[MàJ] L'avis de la CNIL sur le blocage des sites sans juge publié au Journal officiel

[MàJ] L’avis de la CNIL sur le blocage des sites sans juge publié au Journal officiel

Après celui de l'ARCEP...

Avatar de l'auteur
Marc Rees

Publié dans

Droit

16/02/2015 6 minutes
21

[MàJ] L'avis de la CNIL sur le blocage des sites sans juge publié au Journal officiel

Exclusif Next INpact. Nous avons pu nous procurer l’avis de la CNIL sur le décret relatif au blocage administratif des sites. Selon nos informations, cet avis pourrait être publié demain au Journal officiel. Tour d’horizon des principaux commentaires de la gardienne des données personnelles.

Le 6 février dernier, le gouvernement publiait le décret sur le blocage administratif des sites pédopornographiques, faisant l’apologie ou provocant au terrorisme (voir notre actualité). Avant de procéder à cette publication, l’Intérieur avait dû notifier le texte à la Commission européenne, récolter l’avis de l’ARCEP et celui de la CNIL. C'est cet avis que nous diffusons ci-dessous :

D'entrée, la CNIL revient sur l’économie du dispositif : l’Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC), une autorité administrative, est désormais chargé de dresser une liste noire des sites pédopornographiques ou incitants/provocants au terrorisme. Faute de réaction des éditeurs et des hébergeurs, cette liste est notifiée aux fournisseurs d’accès qui doivent très rapidement empêcher l’accès aux sites par un blocage de type DNS. Pas une seule fois le juge n'intervient pour valider ou rejeter ce qui a été considéré comme illicite par l'Intérieur.

Les utilisateurs qui tenteront ensuite de visiter le site bloqué seront alors redirigés sur une page du ministère « indiquant pour chacun des deux cas de blocage les motifs de la mesure de protection et les voies de recours ». Ces opérations seront contrôlées par une personnalité désignée par la CNIL, chargée spécialement de surveiller l’édition et la mise à jour de la fameuse liste noire. En cas de désaccord, celle-ci peut saisir en bout de courses le Conseil d’État afin de faire réformer le bannissement d’un site Internet.

Qu’a dit l’autorité de contrôle des données personnelles au ministère de l’Intérieur, Bernard Cazeneuve ? Ses remarques visent plusieurs points du mécanisme.

Des moyens suffisants pour la personnalité chargée de surveiller le blocage

Elle demande d’abord de doter la personnalité qualifiée « de moyens spécifiques afin de lui permettre de remplir effectivement les missions qui lui sont confiées par la loi ». En clair, faute de « moyens humains, techniques et financiers » suffisants, cet acteur pourrait ne pas être en mesure de détecter d’éventuels faux positifs dans la liste noire. Dans son décret final, l’Intérieur s’est limité au minimum vital, sur le dos de la Commission : « la personnalité qualifiée dispose pour l'exercice de ses fonctions des services de la Commission nationale de l'informatique et des libertés ». Il prévoit malgré tout la possibilité pour la personnalité de faire appel à un interprète, sans que la question de la prise en charge des coûts soit éclaircie.

La CNIL remarque encore que le projet de décret ne prévoyait aucune précision sur les modalités d’habilitations des agents de l’OCLCTIC pouvant exiger le retrait des contenus. Ce gros oubli a été colmaté par le texte final : il est dit que « seuls les agents individuellement désignés et dûment habilités par le chef de l'office sont autorisés à mettre en œuvre la procédure prévue. »

La sécurisation, l’oubli des éditeurs et des hébergeurs

Un autre écueil concerne cette fois les modalités d’échange entre l’OCLCTIC et les FAI. La liste noire leur est adressée « selon un mode de transmission sécurisé, qui en garantit la confidentialité et l'intégrité » dit le décret. Dans l’avis de la CNIL, on apprend que les FAI seront notifiés par simple courrier électronique. Toutefois, au 15 janvier, date de l’avis, l’Intérieur était encore en quête de solutions pour garantir la fameuse « confidentialité et intégrité » de ces listes. Devant ce flou, la CNIL demande « à être informée des mesures effectivement mises en œuvre. »

Surtout, à l’instar du député Lionel Tardy, la CNIL remarque que le décret a oublié de prévoir « les modalités de transmissions des demandes de retrait aux hébergeurs et éditeurs concernés », alors que ceux-ci doivent être alertés avant tout, comme le veut la loi. Pareillement, rien n’est prévu pour qu’ils soient eux aussi astreints à bien préserver la confidentialité du signalement, tout en s’interdisant de le modifier. La CNIL regrette plus globalement l’absence de « garanties identiques pour les éditeurs et hébergeurs concernés s’agissant de la transmission des demandes et adresses précitées ».

