Numéro 46 - Semaine du 21 au 27 février 2011

dimanche 27 février 2011 • GF

Au sommaire cette semaine, la protection de la vie privée des internautes, notamment dans le cadre des réseaux sociaux et de la téléphonie par Internet ; le système Hadopi en plein fonctionnement ; le filtrage et la régulation du réseau aux États-Unis.

Vie privée, réseaux sociaux et données personnelles

Le droit au respect de la vie privée est de nouveau dans l’actualité, cette semaine. C’est d’abord des «fuites» de données personnelles dont on a parlé. On sait que le droit au respect de la vie privée est un droit fondamental consacré à la fois en droit interne (par le Conseil constitutionnel) et en droit international (CEDH, notamment). Or, pour que ce droit soit garanti, il est nécessaire de réglementer l’usage des données personnelles (c’est-à-dire des données se rapportant à une personne et l’identifiant) : tel est l’esprit de la loi française «Informatique et Libertés» et de plusieurs directives communautaires. Cette réglementation crée, schématiquement, trois séries d’obligations pour les personnes responsables d’un traitement de données personnelles : des obligations relatives à la collecte des données (p. ex. le consentement de la personne intéressée), des obligations relatives à leur traitement (p. ex. la finalité du traitement qui doit être déterminée) et, enfin, des obligations relatives à leur sécurité. Il incombe ainsi au responsable du traitement d’assurer la sécurité des données, c’est-à-dire, pour ce qui nous occupe ici, d’assurer qu’elles ne soient pas accessibles par n’importe qui et, a fortiori, qu’elles ne soient pas librement accessibles sur le Web. Cette semaine, le bureau britannique des passeports a annoncé avoir perdu des données personnelles tout comme, en France, le site de l’UMP afficherait une liste d’adhérents facilement accessible sur le Web. Pour y accéder, il serait nécessaire d’exploiter une faille de sécurité et c’est précisément en ne corrigeant pas cette faille que le responsable du traitement violerait ses obligations.

Il arrive ainsi parfois que des données personnelles soient librement accessibles, en violation de l’obligation de sécurisation. Mais ce n’est certainement pas l’obligation issue de la loi Informatique et Libertés qui est le plus souvent méconnue. Ainsi, sur le Web, de nombreux sites utilisent des «cookies» (petits fichiers placés lors de la navigation sur le disque dur de l’ordinateur de l’internaute) afin de dresser un profil du visiteur. L’UE s’intéresse de près à la question, tout comme les éditeurs de logiciels (Microsoft, Google, Mozilla…) qui tentent d’élaborer des mécanismes de «navigation privée» plus efficaces.

Mais le principal problème n’est pas là. Le volume de données collectées grâce à une faille de sécurité est bien moins important que celui des données volontairement publiées par les internautes. De même, la pertinence des données obtenues à l’insu de l’internaute par des cookies ou d’autres technologies plus ou moins invasives est bien inférieure à celle des données librement mises à disposition sur les réseaux sociaux. Il est ainsi inquiétant que près de la moitié des internautes américains soient inscrits sur Facebook (selon une étude américaine, le réseau social aurait le plus de succès auprès des femmes de 18 à 34 ans), d’autant plus que le réseau social est propice au «click-jacking» (intercepter le clic de l’internaute sur un lien pour l’envoyer sur un site où il n’avait aucune intention de se rendre). Alors aux États-Unis, dans le New Jersey, le chef de la police d’une petite ville conseille aux parents de «pirater» le compte Facebook de leurs enfants pour les surveiller.

Et avec tout cela, le juriste se pose une question : la preuve obtenue sur Facebook est-elle recevable ?

Vie privée et contenu des communications

Le très populaire logiciel de VoIP («Voice over IP», téléphonie par Internet) Skype ne respecterait pas la loi française. Pour comprendre, il faut commencer par se poser la question de la qualification de la société éditrice de Skype : est-elle un simple éditeur de logiciel, ou est-elle un opérateur de télécommunications ? En tant que simple éditeur de logiciel, elle est libre d’implémenter dans Skype les fonctions qu’elle désire. En tant qu’opérateur télécom, en revanche, elle doit se conformer à certaines obligations que lui impose la loi française. Il s’agit notamment des obligations d’acheminer les appels d’urgence vers la police, les pompiers ou les secours médicaux, et de permettre les écoutes ordonnées par la justice. L’Arcep, l’autorité française de régulation des télécoms, considère depuis 2007 que Skype est un opérateur de télécommunications, et qu’il viole donc la loi française en n’exécutant pas les obligations qu’elle lui impose. Si la question refait surface aujourd’hui, c’est parce que Skype prépare son entrée en bourse et que la SEC (autorité américaine de régulation des marchés financiers) s’intéresse à cette situation.

