Un projet de décret venant préciser les modalités d’application d’un article de la loi pour la confiance dans l’économie numérique, dite LCEN, préconise de bloquer ou de filtrer certains sites, le tout en oubliant de mentionner la figure du juge. OWNI publie ce document (voir ci-dessous) qui signe le retour du gros bouton rouge de l’Internet, ainsi que des vieilles habitudes manifestées -et contrées de justesse- lors de l’adoption d’Hadopi ou de la Loppsi -sans qu’ici, toutefois, le juge refasse son apparition.

L’article 18 de la LCEN

La LCEN est déjà une vieille histoire : son adoption remonte à juin 2004. Ce qui ne veut pas dire que tous ses articles ont fait l’objet d’un décret encadrant leur application. C’est le cas de l’article 18, qui prévoit:

Dans les conditions prévues par décret en Conseil d’Etat, des mesures restreignant, au cas par cas, le libre exercice de leur activité par les personnes mentionnées aux articles 14 et 16 peuvent être prises par l’autorité administrative lorsqu’il est porté atteinte ou qu’il existe un risque sérieux et grave d’atteinte au maintien de l’ordre et de la sécurité publics, à la protection des mineurs, à la protection de la santé publique, à la préservation des intérêts de la défense nationale ou à la protection des personnes physiques qui sont des consommateurs ou des investisseurs autres que les investisseurs appartenant à un cercle restreint définis à l’article L. 411-2 du code monétaire et financier.

Quelles sont ces ” personnes mentionnées aux articles 14 et 16″ de ladite loi ? Tout l’Internet. Bien entendu, le législateur n’y fait pas clairement référence ; la lettre du texte renvoyant au “commerce électronique”. Néanmoins, ce commerce là ne concerne pas uniquement le “boutiquier en ligne qui vendrait des pilules Viagra contrefaites”, comme le formule justement Marc Rees de PCINpact, premier à avoir révélé l’affaire. Mais tous les acteurs d’Internet. Ou, comme l’indique l’article 14 :

Le commerce électronique est l’activité économique par laquelle une personne propose ou assure à distance et par voie électronique la fourniture de biens ou de services.
Entrent également dans le champ du commerce électronique les services tels que ceux consistant à fournir des informations en ligne, des communications commerciales et des outils de recherche, d’accès et de récupération de données, d’accès à un réseau de communication ou d’hébergement d’informations, y compris lorsqu’ils ne sont pas rémunérés par ceux qui les reçoivent.

Décret: qui, que, quoi, comment?

Concrètement, qu’apporte le décret ? Nous connaissons déjà le champ d’application de l’article 18 : une “atteinte” ou un “risque sérieux et grave d’atteinte au maintien de l’ordre et de la sécurité publics, à la protection des mineurs, à la protection de la santé publique, à la préservation des intérêts de la défense nationale ou à la protection des personnes physiques.”. Vaste panel qui va de l’incontournable “ordre public” à l’industrie pharmaceutique, en passant par le risque pédopornographique déjà évoqué au sein de la Loppsi. Reste à savoir qui va agir.

L’article premier du décret désigne un magistère à huit têtes : ministre de la défense, ministre de la justice, ministre de l’intérieur, ministre de l’économie, ministre chargé de la communication, ministre chargé de la santé, ministre en charge de l’économie numérique et enfin, l’ANSSI, l’autorité nationale de défense des systèmes d’information. Pléthore d’intervenants peu coutumiers de la régulation sur la réseau, ou à la marge.

Plus intéressant, quelles sont ces fameuses mesures restreignantes prévues par l’article 18 ? Dans une lettre d’Eric Besson au Conseil National du Numérique, saisi sur la question -nous y reviendrons-, le ministre précise que la prérogative est réservée aux “situations extrêmes” et qu’elle s’appliquera selon “une logique de subsidiarité”:

les mesures viseront prioritairement l’éditeur de site responsable, puis à défaut, l’hébergeur de données concerné, et enfin, si la démarche reste infructueuse, le fournisseur d’accès à Internet.

