Numéro 53 - Semaine du 11 au 17 avril 2011

dimanche 17 avril 2011 • GF

Au sommaire, cette semaine, la question du filtrage d’Internet en Europe et la protection des données personnelles aux États-Unis.

Filtrage (affaire Scarlet c. Sabam)

Le fait marquant dans l’actualité du droit des nouvelles technologies est, cette semaine, la publication des conclusions de l’Avocat général près la Cour de Justice de l’Union Européenne (CJUE) dans l’affaire Scarlet c. Sabam.

Les faits sont assez classiques : la Sabam, société belge d’ayants droit, assigne le fournisseur d’accès (FAI) Scarlet devant le juge belge, et demande à ce dernier d’ordonner des mesures de filtrage d’Internet afin de bloquer les contenus contrefaisants échangés sur les réseaux de partage de pair-à-pair. Le juge belge saisit alors la CJUE afin de déterminer la conformité de ces mesures au droit communautaire, et lui pose la question de savoir s’il peut «ordonner à un FAI de mettre en place, à l’égard de toute sa clientèle, in abstracto et à titre préventif, aux frais exclusifs de ce FAI et sans limitation dans le temps, un système de filtrage de toutes les communications électroniques, tant entrantes que sortantes, transitant par ses services, notamment par l’emploi de logiciels peer to peer».

Dans ses conclusions, l’Avocat général estime le filtrage contraire au droit communautaire. Voyons son raisonnement :

1) Il faut d’abord distinguer «filtrage» et «blocage», car «le «système» à mettre en place est double. Il doit garantir, en premier lieu, le filtrage de toutes les communications de données transitant par le réseau de Scarlet, en vue de détecter ou si l’on préfère, d’isoler, celles qui impliquent une atteinte au droit d’auteur. À partir de ce filtrage, le système doit garantir, en second lieu, le blocage des communications qui impliquent effectivement une atteinte au droit d’auteur, que ce soit «au niveau de la requête» ou que ce soit «à l’occasion de l’envoi». Dans la mesure où l’efficacité du système de filtrage est une condition d’efficacité du mécanisme de blocage, ces deux opérations, bien qu’étroitement liées, s’avèrent d’une nature très différente et ont donc des implications différentes» (point 46). Le filtrage, «pour être efficace, [doit] être à la fois systématique, universel et évolutif» (point 48). Les modalités du filtrage doivent être déterminées par les juridictions nationales, mais ces caractères systématique, universel et évolutif ont des incidences en droit communautaire. S’agissant du blocage, ses modalités n’ont pas été fixées par les juridictions belges et «ni son impact concret sur les échanges de données ni son coût économique global, en particulier le coût d’installation et les coûts de maintenance, ne peuvent être déterminés a priori» (point 52).

2) Les mesures de filtrage ou de blocage sont ordonnées au FAI par le juge. L’avocat général constate à ce propos que «la portée très générale du système à déployer fait que les champs d’application ratione personae et ratione materiae de la mesure sollicitée sous forme d’injonction sont eux-mêmes forcément de caractère général, tout comme l’est son champ d’application ratione temporis» (point 53), le filtrage n’étant pas limité dans le temps. Cela revient à mettre à la charge du FAI une «obligation de résultat sous peine d’astreinte», «à la fois permanente et perpétuelle», et «les coûts de mise en place du système de filtrage et de blocage» (points 54 et 56). En outre, toutes les communications de tous les clients du FAI doivent être filtrées ; «par voie de conséquence, la mesure sollicitée, présentée comme une simple injonction adressée à un FAI (…) tend, en réalité, à la mise en place permanente et perpétuelle d’un système systématique et universel de filtrage de l’ensemble des communications électroniques» (point 58). Il s’agit là d’une obligation générale de surveillance, contraire à l’article 15 de la directive 2001/31 dite «commerce électronique» (point 66).