Propriété intellectuelle, Hadopi

Selon Numerama, qui surveille de près l’activité de l’Hadopi grâce aux témoignages des internautes, la Haute autorité fonctionnerait à plein régime, envoyant toujours plus d’e-mails de menace. Pour autant, tout cela se déroule dans la plus grande opacité, puisque le juge n’est saisi que dans la dernière phase de la procédure et qu’en attendant l’Hadopi peut traiter des adresses IP et envoyer des courriers sans contrôle judiciaire et sans recours pour les personnes concernées (selon le ministère de la Culture, le recours pour excès de pouvoir devant les juridictions administratives n’est pas plus ouvert contre les courriers de l’Hadopi, ceux-ci ne faisant pas grief à l’internaute…CQFD).

Pour autant qu’on critique le système Hadopi, on doit lui reconnaître un mérite. Il permet en effet une répression du téléchargement illicite plus «juste» que celle qui est menée aux États-Unis, à coup de «reverse class action» et d’amendes exorbitantes. Mais il aurait été parfaitement possible d’aboutir à un système juste et équitable sans la lourdeur et la complexité de la procédure Hadopi. En Suède, par exemple, un internaute a été condamné à payer 229 euro d’amende pour avoir téléchargé 44 chansons (soit 5,2 euro par chanson ; pour information, la plupart des morceaux sur iTunes sont vendus entre 0,99 euro et 1,5 euro).

Liberté d’expression, Filtrage

En Lybie, une révolution est en cours, un peu comme celles qui viennent d’avoir lieu en Tunisie et en Égypte. En Lybie, comme ce fut le cas en Tunisie et en Égypte, le pouvoir tente de censurer le Web. Cela montre, une fois encore, la peur que les dictateurs ont de ce nouveau moyen de communication permettant des échanges directs et libres entre les personnes. Les dirigeants chinois ne s’y trompent pas, et intensifient encore la censure d’Internet.

Les autorités américaines reconnaissent le blocage de 84 000 sites licites dans le cadre de la lutte contre la pédopornographie en ligne. Comme nous l’avions dit la semaine dernière, cela incite à s’interroger sur le bien fondée du filtrage prévu par la loi française LOPPSI. Celle-ci est actuellement devant le Conseil constitutionnel, qui devrait rendre sa décision prochainement. Une autre décision, de la Cour constitutionnelle allemande, devrait être rendue sur la loi allemande sur le blocage des sites pédopornographiques, qui est comparable sur certains points à la LOPPSI.

Régulation, neutralité du Net

Le blocage de sites légitimes aux États-Unis soulève une autre question : la place occupée par ce pays dans la régulation du réseau. La plupart des infrastructures d’Internet sont aux États-Unis, si bien qu’elles se trouvent soumises aux lois et à la justice de ce pays(es). En cas de conflit de lois ou de décisions de justice, le droit américain aura toujours le dernier mot. Certains, et notamment l’ICANN, y voient une menace pour la gouvernance d’Internet.

Au même moment, le géant Google se trouve au centre de trois questions importantes relatives à la neutralité du Net. 1) D’abord, la société américaine fait l’objet d’une nouvelle plainte auprès de la Commission européenne. Google est accusée d’abuser de sa position dominante dans le domaine de la recherche, en privilégiant ses propres sites dans son algorithme de recherche(en). 2) Ensuite, Google a justement annoncé cette semaine une modification de son algorithme visant à privilégier les sites fournissant un contenu original au détriment des «fermes de contenu»(es). Il s’agit de sites qui «aspirent» le plus de contenu possible, en provenance de diverses sources, afin d’attirer le plus d’internautes possible et de gagner de l’argent grâce à la publicité ; cependant, les contenus aspirés ne sont pas classés ou analysés, ils n’ont aucune valeur ajoutée, et ne sont souvent utiles en rien aux internautes. Autrement dit, ces sites sont au Web ce que le Spam est aux e-mails. Il est donc difficile de reprocher à Google de les filtrer… même si, ce faisant, il perd de sa neutralité ! 3) Enfin, Google a déposé un amicus curiae (en common law, mémoire donné au tribunal par un tiers dans lequel ce dernier expose son analyse juridique de l’affaire) dans l’affaire IsoHunt (moteur de recherche de fichiers .torrent). Pour Google, IsoHunt est bien destiné au téléchargement illicite ; il ne peut donc être protégé par la jurisprudence Grokster. Cependant, Google estime que cela ne devrait pas suffire à exclure la protection conférée par la loi DMCA aux intermédiaires (telle est la qualification des moteurs de recherche), car les deux questions sont indépendantes l’une de l’autre.