L’article 2 du projet de décret détaille ces trois étapes. Une fois mis en demeure, si les éditeurs de contenu n’agissent pas dans un délai “qui ne peut être inférieur à soxiante-douze heures”, l’autorité compétente a cinq possibilités:

• avertir les consommateurs des risques que présentent certains produits commercialisés
• cesser la vente de tout ou partie des produits proposés par le site
• mettre fin aux pratiques commerciales en cause
• interdire l’accès de tout ou partie du site aux mineurs
• retirer ou faire cesser la diffusion du contenu en cause

Blocage, filtrage. Le tout sans qu’il soit fait mention du juge. Et si les éditeurs de contenu ne régissent pas, alors, comme l’indique le ministre, ce sont les hébergeurs qui seront sollicités (art.3 du projet de décret : “personnes mentionnés au 2. du I de l’article 6 de la loi du 21 juin 2004“), suivis des FAI (article 4 du projet de décret: “personnes mentionnées au 1. du I de l’article 6 de la loi du 21 juin 2004″). Opérateurs qui pourront également être sollicités “directement”, précise encore l’article 4, “en cas d’atteinte ou de risque sérieux et grave d’atteinte”. Évidemment, reste à déterminer ce qu’on met sous cette appellation.

Cheval de Troie et peau de banane

Un nouveau cheval de Troie semble avoir été mis sur pied. Et il soulève de nombreuses interrogations.

La première étant celle du calendrier: pourquoi sortir un tel projet maintenant ? Sur une loi datant de 2004 et peu de temps après les velléités, plus que manifestes, de Nicolas Sarkozy à prouver que oui, il s’était réconcilié avec le monde merveilleux d’Internet. Un “je vous ai compris” qui reste ambigu sur de nombreux points, comme nous le rappellent les dominantes de l’e-G8, mais qui était accompagné de la volonté explicite de ne pas refaire les erreurs de l’Hadopi et même, de la Loppsi. Quand bien même il ne s’agit là que d’une campagne de séduction, pourquoi aller à contre-courant en préconisant, comme le soulevait Alexandre Archambault, responsable des affaires réglementaires chez Iliad/Free, sur Twitter,  une mesure qui reviendrait à revenir “techniquement dix ans en arrière” ?

Pour beaucoup, ce projet est un fond de tiroir, à bazarder au plus vite. Marque de l’action de quelques lobbyistes, d’inquiétudes persistantes quant aux effets potentiellement néfastes du réseau. Voire un projet d’emblée agonisant, qu’il est urgent d’achever en raison de son applicabilité plus que réduite. Éventuelle inconstitutionnalité, qui se justifierait par l’absence du juge au sein du dispositif; champ d’action étendu à tous les membres de l’Union Européenne, donc disparate et peu flexible; sans compter la difficulté de mise en œuvre des mesures de filtrage et de blocage par les FAI. Car si la prise en charge des frais relatifs à toute intervention de leur part est effectivement prévue dans le projet de décret (article 6), cela ne veut pas dire que les opérateurs seront prêts à se plier sans sourciller à ces injonctions ou qu’ils y accorderont plus de crédit.

Le caractère amateur voire provocateur du texte renforce l’incompréhension. De même que son urgence. Saisi par Eric Besson, le Conseil National Numérique aurait ainsi été avisé du texte sans autres explications, et sommé de rendre un avis en quelques jours, avant vendredi prochain. Certains y voient clairement une manœuvre de déstabilisation du CNN qui, s’il demeure sans budget ni permanents chargés de coordonner son action, en est encore à l’heure des premières (é)preuves. D’autres s’interrogent sur une potentielle instrumentalisation du comité consultatif: le projet de décret, rédigé par les services du ministère de l’Intérieur, aurait été déterré par le cabinet du ministre de l’Industrie. Véritable enjeu numérique ou simple guéguerre de cabinets ?

Si le texte fait l’effet d’un lapin mal fagoté sorti du chapeau, il n’empêche que le CNN doit produire un avis, vraisemblablement amer. Sur le fond, le fait de ne pas y avoir associé les institutions européennes et, sans surprise, l’oubli du juge pourtant présenté comme indispensable dès qu’une mesure de filtrage se présente, devraient être pointés du doigt. Sur la forme, la précipitation accompagnant le projet devrait aussi coincer. François Momboisse, vice-président du CNN en charge de la commission Croissance, déclare:

S’il est nécessaire de clarifier les moyens selon lesquels la police et la justice peuvent intervenir sur Internet, ce projet a quelques orientations aberrantes. Certains points sont contraires au droit européen, Bruxelles n’a pas été notifiée; d’autres position vont contre des principes constitutionnels… Le Conseil a ainsi répété qu’on ne peut pas couper comme ça l’accès à Internet sans juge ! S’il est nécessaire d’encadrer l’article 18 de la LCEN, on ne peut pas le faire comme ça, à la sauvette.