3) Une telle mesure de filtrage, reposant sur l’analyse des adresses IP, a notamment des incidences sur le droit de chacun au respect de sa vie privée (et au secret de ses correspondances). Or, à ce propos, l’Avocat général considère «[qu’]une adresse IP peut être qualifiée de donnée à caractère personnel dans la mesure où elle peut permettre l’identification d’une personne, par référence à un numéro d’identification où à tout autre élément qui lui soit propre «. Le droit de la protection des données personnelles est donc applicable en l’espèce. Mais le droit à la protection des données n’est pas absolu : il admet des limitations, notamment lorsqu’il s’agit de protéger les droits des tiers. Or, c’est bien le cas en l’espèce, puisque le filtrage a pour vocation de préserver le droit de propriété des ayants droit. La question qui se pose est donc celle de savoir si l’ingérence dans la vie privée des internautes est nécessaire et proportionnée au but poursuivi. La même analyse peut être menée pour départager le droit de propriété des ayants droit et la liberté d’expression des internautes. L’Avocat général répond par la négative : «dans la perspective des utilisateurs des services de Scarlet et plus largement des internautes, le système de filtrage exigé a vocation, indépendamment des modalités de son fonctionnement concret, à s’appliquer de façon systématique et universelle, permanente et perpétuelle, mais sa mise en place n’est assortie d’aucune garantie spécifique, en ce qui concerne notamment la protection des données personnelles et la confidentialité des communications» (point 106).

La conclusion est claire : le filtrage, tel que présenté ici, est contraire aux libertés publiques (vie privée, liberté d’expression) garanties par le droit communautaire, car il ne respecte pas les principes de nécessité et de proportionnalité. Reste à savoir ce que décidera la Cour, car c’est elle qui aura le dernier mot. Avec d’autres, nous espérons qu’elle suivra les conclusions de l’Avocat général.

Revenons un instant en France, avec la réaction d’un FAI aux conclusions de l’Avocat général : même si la loi permet au juge d’ordonner le filtrage, la mesure doit être, au cas d’espèce, proportionnée à la finalité poursuivie. Il serait donc par exemple excessif d’ordonner aux FAI français de bloquer «par tout moyen» l’accès à un site. Cette réaction est exactement celle que nous avions face au jugement rendu dans l’affaire Stanjames (v. n°17), à propos duquel nous écrivions qu’il «va beaucoup trop loin en ordonnant aux FAI français de mettre en oeuvre “toutes mesures de nature à permettre l’arrêt de l’accès au service en cause, soit toute mesure de filtrage, pouvant être obtenu (…) par blocage du nom de domaine, de l’adresse IP connue, de l’URL, ou par analyse du contenu des messages, mises en oeuvre alternativement ou éventuellement concomitamment, de manière à ce qu’elles soient suivies de l’effet escompté sur le territoire français”. Le juge met à la charge des FAI une obligation de résultat : le contenu doit être bloqué, peu important les moyens employés pour y parvenir. Ce faisant, il laisse la responsabilité aux FAI de prendre des mesures attentatoires à la neutralité du Net et aux droits fondamentaux (respect de la vie privée, liberté d’expression, notamment), comme le filtrage DPI qu’il suggère et qui ne se limite pas, par définition, aux contenus illicites. Si le juge avait ordonné aux FAI de prendre une mesure précise de blocage, sur un nom de domaine, une adresse IP ou un URL déterminés, quitte à rendre une nouvelle ordonnance de référé en cas de contournement de cette mesure, le principe de neutralité aurait moins souffert de sa décision.».

Filtrage (autres)

En Russie, le gouvernement a désavoué un officier des services secrets qui préconisait le blocage de certains logiciels de communication permettant les échanges chiffrés (Skype, Gmail, Hotmail).

En Allemagne, le projet de loi de filtrage des sites pédopornographiques, lancé en janvier 2009, vient d’être abandonné. Ces contenus seront donc retirés, comme tous les autres contenus illicites, en suivant la procédure classique issue de la directive «commerce électronique» (notification à l’hébergeur, qui engage sa responsabilité s’il ne retire pas le contenu).

Vie privée

Le droit américain protège, comme le droit européen, la vie privée des citoyens (et des internautes). Cependant, le droit européen va plus loin que le droit américain en protégeant également les individus contre les traitements abusifs de leurs données personnelles. En droit américain, les données personnelles que les internautes laissent notamment sur les réseaux sociaux sont des données publiques (ne concernant donc pas la vie privée) qui tombent sous la protection du premier amendement. Dans un contexte de développement à outrance des réseaux sociaux et de surexposition des personnes, cette situation est jugée insatisfaisante par la doctrine majoritaire. Ainsi, régulièrement, le Congrès examine des propositions de loi visant à encadrer la collecte et le traitement des données personnelles des internautes.

