« Nous avons l'intention de permettre, et ce sera une première, le blocage des sites proposant des images et des représentations de mineurs à caractère pornographique » a donc annoncé hier Brice Hortefeux donnant le détail du calendrier de présentation de la LOPPSI, fameuse loi d'orientation et de programmation pour la performance de la sécurité intérieure. Le ministre s’est drapé dans le même temps d’un habit de protecteur, aboyant contre cette soi-disant zone de non-droit : « internet est aussi devenu un vrai lieu de danger », lieu où « escroqueries, faux e-mail, vols de numéros de cartes bancaires, trafics de stupéfiants, apologie du racisme, pédopornographie et, dans un certain nombre de cas, terrorisme ». Avant le début des débats, nous vous proposons un point sur ce texte.
Quand ?
Le projet de loi LOPPSI est d’une urgence relative, malgré la description apocalyptique d’Internet par le ministre Hortefeux. La LOPPSI 2 devait être adoptée au premier semestre 2008. Elle entame donc ses deux années de retard.
Ministre de l'Intérieur en juin 2008, Michèle Alliot-Marie expliquait : « nous nous sommes mis d'accord : l'accès aux sites à caractère pédopornographique sera bloqué en France. D'autres démocraties l'ont fait. La France ne devait plus attendre. » Ce texte est accessible sur Webarchive (merci Firefox) mais plus sur le site du ministère.
Aujourd’hui, Horteufeux nous explique que « ce sera une première ». Une manière de cacher ce retard alors que, si l’on suit le ministre, le net est si dangereux.
Pourquoi une loi et pas une charte ?
En juin 2008, nous révélions que le gouvernement d’alors tentait de faire signer aux acteurs du web une sorte de document « moral », une charte dans laquelle ces intermédiaires s’engageaient aux meilleures pratiques possibles. Ce texte avait été poussé par une recommandation du Forum des Droits de l’Internet datant de 2005-2006.
« La délinquance évolue vite. S’il faut une semaine pour obtenir d’un FAI les adresses IP, la localisation d’une personne, etc., et qu’un attentat est commis, plus personne ne dira que nos mesures étaient exorbitantes du droit commun (…) il nous faut les moyens techniques pour ne pas être en retard sur les technologies » nous expliquait le ministère de l’Intérieur au même moment « Il n’a pas d’idée de contrôle P2P sur les contenus (…) Nulle part il n’est dit que le gouvernement souhaite filtrer d’autres sites que les sites pédopornographiques ». On sait que depuis, le filtrage s’est invité dans la loi sur les jeux d’argent en ligne, un projet sur les jeux dangereux ou la loi Hadopi. D’ailleurs, opportuniste, l’Industrie du disque se disait très attentive aux progrès techniques réalisés dans le blocage des sites pédopornographiques.
Mais pourquoi une loi ?
Les opérateurs sont tenus à une obligation de neutralité. De plus, bloquer un site peut générer des faux positifs : on bloque un site, qui se révèle être finalement non pédophile. On bloque un site, et finalement on bloque tous les autres sites hébergés sur le même serveur… etc. Quid dans ce cas des dédommagements ? Qui doit payer ? Qui est responsable ? Passer par une loi permet de trancher cette question en orientant cette prise en charge sur les deniers de l’Etat.
C'est pourquoi Free soutenait : « nous sommes légaliste. Nous n’avons pas fait mystère que pour nous c’est un sujet suffisamment grave qui ne peut être traité que par la loi et non par une énième charte ».
Que dit la LOPPSI en pratique sur le filtrage ?
Tout - ou plutôt les rares éléments sont dans l’article 4 du projet en cours :
Ce qui veut dire... ?
Les intermédiaires techniques (FAI et Hébergeurs) seront contactés par une autorité administrative qui leur demandera de bloquer tel ou tel site. S’ils ne le font pas, ils seront susceptibles de lourdes peines. La sanction est lourde : un an d'emprisonnement et de 75 000 euros d'amende. Le texte se garde bien de donner les détails techniques, se contentant d’imposer une obligation de résultat.
