Voilà une semaine, le gouvernement a publié au Journal officiel le décret sur le blocage administratif des sites, sans juge donc (notre actualité détaillée). La mesure, qui cible les contenus pédopornographiques, l’incitation ou l’apologie du terrorisme, laisse dubitatif le député Lionel Tardy.
Une architecture de la LCEN qui ne serait pas clairement confirmée
Celui-ci vient en effet d’adresser trois questions sur ce mécanisme, qui seront publiées mardi sur le site de l’Assemblée nationale. D’abord, il s’étonne que le principe de subsidiarité de la loi sur la confiance dans l’économie numérique semble ne pas avoir été respecté à la lettre. La logique de la LCEN est qu’il convient d’abord de s’adresser aux éditeurs, puis aux hébergeurs et faute de mieux aux fournisseurs d’accès pour obtenir la cessation d’un fait illicite.
Qu’en est-il en pratique ? Dans la loi, il est spécifié que la liste noire des sites à bloquer « peut » être adressée aux éditeurs ou aux hébergeurs. Parallèlement, si cette diffusion est effectivement activée, elle est adressée dans le même temps aux FAI aux fins d’information. En l’absence de retrait dans les 24h, le FAI « peut » se voir « notifier » la liste des sites à bloquer afin de procéder alors au blocage. De même, si l’éditeur a oublié de mentionner le nom de son hébergeur, cette notification peut être faite directement dans les mains des FAI.
Dans le décret, il y a des petites nuances. Une fois que l’OCLCTIC a défini la liste des sites à bloquer, il est dit qu’elle est adressée dans un mode sécurisé aux fournisseurs d’accès, mais également « sans délai » à la personnalité qualifiée désignée par la CNIL. Faute de mieux, dans un délai de vingt-quatre heures suivant la notification prévue par la loi, les FAI procèdent alors au blocage.
Problème : cette présentation, pour le moins alambiquée (pourquoi les FAI sont d’abord informés avant d’être notifiés ? Informés de quoi exactement ? etc.) ne se retrouve en effet pas exactement dans l’avant-projet de décret. Dans ce texte, que nous avons pu consulter auprès d’une autre source, les étapes étaient alors plus clairement établies dans une logique plus proche de la loi sur la confiance dans l'économie numérique.
Lionel Tardy s’étonne lui aussi que « l’architecture de la procédure (LCEN, ndlr) n’y soit pas complètement reproduite, dans le sens où il n’est pas clairement fait état que l’Office central de lutte contre la criminalité liée aux techniques de l’information et de la communication (OCLCTIC) demande d’abord le retrait des contenus à l’éditeur du site ou à son hébergeur dans les vingt-quatre heures. C’est ensuite en l’absence de retrait des contenus ou de renseignement concernant ces acteurs que les dispositions des articles 2 et 3 du décret s’appliquent ». Le député demande donc des explications sur cet empilement contrarié.
Les promesses de l’hémicycle oubliées dans le décret
Le même parlementaire se souvient encore que lors des débats sur la loi contre le terrorisme, il lui avait été promis des garanties afin que ce blocage se fasse sans atteinte « à l’exploitation normale des réseaux » tout en « garantissant l’absence d’analyse du contenu des informations consultées par les utilisateurs finals ». Il avait déposé en ce sens l’amendement 79 pour inscrire dans la loi ces règles d’hygiène de base et interdire notamment le deep packet inspection
Le 18 septembre, dans l’hémicycle, on lui avait opposé cependant que « les conditions techniques de la procédure relèvent d’un décret ». Bref, ce niveau de détails n’avait rien à faire dans la loi, son amendement était donc mis à la poubelle.
Problème, on a beau le lire et le relire, ces dispositions ne se retrouvent pas dans le décret effectivement publié au Journal officiel ! Le député souhaite donc savoir pourquoi et surtout « la façon dont [l’Intérieur] compte s’assurer du respect de ces exigences ». On rappellera ici l’attention de l’Arcep sur ces dispositifs. Dans son avis sur le décret, l’autorité a clairement fait savoir qu’elle entendrait mettre son nez dans le déploiement du blocage afin d'éviter les risques d’abus...
Statistiques et recueils des tentatives d’accès ?
Enfin, dans une troisième question, il faut se souvenir que les visiteurs des sites bloqués seront redirigés vers une page du ministère de l’Intérieur qui leur expliquera les raisons et donnera des recommandations pour les recours devant les tribunaux.
Le député Tardy compte justement savoir si l’OCLCTIC sera « destinataire de données statistiques relatives aux tentatives de connexions aux sites bloqués, et le cas échéant, les modalités de ce recueil ». Par ce biais, les autorités de police ont en effet la possibilité de dresser une jolie liste d’adresses IP des abonnés qui, accidentellement ou non, auront tenté de prendre connaissance des contenus désormais interdits...
On précisera pour finir que la personnalité désignée par la CNIL devra rendre public chaque année un rapport d'activité sur les conditions d'exercice et les résultats de son activité. Ce rapport précisera notamment le nombre de demandes de retrait, le nombre de contenus qui ont été retirés, les motifs de retrait et le nombre de recommandations faites à l'autorité administrative.
Nous mettrons à jour cette actualité une fois que le ministère aura pris le temps de répondre à ces trois questions.