Cette semaine, une proposition importante(en) a été déposée conjointement par deux anciens candidats à la présidence, John Kerry (démocrate) et John McCain (républicain). – [version PDF].

Les mesures phare de la proposition de loi sont les suivantes :

  • Obligation pour les personnes qui collectent des données personnelles d'en assurer la sécurité ;
  • Droit du sujet du traitement d'être informé de l'existence de ce dernier, de le faire cesser (opt-out), d'accéder aux données traitées et de les rectifier le cas échéant ;
  • Principe de nécessité : seules les données nécessaires à l'accomplissement de la finalité du traitement peuvent être collectées ; en outre, les données ne peuvent être conservées que tant que cette conservation demeure nécessaire ;
  • Transmission par contrat de ces obligations à tout tiers qui recevrait les données ;
  • Sanction du respect de la loi par la Federal Trade Commission (l'autorité fédérale de régulation de la concurrence et de la consommation) ;

Cette proposition de loi constitue une avancée pour la protection de la vie privée en droit américain (reste à savoir si le Congrès la votera). Elle fait cependant (déjà) l’objet de nombreuses critiques, sur lesquelles nous ne nous étendrons pas. Disons simplement que, d’un côté, certains pensent que les données publiques devraient rester librement accessibles ou que les personnes devraient recevoir un droit de propriété sur leurs données et être libres de les échanger ; alors que, d’un autre côté, les partisans d’une protection plus forte de la vie privée soutiennent que la proposition de loi ne va pas encore assez loin. L’EFF, en particulier, soulève certains défauts de la proposition de loi : elle ne prend pas en compte la proposition Do Not Track de la FTC ; étant une réglementation fédérale, elle empêche les États fédérés d’élaborer des lois plus protectrices des personnes ; elle est trop centrée sur l’utilisation des données au détriment des conditions de leur collecte ; elle ne restreint pas suffisamment l’échange des données avec les tiers, etc.

Au sommaire, cette semaine, la question du filtrage d’Internet en Europe et la protection des données personnelles aux États-Unis.

Filtrage (affaire Scarlet c. Sabam)

Le fait marquant dans l’actualité du droit des nouvelles technologies est, cette semaine, la publication des conclusions de l’Avocat général près la Cour de Justice de l’Union Européenne (CJUE) dans l’affaire Scarlet c. Sabam.

Les faits sont assez classiques : la Sabam, société belge d’ayants droit, assigne le fournisseur d’accès (FAI) Scarlet devant le juge belge, et demande à ce dernier d’ordonner des mesures de filtrage d’Internet afin de bloquer les contenus contrefaisants échangés sur les réseaux de partage de pair-à-pair. Le juge belge saisit alors la CJUE afin de déterminer la conformité de ces mesures au droit communautaire, et lui pose la question de savoir s’il peut «ordonner à un FAI de mettre en place, à l’égard de toute sa clientèle, in abstracto et à titre préventif, aux frais exclusifs de ce FAI et sans limitation dans le temps, un système de filtrage de toutes les communications électroniques, tant entrantes que sortantes, transitant par ses services, notamment par l’emploi de logiciels peer to peer».

Dans ses conclusions, l’Avocat général estime le filtrage contraire au droit communautaire. Voyons son raisonnement :

1) Il faut d’abord distinguer «filtrage» et «blocage», car «le «système» à mettre en place est double. Il doit garantir, en premier lieu, le filtrage de toutes les communications de données transitant par le réseau de Scarlet, en vue de détecter ou si l’on préfère, d’isoler, celles qui impliquent une atteinte au droit d’auteur. À partir de ce filtrage, le système doit garantir, en second lieu, le blocage des communications qui impliquent effectivement une atteinte au droit d’auteur, que ce soit «au niveau de la requête» ou que ce soit «à l’occasion de l’envoi». Dans la mesure où l’efficacité du système de filtrage est une condition d’efficacité du mécanisme de blocage, ces deux opérations, bien qu’étroitement liées, s’avèrent d’une nature très différente et ont donc des implications différentes» (point 46). Le filtrage, «pour être efficace, [doit] être à la fois systématique, universel et évolutif» (point 48). Les modalités du filtrage doivent être déterminées par les juridictions nationales, mais ces caractères systématique, universel et évolutif ont des incidences en droit communautaire. S’agissant du blocage, ses modalités n’ont pas été fixées par les juridictions belges et «ni son impact concret sur les échanges de données ni son coût économique global, en particulier le coût d’installation et les coûts de maintenance, ne peuvent être déterminés a priori» (point 52).