Comment a été apprécié ce texte ?
Mal. L’ASIC comme les FAI avaient critiqué que le pouvoir se concentre dans une autorité administrative, et donc dans les mains du ministère de l’intérieur. Dans sa décision Hadopi, le Conseil constitutionnel a rappelé pourtant que toutes mesures susceptibles d’aboutir à un blocage de l’accès à l’internet se devaient d’être conciliées avec « l'exercice du droit de libre communication et de la liberté de parler, écrire et imprimer ». Et... seul le juge pouvait orchestrer cette conciliation.
Pour l’ASIC, qui rassemble les acteurs du Web 2.0, ce régime «constitue un risque de porter atteinte à ce principe essentiel de neutralité vis-à-vis des contenus et correspondances privées transportés sur les réseaux ». Il ne faut pas l’interdire mais le limiter : « un dispositif de blocage doit bien être considéré comme exceptionnel et limité définitivement aux contenus pédopornographiques ». On réclame aussi un principe de subsidiarité tel qu'il existe déjà dans la loi pour la confiance dans l'économie numérique : on s’adresse d’abord à l’éditeur, puis à l’hébergeur, puis au FAI. Le retrait est considéré comme la mesure la plus efficace. « Outre une plus grande efficacité, cette suggestion permettrait aussi de limiter la taille de la "liste noire", et ainsi le coût du dispositif supporté par l'État (et donc les contribuables) mais également le risque d'erreur dans les pages web placées sur la liste noire. »
Les FAI, tout du moins Free, partagent cette opinion
Comment va fonctionner le filtrage ?
Concrètement, on n’en sait rien à ce jour. Selon les rares données, on sait que la liste des sites à bloquer devrait être prise par un arrêté du ministre de l’Intérieur. C’est l’office de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) qui transmettra cette liste aux FAI qui auront le choix des technologies de blocage. La loi ne parle aucunement des techniques ou des modalités pratiques, puisque c’est typiquement des détails qui sont de l’ordre du décret. Néanmoins, la LOPPSI et bon nombre d’autres acteurs savent qu’on joue ici avec le feu, quand bien même l’éradication de la pédophilie est incontestable.
On joue avec le feu ? C'est à dire ?
On critique la mauvaise efficacité du filtrage. Les risques de sous blocage ou de sur blocage ne sont pas des hypothèses d'école.
Pour la Commission de la défense nationale et des forces armées, « si ce dispositif semble opportun, l’étude d’impact correspondante n’en démontre pas l’efficacité, ni n’évalue précisément son coût global, tant en termes de compensation pour les FAI que de moyens pour les services de l’État ».
Le projet de loi LOPPSI admet sans rougir les risques de surblocage dans son texte de présentation (l’étude d’impact avant le projet de loi)
Un danger qui avait été souligné par différents acteurs comme Free ou Christophe Espern dans une étude de référence.
De fait, début 2010, et pour tenir compte de ces critiques, la LOPPSI pourrait être modifiée, remise à plat pour insister sur la collaboration entre les différents acteurs, plutôt que l’obligation sèche de résultat. Mais il faudra voir le texte définitif pour se prononcer sur le sens futur.
La LOPPSI, ce n’est que cela ?
Pas tout à fait.