Au sommaire cette semaine, la protection de la vie privée des internautes, notamment dans le cadre des réseaux sociaux et de la téléphonie par Internet ; le système Hadopi en plein fonctionnement ; le filtrage et la régulation du réseau aux États-Unis.

Vie privée, réseaux sociaux et données personnelles

Le droit au respect de la vie privée est de nouveau dans l’actualité, cette semaine. C’est d’abord des «fuites» de données personnelles dont on a parlé. On sait que le droit au respect de la vie privée est un droit fondamental consacré à la fois en droit interne (par le Conseil constitutionnel) et en droit international (CEDH, notamment). Or, pour que ce droit soit garanti, il est nécessaire de réglementer l’usage des données personnelles (c’est-à-dire des données se rapportant à une personne et l’identifiant) : tel est l’esprit de la loi française «Informatique et Libertés» et de plusieurs directives communautaires. Cette réglementation crée, schématiquement, trois séries d’obligations pour les personnes responsables d’un traitement de données personnelles : des obligations relatives à la collecte des données (p. ex. le consentement de la personne intéressée), des obligations relatives à leur traitement (p. ex. la finalité du traitement qui doit être déterminée) et, enfin, des obligations relatives à leur sécurité. Il incombe ainsi au responsable du traitement d’assurer la sécurité des données, c’est-à-dire, pour ce qui nous occupe ici, d’assurer qu’elles ne soient pas accessibles par n’importe qui et, a fortiori, qu’elles ne soient pas librement accessibles sur le Web. Cette semaine, le bureau britannique des passeports a annoncé avoir perdu des données personnelles tout comme, en France, le site de l’UMP afficherait une liste d’adhérents facilement accessible sur le Web. Pour y accéder, il serait nécessaire d’exploiter une faille de sécurité et c’est précisément en ne corrigeant pas cette faille que le responsable du traitement violerait ses obligations.

Il arrive ainsi parfois que des données personnelles soient librement accessibles, en violation de l’obligation de sécurisation. Mais ce n’est certainement pas l’obligation issue de la loi Informatique et Libertés qui est le plus souvent méconnue. Ainsi, sur le Web, de nombreux sites utilisent des «cookies» (petits fichiers placés lors de la navigation sur le disque dur de l’ordinateur de l’internaute) afin de dresser un profil du visiteur. L’UE s’intéresse de près à la question, tout comme les éditeurs de logiciels (Microsoft, Google, Mozilla…) qui tentent d’élaborer des mécanismes de «navigation privée» plus efficaces.

Mais le principal problème n’est pas là. Le volume de données collectées grâce à une faille de sécurité est bien moins important que celui des données volontairement publiées par les internautes. De même, la pertinence des données obtenues à l’insu de l’internaute par des cookies ou d’autres technologies plus ou moins invasives est bien inférieure à celle des données librement mises à disposition sur les réseaux sociaux. Il est ainsi inquiétant que près de la moitié des internautes américains soient inscrits sur Facebook (selon une étude américaine, le réseau social aurait le plus de succès auprès des femmes de 18 à 34 ans), d’autant plus que le réseau social est propice au «click-jacking» (intercepter le clic de l’internaute sur un lien pour l’envoyer sur un site où il n’avait aucune intention de se rendre). Alors aux États-Unis, dans le New Jersey, le chef de la police d’une petite ville conseille aux parents de «pirater» le compte Facebook de leurs enfants pour les surveiller.

Et avec tout cela, le juriste se pose une question : la preuve obtenue sur Facebook est-elle recevable ?

Vie privée et contenu des communications

Le très populaire logiciel de VoIP («Voice over IP», téléphonie par Internet) Skype ne respecterait pas la loi française. Pour comprendre, il faut commencer par se poser la question de la qualification de la société éditrice de Skype : est-elle un simple éditeur de logiciel, ou est-elle un opérateur de télécommunications ? En tant que simple éditeur de logiciel, elle est libre d’implémenter dans Skype les fonctions qu’elle désire. En tant qu’opérateur télécom, en revanche, elle doit se conformer à certaines obligations que lui impose la loi française. Il s’agit notamment des obligations d’acheminer les appels d’urgence vers la police, les pompiers ou les secours médicaux, et de permettre les écoutes ordonnées par la justice. L’Arcep, l’autorité française de régulation des télécoms, considère depuis 2007 que Skype est un opérateur de télécommunications, et qu’il viole donc la loi française en n’exécutant pas les obligations qu’elle lui impose. Si la question refait surface aujourd’hui, c’est parce que Skype prépare son entrée en bourse et que la SEC (autorité américaine de régulation des marchés financiers) s’intéresse à cette situation.