2) Les mesures de filtrage ou de blocage sont ordonnées au FAI par le juge. L’avocat général constate à ce propos que «la portée très générale du système à déployer fait que les champs d’application ratione personae et ratione materiae de la mesure sollicitée sous forme d’injonction sont eux-mêmes forcément de caractère général, tout comme l’est son champ d’application ratione temporis» (point 53), le filtrage n’étant pas limité dans le temps. Cela revient à mettre à la charge du FAI une «obligation de résultat sous peine d’astreinte», «à la fois permanente et perpétuelle», et «les coûts de mise en place du système de filtrage et de blocage» (points 54 et 56). En outre, toutes les communications de tous les clients du FAI doivent être filtrées ; «par voie de conséquence, la mesure sollicitée, présentée comme une simple injonction adressée à un FAI (…) tend, en réalité, à la mise en place permanente et perpétuelle d’un système systématique et universel de filtrage de l’ensemble des communications électroniques» (point 58). Il s’agit là d’une obligation générale de surveillance, contraire à l’article 15 de la directive 2001/31 dite «commerce électronique» (point 66).

3) Une telle mesure de filtrage, reposant sur l’analyse des adresses IP, a notamment des incidences sur le droit de chacun au respect de sa vie privée (et au secret de ses correspondances). Or, à ce propos, l’Avocat général considère «[qu’]une adresse IP peut être qualifiée de donnée à caractère personnel dans la mesure où elle peut permettre l’identification d’une personne, par référence à un numéro d’identification où à tout autre élément qui lui soit propre «. Le droit de la protection des données personnelles est donc applicable en l’espèce. Mais le droit à la protection des données n’est pas absolu : il admet des limitations, notamment lorsqu’il s’agit de protéger les droits des tiers. Or, c’est bien le cas en l’espèce, puisque le filtrage a pour vocation de préserver le droit de propriété des ayants droit. La question qui se pose est donc celle de savoir si l’ingérence dans la vie privée des internautes est nécessaire et proportionnée au but poursuivi. La même analyse peut être menée pour départager le droit de propriété des ayants droit et la liberté d’expression des internautes. L’Avocat général répond par la négative : «dans la perspective des utilisateurs des services de Scarlet et plus largement des internautes, le système de filtrage exigé a vocation, indépendamment des modalités de son fonctionnement concret, à s’appliquer de façon systématique et universelle, permanente et perpétuelle, mais sa mise en place n’est assortie d’aucune garantie spécifique, en ce qui concerne notamment la protection des données personnelles et la confidentialité des communications» (point 106).

La conclusion est claire : le filtrage, tel que présenté ici, est contraire aux libertés publiques (vie privée, liberté d’expression) garanties par le droit communautaire, car il ne respecte pas les principes de nécessité et de proportionnalité. Reste à savoir ce que décidera la Cour, car c’est elle qui aura le dernier mot. Avec d’autres, nous espérons qu’elle suivra les conclusions de l’Avocat général.