Et en cette fin d’année parlementaire, les délais de réflexion risquent de se réduire comme neige au soleil: Paquet Telecom, taxe Google et désormais ce décret -en attendant d’autres amuse-gueules-, le CNN, comme d’autres, auront fort à faire pour scruter ces projets de régulation du réseau qui foisonnent. Et ce pas toujours pour le mieux.

Illustrations CC FlickR: El Bibliomata, jontintinjordan

“Le principe de l’Hadopi se divise en deux étapes : l’envoi des messages à vocation pédagogique et les sanctions, dont la coupure de l’accès Internet qui a beaucoup fait parlé lors des débats” nous rappelle la Commission. “La Cnil a autorisé l’émission des messages, et, lors de sa séance plénière du 10 juin, la transmission des adresses IP à l’Hadopi (autorisation donnée à quatre sociétés de perception des droits d’auteur pour la collecte d’IP sur les réseaux peer-to-peer, et leur transmission à l’Hadopi ndlr).”

“Aujourd’hui seulement une partie de la loi peut donc être mise en œuvre”

Concernant les sanctions prévues par la loi, la Cnil nous indique qu’elles “se trouvent dans le volet pénal, qui doit faire l’objet d’un décret. Ce décret n’est pas encore paru, donc il n’a pas encore été été soumis à la Cnil”. Elle poursuit : “aujourd’hui seulement une partie de la loi peut donc être mise en œuvre”. Et donc, qu’à ce jour,“le volet pénal ne peut pas être mis en œuvre”.

Il faut notamment que soient précisées, par décret, les “règles applicables à la procédure et à l’instruction des dossiers” devant le collège et la commission de protection des droits de la Haute Autorité. Ainsi que les éléments constitutifs de la “négligence caractérisée” prévue à l’article 8 de la loi Hadopi 2. Début mai, l’Hadopi indiquait à nos confrères de PC Inpact que : “L’infraction de négligence caractérisée n’est pas encore définie. C’est le décret en Conseil d’État qui va définir l’infraction de négligence caractérisée.” Quelques jours plus tard le ministère de la Culture assurait de son côté que ce décret “est en cours d’examen au Conseil d’État“. Tout en précisant que la négligence caractérisée “consistera à ne pas, sans motif légitime (notamment financier ou technique), sécuriser son accès Internet en dépit d’une recommandation valant mise en demeure adressée en ce sens” par la Haute Autorité.

Sans ces décrets, l’Hadopi peut-elle procéder à l’envoi des mails et des lettres recommandées d’avertissement ? “Oui, nous répond la Cnil. Et ça n’est pas une aberration”.

Le logiciel de sécurisation ? “Ça c’est un autre problème”

L’une des autres mesures prévues par la loi, et n’ayant toujours pas fait l’objet d’un décret, concerne la procédure d’évaluation et de labellisation des moyens de sécurisation destinés à “prévenir l’utilisation illicite de l’accès à un service de communication au public en ligne”. Interrogée sur ce point, la Cnil nous répond : “Ça c’est un autre problème”. La Cnil demandera-t-elle a être consultée à ce sujet ? “Cela dépendra comment est conçu le logiciel. Par exemple s’il y a un traitement de données à caractère personnel”, nous indique t-on. C’est une possibilité, mais aujourd’hui, c’est prématuré.”

Et la Commission de souligner que “l’avis de la Cnil est consultatif, le gouvernement peut passer outre”. De même sur 20minutes, Yann Padova rappelle que “lorsque la Cnil a été saisie de l’avant-projet de loi, elle avait fait part d’un certain nombre d’observations et de réserves”. Remis le 29 avril 2008, cet avis, très critique, concluait ainsi : “Le projet de loi ne comporte pas en l’état les garanties nécessaires pour assurer un juste équilibre entre le respect de la vie privée et le respect des droits d’auteur ». Son rôle ne peut pas aller au delà car le gouvernement et le Parlement sont souverains.”

“Les autres utilisations d’Internet (web, envoi de mails, réseaux sociaux, etc.) ne sont pas concernées”

Par ailleurs, le gouvernement a souvent annoncé que l’Hadopi ne se contenterait pas de lutter contre le téléchargement d’œuvres protégées via peer-to-peer, mais qu’il envisageait de s’attaquer à d’autres pratiques tel le “streaming illégal”. De son côté, toujours chat sur 20minutes, Yann Padova a indiqué que le mécanisme de l’Hadopi “s’appuie sur une collecte de données techniques échangées sur les réseaux peer-to-peer. Les autres utilisations d’Internet (web, envoi de mails, réseaux sociaux, etc.) ne sont pas concernées”.