Dans le texte qui lui avait été soumis, l’Intérieur avait également omis de prévoir les modalités précises de mise à jour de la liste noire, alors qu’un site peut disparaitre ou perdre son versant illicite. Finalement le décret publié au JO a opté, non pour une mise à jour quotidienne, comme ce fut esquissé, mais trimestrielle. La CNIL aurait souhaité surtout que cette mise à jour puisse intervenir à la demande de l’éditeur ou de l’hébergeur. Le texte final ne prévoit pas cette fenêtre.

Pas de recueil des IP sur la page de redirection

Quant à la page de redirection, l'avis souligne au feutre que « le cadre juridique actuel ne permet ni la collecte ni l’exploitation, par l’OCLCTIC, des données de connexion des internautes ». La Commission informe déjà que si une telle collecte était un jour envisagée, elle devrait lui être préalablement soumise aux fins de contrôle.

Fait notable encore, elle rappelle qu’une demande de retrait adressée à un éditeur ou un hébergeur constitue « une décision administrative défavorable » devant du coup être motivée. Le décret ne donne pas davantage de précision particulière. La commission voudrait aussi que « le motif précis de la demande de retrait, la copie des pages estimées illicites, les éléments de fait permettant de caractériser les infractions, etc. » soient adressés à la personnalité qualifiée. Au JO, le décret final prévoit en réponse que la liste noire est « mise à disposition » de la personnalité qualifiée, ainsi que « les éléments établissant la méconnaissance par les contenus des [sites] » des dispositions du Code pénal…

L’avis de la Commission a également débordé sur le déréférencement administratif, programmé dans un autre texte. D’ores et déjà, elle remarque « qu’aucune disposition spécifique de nature législative ou réglementaire ne permet de déterminer le périmètre exact du déréférencement auquel seront soumis (…) les moteurs de recherche, ainsi que les critères leur permettant de faire cesser le référencement. »

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Des moyens suffisants pour la personnalité chargée de surveiller le blocage

La sécurisation, l’oubli des éditeurs et des hébergeurs

Pas de recueil des IP sur la page de redirection

Commentaires (21)


En gros, l’Intérieur a fait le strict minimum pour que les coupures soient faites, mais en évitant soigneusement tous les garde-fous :





  • pas de demande de retrait préalable aux hébergeurs ou éditeurs.

  • mise à jour trimestrielle (faut attendre 3 mois pour débloquer un site bloqué injustement…)

  • redirection vers un site du ministère, histoire de récupérer les IPs des pédoterroristes







    <img data-src=" />


j’ai l’impression que ça a été voté comme chez EA

les MAJ,DLC et autres joyeusetés c’est pour plus tard ( ou pas )&nbsp;



Pas de recueil des IP sur la page de redirection



vu que c’est du travail qui a l’air franchement bâclé , il n’est pas étonnant que ce soit remis a plus tard

c’est moi ou ils ont voulu constituer un fichier en douce ?








Mihashi a écrit :



En gros, l’Intérieur a fait le strict minimum pour que les coupures soient faites, mais en évitant soigneusement tous les garde-fous :



 pas de demande de retrait préalable aux hébergeurs ou éditeurs.       

mise à jour trimestrielle (faut attendre 3 mois pour débloquer un site bloqué injustement…)

redirection vers un site du ministère, histoire de récupérer les IPs des pédoterroristes








 Hé, sérieusement, c'est fort en cacao le first post trollesque là, t'as lu l'article ? <img data-src=">  






- L'autorité administrative demandera aux éditeurs/hébergeur de retirer le contenu à caractère illicite et préviendra les FAI de cette demande.     