La LOPPSI ce sont aussi les mouchards de la police
Le projet de loi autorise la police dans certaines circonstances à utiliser des logiciels mouchards enregistrant les frappes au clavier (keylogger) ou des captures d’écran, à l’insu de l’utilisateur. Ces dispositifs pourront être installés sur place ou même à distance durant une période de huit mois. L'accueil fut plutôt froid du côté de RSF comme de la CNIL : « Le projet de loi prévoit la possibilité de mettre en oeuvre un dispositif de captation dans tout type de point d'accès public à Internet (cybercafés ou bornes d'accès publiques). La Commission souligne la portée de cette disposition, qui pourrait permettre l'enregistrement pendant une durée d'au plus huit mois, de tous les caractères saisis au clavier et de toutes les images affichées sur l’écran de tous les ordinateurs d'un point d'accès public à Internet, et ce, à l'insu des utilisateurs. »
La LOPPSI c'est aussi le fichier d'analyse sérielle
La LOPPSI, c’est aussi le fameux fichier d’analyse sériel. Il s’agit d’un système de traitement des données ouvertes (informations disponibles sur internet, Facebook, Twitter, etc.) ou fermées (IP, numéro de téléphone, données détenues par les FAI) qui pourront être exploitées dans le cadre de certaines infractions. C'est là une une capacité énorme de rapprochement et de traitement de la sérialité qui est en phase d'installation. Une infraction à lieu près d’une banque et voilà la police autorisée à analyser la liste de tous les mobiles qui ont passé un appel à partir d’une borne située à proximité, les références GPS des voitures en circulation dans les alentours, les numéros de CB utilisés pour payer ou retirer de l’argent, le tout croisé avec tous les fichiers possibles comme ceux détenus par les autres administrations et tous les opérateurs privés, ou sur les réseaux internet. On veut aller très vite et ratisser très large.
La LOPPSI c'est aussi la sanction de l'usurpation d'identité
La LOPPSI veut sanctionner le fait d’utiliser « de manière réitérée » l’identité d’un tiers ou des données qui lui sont personnelles, « en vue de troubler la tranquillité de cette personne ou d’autrui ». Peine encourue : un an d’emprisonnement et 15 000 € d’amende.
Est puni de la même peine « le fait d’utiliser l’identité d’un tiers ou des données qui lui sont personnelles, en vue de porter atteinte à son honneur ou à sa considération. » L’ASIC avait été très remontée contre ce texte. Elle ne comprend pas pourquoi la menace/harcèlement implique un acte réitéré, tandis que l’atteinte à l’honneur se suffit d'un seul acte.
« L'ASIC s'interroge sur le degré de rapprochement des actes pour qu'on considère qu'il y a réitération. Un billet blog publié en 2007 puis un autre en 2009 seront-ils analysés en un acte réitéré? » Pire : « Dans la mesure où ils ne visent pas seulement l’usurpation d’identité mais aussi tout usage de toute donnée personnelle d’autrui d’une manière qui trouble sa tranquillité, les interdictions pourraient s’appliquer au fait de « tagger » quelqu’un sur une photo sur un réseau social sans son accord, au fait de critiquer qui que ce soit sur un blog, au fait de critiquer un artiste, une personnalité, une personne publique sur un forum, ou s’appliquer même à la vidéo de Sarkozy au salon de l’agriculture disant « casse-toi pauv’con ». D’un devoir de mémoire, ce texte impose une obligation à l’oubli et porte atteinte directement à la liberté d’information.
Quand ?
Le projet de loi LOPPSI est d’une urgence relative, malgré la description apocalyptique d’Internet par le ministre Hortefeux. La LOPPSI 2 devait être adoptée au premier semestre 2008. Elle entame donc ses deux années de retard.
Ministre de l'Intérieur en juin 2008, Michèle Alliot-Marie expliquait : « nous nous sommes mis d'accord : l'accès aux sites à caractère pédopornographique sera bloqué en France. D'autres démocraties l'ont fait. La France ne devait plus attendre. » Ce texte est accessible sur Webarchive (merci Firefox) mais plus sur le site du ministère.
Aujourd’hui, Horteufeux nous explique que « ce sera une première ». Une manière de cacher ce retard alors que, si l’on suit le ministre, le net est si dangereux.
Pourquoi une loi et pas une charte ?
