retirer l’add-on, expliquant qu’elle se conformait aux décisions de justice, mais ne cédait pas aux pressions politiques.

En France, le TGI de Paris a ordonné le blocage du site de paris en ligne 5dimes.com [décision, format PDF], sur la demande de l’ARJEL. Nous avions parlé de cette affaire dans un précédent numéro (54). Le site est costaricain, rédigé en anglais, et il ne vise pas particulièrement le public français. Il accepte toutefois les paiements en Euro. Mais peu importe : ce qui compte, pour le juge, c’est l’accessibilité du site en France. Le raisonnement est contestable…

Neutralité du Net

Une pratique très inquiétante s’instaure aux États-Unis : le fournisseur d’accès AT&T a décidé de facturer les dépassements de bande passante. Autrement dit, l’accès à Internet n’est plus illimité : il comprend un certain volume de données (150 ou 250 Go par mois) et, en cas de dépassement de ce volume, il y a facturation de chaque tranche de 50 Go au prix (exorbitant) de 10 dollars. Décryptons : les internautes qui téléchargement plus de 250 Go par mois sont présumés être des «pirates» partageant des fichiers contrefaisants ; faire payer au volume est donc un moyen de dissuader le partage de musique ou de films (tant mieux : on téléchargera des ebooks plutôt que le dernier blockbuster hollywoodien, et cela ne fera pas de mal au niveau intellectuel général).

Si Internet est devenu ce qu’il est, un moyen de communication populaire et démocratique, c’est en grande partie grâce aux abonnements ADSL, permettant une connexion illimitée dans le temps et en volume, qui ont remplacé les premiers forfaits des connexions analogiques (par Modem) prévoyant une facturation à la minute. Le haut débit de l’ADSL a aussi permis la mutation du Web d’un espace composé de texte en un espace contenant images, sons et vidéos.

Facturer à nouveau le temps passé sur Internet ou le volume de données transmises, c’est revenir 10 ans en arrière.

• 1028 mots • #Internet #neutralité #téléchargement #responsabilité #vie privée #gouvernement #discrimination #filtrage #DPI #surveillance #Hadopi #droit d'auteur #Orange #bande passante #FAI #intermédiaires
1 Mai 2011 Numéro 55 - Semaine du 25 avril au 1er mai

Cette semaine fut relativement pauvre en actualités liées au droit des nouvelles technologies. L’article sera donc plutôt court, et reviendra sur des l’évolution de sujets abordés dans les numéros précédents.

Données personnelles

Nous parlions, la semaine dernière, des données de géolocalisation de l’iPhone, accessibles dans la sauvegarde en clair sur l’ordinateur avec lequel l’appareil est synchronisé. La première réaction vient de Steve Jobs, le patron d’Apple : l’iPhone stocke certes des données de localisation, mais celles-ci sont anonymisées et elles ne sont pas envoyées à Apple (en revanche, elles peuvent être utilisées par des logiciels pour offrir, par exemple, de la publicité ciblée). La seconde réaction d’Apple fut plus officielle, et prise la forme d’une FAQ : Apple ne «traque» pas les utilisateurs d’iPhone ; le problème vient surtout du fait qu’Apple a manqué de transparence dans cette affaire, et n’a pas suffisamment expliqué comment ces données étaient utilisées ; ce n’est d’ailleurs pas la position du téléphone qui est enregistrée, mais celle des relais GPS et hotspots Wifi à proximité ; les données sont transmises à Apple de manière chiffrée et sécurisée ; enfin, il y a des bugs dans le système (par exemple le fait que l’iPhone continue de stocker les données lorsque le GPS est désactivé), qui seront prochainement corrigés.

Il ne s’agit là que d’Apple. Il semblerait que les téléphones sous Android (Google) stockent également des données de localisation. Le problème est d’autant plus grave que le nombre d’utilisateurs de terminaux mobiles ne cesse d’augmenter, notamment dans des pays peu démocratiques comme la Chine. Aussi, une class action a été initiée aux USA (Floride) contre Apple, et des enquêtes ont été ouvertes dans d’autres pays. Selon la CNIL, le stockage des données sur le terminal est moins problématique que leur envoi éventuel à des tiers, suite à un consentement trop souvent hésitant de l’utilisateur.

Par ailleurs, un nouveau scandale touche Sony et sa console de jeux, la PlayStation. Un hacker mal intentionné se serait introduit dans les serveurs de Sony et aurait obtenu l’accès à la base de données de 77 millions utilisateurs. En France, la CNIL a annoncé qu’elle lancerait prochainement une enquête sur cette affaire. Rappelons au passage qu’il incombe au responsable du traitement de données personnelles, en vertu du droit communautaire et du droit français, d’assurer la sécurité de ces dernières –ce que Sony a échoué, en l’espèce, à faire.

Signalons, pour conclure sur le thème de la protection des données personnelles, que le décret sur la rétention des données de connexion, dont nous avons déjà parlé, à plusieurs reprises, vient de subir une nouvelle attaque, sous la forme d’un recours en annulation déposé devant le Conseil d’État par l’association Internet Sans Frontières.

Commerce électronique

L’on a appris cette semaine que des contrôles réalisés par la DGCCRF avaient révélé que près de 40% des sites contrôlés ne respectaient pas les règles relatives au commerce électronique. Une fois de plus, le problème n’est pas la règle de droit, mais son application (ou plutôt, le fait qu’elle ne soit pas appliquée).

Responsabilité des intermédiaires

Un jugement important a été rendu. Nous avions parlé, il y a quelques semaines, d’un jugement imposant à un opérateur qualifié d’hébergeur de contrôler la remise en ligne de fichiers contrefaisants précédemment retirés. Nous critiquions cette décision, en soutenant qu’elle revenait à imposer à un intermédiaire technique une obligation générale de surveillance des contenus. Dans le jugement présenté cette semaine, les demandeurs ont été déboutés, au motif qu’ils n’avaient pas utilisé le système d’identification du contenu mis à disposition par YouTube pour empêcher la remise en ligne de fichiers contrefaisants. Cette décision fait donc un pas dans la bonne direction : YouTube n’est pas condamnée. Mais, pour autant, cela n’est pas suffisant, et cela pourrait même être contre-productif. En effet, la décision laisse penser que si les demandeurs avaient utilisé le système de contrôle de contenu de YouTube, celle-ci aurait eu l’obligation d’empêcher la remise en ligne des fichiers. Or, ce n’est pas parce qu’un opérateur met un outil de contrôle du contenu à disposition des ayants droit qu’une obligation de contrôler le contenu est mise à sa charge. Une telle obligation est explicitement exclue par le droit communautaire pour les intermédiaires techniques. Si l’on veut se fonder sur une telle obligation, il faut donc modifier la qualification de l’opérateur, et retenir qu’il est éditeur plutôt qu’hébergeur. Mais il est clair, désormais, que la jurisprudence ne s’oriente pas dans cette direction.

Propriété intellectuelle

Campagne pour les élections présidentielles de 2012 oblige, Nicolas Sarkozy a remis en cause la loi Hadopi. Verra-t-on bientôt une «hadopi 4» marquant la fin de la riposte graduée ? Affaire à suivre (sans trop d’illusions, toutefois).

Régulation

Après un Internet «civilisé», c’est d’un Internet «sain» dont on parle. La rhétorique est plutôt fascisante… pourquoi ne pas parler, tout simplement, d’un Internet «licite» ?

• 823 mots • #Internet #propriété intellectuelle #commerce électronique #responsabilité #données personnelles #Apple #sécurité #USA #intermédiaires #régulation