Si ledit contenu n’est pas retiré dans les 24 heures ALORS la démarche se poursuivra vers les FAI pour un blocage administratif ;



&nbsp;      

- Pour la redirection vers un site du ministère, la CNIL dit ceci, lis bien :

"Quant à la page de redirection, l'avis souligne au feutre que « le cadre juridique actuel ne permet ni la collecte ni l’exploitation, par l’OCLCTIC, des données de connexion des internautes ». La Commission informe déjà que si une telle collecte était un jour envisagée, elle devrait lui être préalablement soumise aux fins de contrôle."






- Et pour le blocage de trois mois, il est certain qu'une mesure de vérification sur demande dudit éditeur/hébergeur aurait été intéressante, je suis d'accord avec toi, et c'est d'ailleurs ce que dit aussi la CNIL.   











alex13 a écrit :



vu que c’est du travail qui a l’air franchement bâclé , il n’est pas étonnant que ce soit remis a plus tard



 c'est moi ou ils ont voulu constituer un fichier en douce ?








 C'est toi.    



Rien n’a été prévus en ce sens, et la CNIL le souligne bien en prévoyant à l’avance, au cas ou.



Alors à moins de voir l'avenir, il vaudrait mieux s'en tenir à ce que dit le texte actuellement plutôt qu'inventer mille et une mesure hypothétique pour flamme dans les commentaires <img data-src=">








philanthropos a écrit :



Hé, sérieusement, c’est fort en cacao le first post trollesque là, t’as lu l’article ? <img data-src=" />





C’est pas un troll, je reprends juste les remarque de la CNIL.







philanthropos a écrit :





  • L’autorité administrative demandera aux éditeurs/hébergeur de retirer le contenu à caractère illicite et préviendra les FAI de cette demande.

    Si ledit contenu n’est pas retiré dans les 24 heures ALORS la démarche se poursuivra vers les FAI pour un blocage administratif ;





    Sauf que, comme le dit la news (preuve que je l’ai bien lue, moi) :





    News a écrit :



    Le décret a oublié de prévoir « les modalités de transmissions des demandes de retrait aux hébergeurs et éditeurs concernés »





    Et donc ça ne sera pas fait.







    philanthropos a écrit :



  • Pour la redirection vers un site du ministère, la CNIL dit ceci, lis bien :





    Mais bien sûr, ils vont vachement le respecter, comme pour les fichiers Stic et Judex <img data-src=" />.









Mihashi a écrit :



Sauf que, comme le dit la news (preuve que je l’ai bien lue, moi) :



Et donc ça ne sera pas fait.





Hum… à moins que je me trompe deux fois de suite <img data-src=" /> … tu fais la même erreur que moi.

La news ne dit pas qu’il n’y a pas de notification aux hébergeurs/éditeurs.

&nbsp;Elle dit que les modalités de transmission des demandes ne sont pas précisés, et qu’il faudrait qu’elles garantissent “la confidentialité et l’intégrité” de ces demandes.



Philanthropos a raison.

Il a tellement raison qu’il cite des éléments qui ne sont pas dans la news <img data-src=" />

Mais, je crois que c’était dans une news précédente, ou peut-être dans l’un des liens que je n’ai pas suivit <img data-src=" />…



(Disclaimer : je n’ai absolument aucun lien, ou rapport avec le “cacao” dont-il parle <img data-src=" />)



&nbsp;C’est vrai,&nbsp;mais rien que le fait qu’ils y aient pensé j’ai eu comme un reflexe <img data-src=" />


Avis de la CNIL qui arrive après la bataille, comme d’habitude…<img data-src=" />


La CNIL n’y est un peu pour rien… Les avis sur un décret ne peuvent être diffusés avant la publication du texte en question au JO ;)


Ah, je suis tellement habitué à râler sur la réactivité des organismes qui émettent des avis que…bref j’ai eu tort.


j’aime la notion de loi “cheque en blanc” à moitié vide, le contenu de la loi sera précisé/défini par décret (donc sans vote ni debat… oups comme à l’assemblée, déjà en fait), par le sinistre correspondant, une loi excluant le juge (car on sait bien que le juge n’a pas qualité à juger de ce qui est illicite ou en infraction avec la loi, c’est pas son boulot)



c’est la nouvelle d’une nombreuse liste de lois de ce style


À confirmer, mais si il n’y a pas de décret avec les modalités, ils ne peuvent pas notifier les hébergeurs.