En juin 2008, nous révélions que le gouvernement d’alors tentait de faire signer aux acteurs du web une sorte de document « moral », une charte dans laquelle ces intermédiaires s’engageaient aux meilleures pratiques possibles. Ce texte avait été poussé par une recommandation du Forum des Droits de l’Internet datant de 2005-2006.
« La délinquance évolue vite. S’il faut une semaine pour obtenir d’un FAI les adresses IP, la localisation d’une personne, etc., et qu’un attentat est commis, plus personne ne dira que nos mesures étaient exorbitantes du droit commun (…) il nous faut les moyens techniques pour ne pas être en retard sur les technologies » nous expliquait le ministère de l’Intérieur au même moment « Il n’a pas d’idée de contrôle P2P sur les contenus (…) Nulle part il n’est dit que le gouvernement souhaite filtrer d’autres sites que les sites pédopornographiques ». On sait que depuis, le filtrage s’est invité dans la loi sur les jeux d’argent en ligne, un projet sur les jeux dangereux ou la loi Hadopi. D’ailleurs, opportuniste, l’Industrie du disque se disait très attentive aux progrès techniques réalisés dans le blocage des sites pédopornographiques.
Mais pourquoi une loi ?
Les opérateurs sont tenus à une obligation de neutralité. De plus, bloquer un site peut générer des faux positifs : on bloque un site, qui se révèle être finalement non pédophile. On bloque un site, et finalement on bloque tous les autres sites hébergés sur le même serveur… etc. Quid dans ce cas des dédommagements ? Qui doit payer ? Qui est responsable ? Passer par une loi permet de trancher cette question en orientant cette prise en charge sur les deniers de l’Etat.
C'est pourquoi Free soutenait : « nous sommes légaliste. Nous n’avons pas fait mystère que pour nous c’est un sujet suffisamment grave qui ne peut être traité que par la loi et non par une énième charte ».
Que dit la LOPPSI en pratique sur le filtrage ?
Tout - ou plutôt les rares éléments sont dans l’article 4 du projet en cours :
Article 4
I. – L’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique est ainsi modifié :
1° Après le quatrième alinéa du 7. du I, sont insérés deux alinéas ainsi rédigés :
« Lorsque les nécessités de la lutte contre la diffusion des images ou des représentations de mineurs relevant des dispositions de l’article 227-23 du code pénal le justifient, l’autorité administrative notifie aux personnes mentionnées au 1 les adresses internet des services de communication au public en ligne entrant dans les prévisions de cet article, et auxquelles ces personnes doivent empêcher l’accès sans délai.
« Un décret fixe les modalités d’application de l’alinéa précédent, notamment celles selon lesquelles sont compensés, s’il y a lieu, les surcoûts résultant des obligations mises à la charge des opérateurs. » ;
2° Au dernier alinéa du 7. du I, les mots : « quatrième et cinquième » sont remplacés par les mots : « quatrième, cinquième et septième » ;
3° Au premier alinéa du 1. du VI, les mots : « quatrième et cinquième » sont remplacés par les mots : « quatrième, cinquième et septième » ;
II. – Les dispositions du I entrent en vigueur six mois à compter de la publication du décret prévu au 1° du I et, au plus tard, à l’expiration d’un délai d’un an à compter de la publication de la présente loi.
I. – L’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique est ainsi modifié :
1° Après le quatrième alinéa du 7. du I, sont insérés deux alinéas ainsi rédigés :
« Lorsque les nécessités de la lutte contre la diffusion des images ou des représentations de mineurs relevant des dispositions de l’article 227-23 du code pénal le justifient, l’autorité administrative notifie aux personnes mentionnées au 1 les adresses internet des services de communication au public en ligne entrant dans les prévisions de cet article, et auxquelles ces personnes doivent empêcher l’accès sans délai.