Propriété intellectuelle, Hadopi

Selon Numerama, qui surveille de près l’activité de l’Hadopi grâce aux témoignages des internautes, la Haute autorité fonctionnerait à plein régime, envoyant toujours plus d’e-mails de menace. Pour autant, tout cela se déroule dans la plus grande opacité, puisque le juge n’est saisi que dans la dernière phase de la procédure et qu’en attendant l’Hadopi peut traiter des adresses IP et envoyer des courriers sans contrôle judiciaire et sans recours pour les personnes concernées (selon le ministère de la Culture, le recours pour excès de pouvoir devant les juridictions administratives n’est pas plus ouvert contre les courriers de l’Hadopi, ceux-ci ne faisant pas grief à l’internaute…CQFD).

Pour autant qu’on critique le système Hadopi, on doit lui reconnaître un mérite. Il permet en effet une répression du téléchargement illicite plus «juste» que celle qui est menée aux États-Unis, à coup de «reverse class action» et d’amendes exorbitantes. Mais il aurait été parfaitement possible d’aboutir à un système juste et équitable sans la lourdeur et la complexité de la procédure Hadopi. En Suède, par exemple, un internaute a été condamné à payer 229 euro d’amende pour avoir téléchargé 44 chansons (soit 5,2 euro par chanson ; pour information, la plupart des morceaux sur iTunes sont vendus entre 0,99 euro et 1,5 euro).

Liberté d’expression, Filtrage

En Lybie, une révolution est en cours, un peu comme celles qui viennent d’avoir lieu en Tunisie et en Égypte. En Lybie, comme ce fut le cas en Tunisie et en Égypte, le pouvoir tente de censurer le Web. Cela montre, une fois encore, la peur que les dictateurs ont de ce nouveau moyen de communication permettant des échanges directs et libres entre les personnes. Les dirigeants chinois ne s’y trompent pas, et intensifient encore la censure d’Internet.

Les autorités américaines reconnaissent le blocage de 84 000 sites licites dans le cadre de la lutte contre la pédopornographie en ligne. Comme nous l’avions dit la semaine dernière, cela incite à s’interroger sur le bien fondée du filtrage prévu par la loi française LOPPSI. Celle-ci est actuellement devant le Conseil constitutionnel, qui devrait rendre sa décision prochainement. Une autre décision, de la Cour constitutionnelle allemande, devrait être rendue sur la loi allemande sur le blocage des sites pédopornographiques, qui est comparable sur certains points à la LOPPSI.

Régulation, neutralité du Net

Le blocage de sites légitimes aux États-Unis soulève une autre question : la place occupée par ce pays dans la régulation du réseau. La plupart des infrastructures d’Internet sont aux États-Unis, si bien qu’elles se trouvent soumises aux lois et à la justice de ce pays(es). En cas de conflit de lois ou de décisions de justice, le droit américain aura toujours le dernier mot. Certains, et notamment l’ICANN, y voient une menace pour la gouvernance d’Internet.

Au même moment, le géant Google se trouve au centre de trois questions importantes relatives à la neutralité du Net. 1) D’abord, la société américaine fait l’objet d’une nouvelle plainte auprès de la Commission européenne. Google est accusée d’abuser de sa position dominante dans le domaine de la recherche, en privilégiant ses propres sites dans son algorithme de recherche(en). 2) Ensuite, Google a justement annoncé cette semaine une modification de son algorithme visant à privilégier les sites fournissant un contenu original au détriment des «fermes de contenu»(es). Il s’agit de sites qui «aspirent» le plus de contenu possible, en provenance de diverses sources, afin d’attirer le plus d’internautes possible et de gagner de l’argent grâce à la publicité ; cependant, les contenus aspirés ne sont pas classés ou analysés, ils n’ont aucune valeur ajoutée, et ne sont souvent utiles en rien aux internautes. Autrement dit, ces sites sont au Web ce que le Spam est aux e-mails. Il est donc difficile de reprocher à Google de les filtrer… même si, ce faisant, il perd de sa neutralité ! 3) Enfin, Google a déposé un amicus curiae (en common law, mémoire donné au tribunal par un tiers dans lequel ce dernier expose son analyse juridique de l’affaire) dans l’affaire IsoHunt (moteur de recherche de fichiers .torrent). Pour Google, IsoHunt est bien destiné au téléchargement illicite ; il ne peut donc être protégé par la jurisprudence Grokster. Cependant, Google estime que cela ne devrait pas suffire à exclure la protection conférée par la loi DMCA aux intermédiaires (telle est la qualification des moteurs de recherche), car les deux questions sont indépendantes l’une de l’autre.