Un peu comme le remboursement des FAI pour le boulot qu’ils font pour l’HADOPI : la loi prévoit qu’ils doivent être remboursés, mais vu qu’il n’y a pas de décret d’application, ce n’est pas fait…








Mihashi a écrit :



C’est pas un troll, je reprends juste les remarque de la CNIL.



    Sauf que, comme le dit la news (preuve que je l'ai bien lue, moi) :          

Et donc ça ne sera pas fait.

Mais bien sûr, ils vont vachement le respecter, comme pour les fichiers Stic et Judex <img data-src=">.








La news ne dit à aucun moment que "ce ne sera pas fait", et l'avis de la CNIL (faut le lire aussi) ne va pas en ce sens, merci de ne pas inventer n'importe quoi en le sortant de ton chapeau ou/et en imaginant.   

Il manque en effet les "modalités", mais ça n'empêche légalement en rien la transmission d'informations.






   Tu sais, puisque les commentaires dans ton genre qui ne lisent qu'à  moitié les news et les interprètent à leur façon parce qu'ils sont bornés, obtus et haineux/en colère envers le sytème, commencent à  m'exaspérer, je vais m'éviter de te répondre plus en avant.         





Priceless.



   &nbsp;         







Chocolat-du-mendiant a écrit :



Il a tellement raison qu’il cite des éléments qui ne sont pas dans la news <img data-src=" />



    Mais, je crois que c'était dans une news précédente, ou peut-être dans l'un des liens que je n'ai pas suivit <img data-src=">...          






    (Disclaimer : je n'ai absolument aucun lien, ou rapport avec le "cacao" dont-il parle <img data-src=">)








   Oui il y avait une autre news à ce propos hier dans la journée (enfin avant-hier en l’occurrence ^^).         





Ps pour le disclaimer : <img data-src=" />



L’avis de la CNIL ils n’en ont strictement rien à foutre, c’est un avis purement consultatif.



Quelqu’un est il encore assez naïf en 2015 pour croire qu’aucune collecte des ip ne sera faite ???



Bref…..








erak54 a écrit :



L’avis de la CNIL ils n’en ont strictement rien à foutre, c’est un avis purement consultatif.



  Quelqu'un est il encore assez naïf en 2015 pour croire qu'aucune collecte des ip ne sera faite ???        

Bref.....








  :ne s'énerve pas:       






 Bon, j'vais tenter de faire simple pour un esprit simple, vu que tu semble uniquement raisonner de façon binaire, et que ça commence doucement à saouler de voir des réflexions idiotes, complotistes/alarmistes sorties du chapeau sans réfléchir.      






 - Il est, actuellement, totalement illégal de collecter les IP des gens qui serons redirigés vers le site du Ministère en cas de blocage suite à ce décret. La CNIL a prévenue le Gouv. en ce sens et que, SI et seulement SI, il devait y en avoir un, il devrait être contrôlé [...] ;      

&nbsp;

- Dans le cas, improbable, où un fichage des données collectées serait fait de façon illégale, il faudrait avoir accès aux BDD des FAI, avec des ordonnances de Juges, pour accéder aux données personnelles desdits internautes (Nom, Prénom, Adresse, etc.), cela pose un problème de motivation des requêtes au niveau des Juges&nbsp;<img data-src="> ;

&nbsp;

- Et même dans le cas où un Juge accepterait, par hasard (ou par corruption selon toi <img data-src=">), tout cela ne tiendrait pas une demi-seconde devant le moindre tribunal vu l'illégalité de ladite preuve (la base du Code Pénal : toute preuve apportée de façon à violer la loi &amp; les droits de l'accusé est nulle).






 Bref.     