« Un décret fixe les modalités d’application de l’alinéa précédent, notamment celles selon lesquelles sont compensés, s’il y a lieu, les surcoûts résultant des obligations mises à la charge des opérateurs. » ;
2° Au dernier alinéa du 7. du I, les mots : « quatrième et cinquième » sont remplacés par les mots : « quatrième, cinquième et septième » ;
3° Au premier alinéa du 1. du VI, les mots : « quatrième et cinquième » sont remplacés par les mots : « quatrième, cinquième et septième » ;
II. – Les dispositions du I entrent en vigueur six mois à compter de la publication du décret prévu au 1° du I et, au plus tard, à l’expiration d’un délai d’un an à compter de la publication de la présente loi.
Ce qui veut dire... ?
Les intermédiaires techniques (FAI et Hébergeurs) seront contactés par une autorité administrative qui leur demandera de bloquer tel ou tel site. S’ils ne le font pas, ils seront susceptibles de lourdes peines. La sanction est lourde : un an d'emprisonnement et de 75 000 euros d'amende. Le texte se garde bien de donner les détails techniques, se contentant d’imposer une obligation de résultat.
Comment a été apprécié ce texte ?
Mal. L’ASIC comme les FAI avaient critiqué que le pouvoir se concentre dans une autorité administrative, et donc dans les mains du ministère de l’intérieur. Dans sa décision Hadopi, le Conseil constitutionnel a rappelé pourtant que toutes mesures susceptibles d’aboutir à un blocage de l’accès à l’internet se devaient d’être conciliées avec « l'exercice du droit de libre communication et de la liberté de parler, écrire et imprimer ». Et... seul le juge pouvait orchestrer cette conciliation.
Pour l’ASIC, qui rassemble les acteurs du Web 2.0, ce régime «constitue un risque de porter atteinte à ce principe essentiel de neutralité vis-à-vis des contenus et correspondances privées transportés sur les réseaux ». Il ne faut pas l’interdire mais le limiter : « un dispositif de blocage doit bien être considéré comme exceptionnel et limité définitivement aux contenus pédopornographiques ». On réclame aussi un principe de subsidiarité tel qu'il existe déjà dans la loi pour la confiance dans l'économie numérique : on s’adresse d’abord à l’éditeur, puis à l’hébergeur, puis au FAI. Le retrait est considéré comme la mesure la plus efficace. « Outre une plus grande efficacité, cette suggestion permettrait aussi de limiter la taille de la "liste noire", et ainsi le coût du dispositif supporté par l'État (et donc les contribuables) mais également le risque d'erreur dans les pages web placées sur la liste noire. »
Les FAI, tout du moins Free, partagent cette opinion
Comment va fonctionner le filtrage ?
Concrètement, on n’en sait rien à ce jour. Selon les rares données, on sait que la liste des sites à bloquer devrait être prise par un arrêté du ministre de l’Intérieur. C’est l’office de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) qui transmettra cette liste aux FAI qui auront le choix des technologies de blocage. La loi ne parle aucunement des techniques ou des modalités pratiques, puisque c’est typiquement des détails qui sont de l’ordre du décret. Néanmoins, la LOPPSI et bon nombre d’autres acteurs savent qu’on joue ici avec le feu, quand bien même l’éradication de la pédophilie est incontestable.
On joue avec le feu ? C'est à dire ?
On critique la mauvaise efficacité du filtrage. Les risques de sous blocage ou de sur blocage ne sont pas des hypothèses d'école.
Pour la Commission de la défense nationale et des forces armées, « si ce dispositif semble opportun, l’étude d’impact correspondante n’en démontre pas l’efficacité, ni n’évalue précisément son coût global, tant en termes de compensation pour les FAI que de moyens pour les services de l’État ».
Le projet de loi LOPPSI admet sans rougir les risques de surblocage dans son texte de présentation (l’étude d’impact avant le projet de loi)
Un danger qui avait été souligné par différents acteurs comme Free ou Christophe Espern dans une étude de référence.