Revenons un instant en France, avec la réaction d’un FAI aux conclusions de l’Avocat général : même si la loi permet au juge d’ordonner le filtrage, la mesure doit être, au cas d’espèce, proportionnée à la finalité poursuivie. Il serait donc par exemple excessif d’ordonner aux FAI français de bloquer «par tout moyen» l’accès à un site. Cette réaction est exactement celle que nous avions face au jugement rendu dans l’affaire Stanjames (v. n°17), à propos duquel nous écrivions qu’il «va beaucoup trop loin en ordonnant aux FAI français de mettre en oeuvre “toutes mesures de nature à permettre l’arrêt de l’accès au service en cause, soit toute mesure de filtrage, pouvant être obtenu (…) par blocage du nom de domaine, de l’adresse IP connue, de l’URL, ou par analyse du contenu des messages, mises en oeuvre alternativement ou éventuellement concomitamment, de manière à ce qu’elles soient suivies de l’effet escompté sur le territoire français”. Le juge met à la charge des FAI une obligation de résultat : le contenu doit être bloqué, peu important les moyens employés pour y parvenir. Ce faisant, il laisse la responsabilité aux FAI de prendre des mesures attentatoires à la neutralité du Net et aux droits fondamentaux (respect de la vie privée, liberté d’expression, notamment), comme le filtrage DPI qu’il suggère et qui ne se limite pas, par définition, aux contenus illicites. Si le juge avait ordonné aux FAI de prendre une mesure précise de blocage, sur un nom de domaine, une adresse IP ou un URL déterminés, quitte à rendre une nouvelle ordonnance de référé en cas de contournement de cette mesure, le principe de neutralité aurait moins souffert de sa décision.».

Filtrage (autres)

En Russie, le gouvernement a désavoué un officier des services secrets qui préconisait le blocage de certains logiciels de communication permettant les échanges chiffrés (Skype, Gmail, Hotmail).

En Allemagne, le projet de loi de filtrage des sites pédopornographiques, lancé en janvier 2009, vient d’être abandonné. Ces contenus seront donc retirés, comme tous les autres contenus illicites, en suivant la procédure classique issue de la directive «commerce électronique» (notification à l’hébergeur, qui engage sa responsabilité s’il ne retire pas le contenu).

Vie privée

Le droit américain protège, comme le droit européen, la vie privée des citoyens (et des internautes). Cependant, le droit européen va plus loin que le droit américain en protégeant également les individus contre les traitements abusifs de leurs données personnelles. En droit américain, les données personnelles que les internautes laissent notamment sur les réseaux sociaux sont des données publiques (ne concernant donc pas la vie privée) qui tombent sous la protection du premier amendement. Dans un contexte de développement à outrance des réseaux sociaux et de surexposition des personnes, cette situation est jugée insatisfaisante par la doctrine majoritaire. Ainsi, régulièrement, le Congrès examine des propositions de loi visant à encadrer la collecte et le traitement des données personnelles des internautes.

Cette semaine, une proposition importante(en) a été déposée conjointement par deux anciens candidats à la présidence, John Kerry (démocrate) et John McCain (républicain). – [version PDF].

Les mesures phare de la proposition de loi sont les suivantes :

  • Obligation pour les personnes qui collectent des données personnelles d'en assurer la sécurité ;
  • Droit du sujet du traitement d'être informé de l'existence de ce dernier, de le faire cesser (opt-out), d'accéder aux données traitées et de les rectifier le cas échéant ;
  • Principe de nécessité : seules les données nécessaires à l'accomplissement de la finalité du traitement peuvent être collectées ; en outre, les données ne peuvent être conservées que tant que cette conservation demeure nécessaire ;
  • Transmission par contrat de ces obligations à tout tiers qui recevrait les données ;
  • Sanction du respect de la loi par la Federal Trade Commission (l'autorité fédérale de régulation de la concurrence et de la consommation) ;

Cette proposition de loi constitue une avancée pour la protection de la vie privée en droit américain (reste à savoir si le Congrès la votera). Elle fait cependant (déjà) l’objet de nombreuses critiques, sur lesquelles nous ne nous étendrons pas. Disons simplement que, d’un côté, certains pensent que les données publiques devraient rester librement accessibles ou que les personnes devraient recevoir un droit de propriété sur leurs données et être libres de les échanger ; alors que, d’un autre côté, les partisans d’une protection plus forte de la vie privée soutiennent que la proposition de loi ne va pas encore assez loin. L’EFF, en particulier, soulève certains défauts de la proposition de loi : elle ne prend pas en compte la proposition Do Not Track de la FTC ; étant une réglementation fédérale, elle empêche les États fédérés d’élaborer des lois plus protectrices des personnes ; elle est trop centrée sur l’utilisation des données au détriment des conditions de leur collecte ; elle ne restreint pas suffisamment l’échange des données avec les tiers, etc.