—

Photo CC Flickr Cyril Krylatov

La saga de notre chère Hadopi n’en finit plus de ne plus finir de rebondir avant, peut-être, rêvons-en en cette trêve des confiseurs, de finir de rebondir pour chuter. Nous savons que nous allons recevoir nos premiers emails en avril prochain, si tant est que l’usine à gaz réussisse à trouver son mode de fonctionnement… mais c’est sans compter sur la CNIL qui apporte pas mal d’objections à cette Haute Autorité en cette période bénie…

Il était une fois un simple décret d’application non commenté par la Commission Nationale de l’Informatique et des Libertés. Les excès de confiance gouvernementaux laissaient d’ailleurs totalement pantois les observateurs de la vie politique et people. L’objet de ce  décret se montrait en effet délicat : la protection des données personnelles. La CNIL,  à l’orée des fêtes de Noël 2009, décida de ne point donner d’avis sur un texte dont elle n’avait pas a priori eu connaissance. Et tout le monde le sait sur les terres de Politique : pas d’avis de la CNIL revient à bloquer la procédure de la vilaine Hadopi… La résistance de la Commission faisait plaisir à voir concernant cette loi liberticide contre laquelle l’Owni, la Quadrature du net et maints autres blogueurs, ont lutté ardemment.

Sortons du conte… La riposte graduée tant désirée par les pourfendeurs du Net en deviendrait presque comique si elle ne touchait aux fondements même des libertés de chaque internaute, au-delà, de chaque citoyen. La mise en application de cette potentielle loi s’avère elle-même graduée ! Par petites étapes. Accroupie dans l’ombre d’une presse qui, le vote passé, s’en est désintéressé. Nous sommes encore loin des 3000 lettres envoyées quotidiennement, des 1000 demandes de suspension d’accès que Dame Albanel avait en octobre 2008 requis lors des auditions de la commission qui devait donner le jour à Hadopi !

Les forceps auront été nécessaires pour aboutir à une querelle de procédure comme cela avait été le cas pour Hadopi 1, jugée anticonstitutionnelle. La Tribune révèle en effet que le décret concernant la protection des données personnelles n’ayant pas à ce jour l’aval légal de la CNIL, nulle application hadopienne n’est envisageable. Belle surprise ! La CNIL a demandé à ce que le texte (le décret « procédure ») lui soit transmis pour rendre son avis à partir de janvier prochain… Et il ne s’agit pas d’un deus ex machina… les troupes prézydentielles avait déjà été prévenues : “la CNIL devra être saisie pour avis du décret d’application relatif aux modalités de mise en œuvre par l’Hadopi des traitements de données personnelles des internautes faisant l’objet de mesures de suspension. Elle exercera son contrôle sur l’ensemble de ces traitements, conformément à ses missions“.

Dans ce contexte relativement délétère politiquement, contexte dont les citoyens ne sont que peu informés, les tensions électorales vont alors entrer en ligne de compte, et cette bataille procédurière pourrait éventuellement s’inviter dans le “débat”… Les régionales avancent à grands pas, les isoloirs rendront leur verdict et de façon quasiment concomitante la CNIL donnera son avis, sachant qu’elle dispose de deux mois pour se prononcer dès lors qu’elle aura le texte controversé entre les mains. Cependant, contrairement à ce que nous disions plus haut, cela pourrait bien arranger une grande majorité des partis politiques de n’avoir pas très clairement à se prononcer pour ou contre ce texte ou même d’avoir à en débattre derechef avant les élections…. L’avis de la CNIL sera donc probablement commenté par les formations politiques au lendemain du scrutin… Si tant est qu’elles en disent quelque chose… de pertinent. On aimerait presque avoir à nouveau l’avis de Sieur Lefebvre, tant celui-ci est prometteur.

Les pirates sont encore à l’abri quelques temps…dans les criques bercées de doux sons et films téléchargés. Les droits des journalistes sont encore a minima garantis… Attendons avril pour voir, au printemps, fleurir dans nos boîtes mails les premiers avertissements, les lettres recommandées par la feue ministre Dame Albanel et voulues à l’identique par Fred Mitterrand. /-)