De fait, début 2010, et pour tenir compte de ces critiques, la LOPPSI pourrait être modifiée, remise à plat pour insister sur la collaboration entre les différents acteurs, plutôt que l’obligation sèche de résultat. Mais il faudra voir le texte définitif pour se prononcer sur le sens futur.
La LOPPSI, ce n’est que cela ?
Pas tout à fait.
La LOPPSI ce sont aussi les mouchards de la police
Le projet de loi autorise la police dans certaines circonstances à utiliser des logiciels mouchards enregistrant les frappes au clavier (keylogger) ou des captures d’écran, à l’insu de l’utilisateur. Ces dispositifs pourront être installés sur place ou même à distance durant une période de huit mois. L'accueil fut plutôt froid du côté de RSF comme de la CNIL : « Le projet de loi prévoit la possibilité de mettre en oeuvre un dispositif de captation dans tout type de point d'accès public à Internet (cybercafés ou bornes d'accès publiques). La Commission souligne la portée de cette disposition, qui pourrait permettre l'enregistrement pendant une durée d'au plus huit mois, de tous les caractères saisis au clavier et de toutes les images affichées sur l’écran de tous les ordinateurs d'un point d'accès public à Internet, et ce, à l'insu des utilisateurs. »
La LOPPSI c'est aussi le fichier d'analyse sérielle
La LOPPSI, c’est aussi le fameux fichier d’analyse sériel. Il s’agit d’un système de traitement des données ouvertes (informations disponibles sur internet, Facebook, Twitter, etc.) ou fermées (IP, numéro de téléphone, données détenues par les FAI) qui pourront être exploitées dans le cadre de certaines infractions. C'est là une une capacité énorme de rapprochement et de traitement de la sérialité qui est en phase d'installation. Une infraction à lieu près d’une banque et voilà la police autorisée à analyser la liste de tous les mobiles qui ont passé un appel à partir d’une borne située à proximité, les références GPS des voitures en circulation dans les alentours, les numéros de CB utilisés pour payer ou retirer de l’argent, le tout croisé avec tous les fichiers possibles comme ceux détenus par les autres administrations et tous les opérateurs privés, ou sur les réseaux internet. On veut aller très vite et ratisser très large.
La LOPPSI c'est aussi la sanction de l'usurpation d'identité
La LOPPSI veut sanctionner le fait d’utiliser « de manière réitérée » l’identité d’un tiers ou des données qui lui sont personnelles, « en vue de troubler la tranquillité de cette personne ou d’autrui ». Peine encourue : un an d’emprisonnement et 15 000 € d’amende.
Est puni de la même peine « le fait d’utiliser l’identité d’un tiers ou des données qui lui sont personnelles, en vue de porter atteinte à son honneur ou à sa considération. » L’ASIC avait été très remontée contre ce texte. Elle ne comprend pas pourquoi la menace/harcèlement implique un acte réitéré, tandis que l’atteinte à l’honneur se suffit d'un seul acte.
« L'ASIC s'interroge sur le degré de rapprochement des actes pour qu'on considère qu'il y a réitération. Un billet blog publié en 2007 puis un autre en 2009 seront-ils analysés en un acte réitéré? » Pire : « Dans la mesure où ils ne visent pas seulement l’usurpation d’identité mais aussi tout usage de toute donnée personnelle d’autrui d’une manière qui trouble sa tranquillité, les interdictions pourraient s’appliquer au fait de « tagger » quelqu’un sur une photo sur un réseau social sans son accord, au fait de critiquer qui que ce soit sur un blog, au fait de critiquer un artiste, une personnalité, une personne publique sur un forum, ou s’appliquer même à la vidéo de Sarkozy au salon de l’agriculture disant « casse-toi pauv’con ». D’un devoir de mémoire, ce texte impose une obligation à l’oubli et porte atteinte directement à la liberté d’information.