Edit : désolé pour le ton, mais ça m’énerve les jugements/réflexions à l’emporte-pièce.









philanthropos a écrit :



Tu sais, puisque les commentaires dans ton genre qui ne lisent qu’à moitié les news et les interprètent à leur façon parce qu’ils sont bornés, obtus et haineux/en colère envers le sytème, commencent à m’exaspérer, je vais m’éviter de te répondre plus en avant.





<img data-src=" />

Tu délires là.



D’un j’ai très bien lu la news, merci.



De deux, j’ai le droit d’avoir mon avis et de le défendre. Je n’ai aucune confiance dans le ministère de l’intérieur vu comment il gère ses fichiers sans aucun respect des lois. Et d’ailleurs je ne suis pas le seul, ce n’est pas pour rien que la CNIL a fortement souligné ce passage. Elle voit clairement ce qui arrive, mais ne peut malheureusement rien faire de plus pour les en empêcher (elle n’arrive déjà pas à lui faire respecter la loi avec le Stic et le Judex…)



Et enfin je ne suis pas haineux ni en colère envers le système, au contraire, je m’insurge contre les entités qui profitent de failles dans le système pour tenter de le détourner.



“Fait notable encore, elle rappelle qu’une demande de retrait adressée à un éditeur ou un hébergeur constitue « une décision administrative défavorable » devant du coup être motivée”



Ca effectivement c’est notable, car ça permet de contester dès ce stade et ça doit permettre d’éviter les demandes de retraits à la chaine sur une motivation standardisée (chose équivalente à une absence de motivation).



&nbsp;Reste à voir si les juridictions administratives vont faire la même interprétation que la CNIL, ce point n’est pas gagné d’avance hélas.



PS: Salut Marc, très jolie photo ;)


Ah tu a raison c’est illégal, ils ne vont surtout pas enfreindre la loi,&nbsp; en plus la CNIL (qui n’a aucun pouvoir) veille , je vois le mal partout sans doute.



plus sérieusement on a vue le résultat des avis (purement consultatif) de la CNIL a de nombreuse reprise&nbsp; (Stic,Judex,…), de plus certaines officines n’ont aucun besoin de passer par un juge pour organisé une collecte d’IP, on l’a vu a de nombreuse reprise dernièrement.



Complotise lol on me le sortait il y a quelques année , depuis Snowden est passé et a tout confirmé ( et pire encore).



&nbsp;Être soit disant “complotistes/alarmistes” m’a jusqu’a présent quasiment toujours donné raison sur la durée, c’est plus prudent que le “bisounoursisme”.



Perso je me définirai plutôt comme réaliste, mais bon….


Sur le plan du droit tu as raison, avec un bémol,“le juge” en l’espèce sera dans 99% des cas un membre du parquet et pas un Juge d’instruction, renvoyant directement à l’absence d’indépendante de notre ministère public.



Heureusement (ou malheureusement), le parquet (comme les Juges d’instruction) ont pour instruction de limiter les demandes d’identification en raison du coût facturé par les prestataires et dans l’attente de la plateforme dédiée (usine à gaz) qui devait faire ce boulot à moindre coût depuis des mois, mais qui n’est toujours pas opérationnelle aux dernières nouvelles.



Aussi et au moins financièrement, il est très improbable qu’une identification systématique des IP soit mise en œuvre.


<img data-src=" />

Merci d’avoir ajouté la précision.








Djaron a écrit :



j’aime la notion de loi “cheque en blanc” à moitié vide, le contenu de la loi sera précisé/défini par décret (donc sans vote ni debat… oups comme à l’assemblée, déjà en fait), par le sinistre correspondant, une loi excluant le juge (car on sait bien que le juge n’a pas qualité à juger de ce qui est illicite ou en infraction avec la loi, c’est pas son boulot)



c’est la nouvelle d’une nombreuse liste de lois de ce style





Un peu comme les jeux qui sortent, on rajoute un ou plusieurs patches plus tard (et des DLC d’enfer qui permettent d’avantager celui qui sort son portefeuille)



Il est facile de supposer que le “secret des affaires” permettrait à des personnes malintentionnées de cacher au public des décisions immorales (voir illégales).



A l’inverse, il est un peu facile d’ignorer l’existence de la guerre économique qui fait rage et refuser d’avoir un arsenal juridique pour protéger les entreprises.