Contre le terrorisme, Macron et May rêvent de filtrage, liste blanche et accès aux données chiffrées

Pour lutter contre le terrorisme, 14 lois ont été adoptées entre 2012 et 2017. Malgré un nouveau texte sur la rampe, pour l'actuel exécutif, ce n’est pas assez. La France et le Royaume Uni ont donc détaillé hier leur plan d’action « pour lutter contre l’utilisation de l’Internet à des fins terroristes ».

Ce plan, qui sera mis en œuvre par les ministres de l’Intérieur Gérard Collomb et Amber Rudd, veut faire tache d’huile auprès des autres pays du G7. Une réunion sera aussi organisée avec les plateformes en ligne « pour faire le point sur les progrès réalisés et les défis encore à relever pour lutter contre l’utilisation d'Internet à des fins terroristes ».

Seulement, ses chances de succès auprès des acteurs en ligne sont minimes, tant il concentre peu ou prou le pire de ce qui a pu être imaginé jusqu’alors en matière de reprise en main d’Internet.

Vers un système de Notice and Stay Down

Première mesure : « améliorer le retrait des contenus illicites de l’Internet ». En fait d’amélioration, notion douce et sucrée, les deux pays rêvent de basculer dans un système beaucoup plus rude, celui du Notice and Stay Down.

L’expression fait référence à la responsabilité juridique des intermédiaires techniques et spécialement des hébergeurs. YouTube, Facebook, Twitter et les dizaines de milliers d’autres, tous ceux qui stockent des contenus mis en ligne par les internautes. Lorsqu’un contenu illicite est mis sur leurs serveurs, n'importe qui peut le leur signaler afin d’en espérer le retrait.

Face à un contenu manifestement illicite, le retrait par l’hébergeur est obligatoire. Mieux, il doit être « prompt » dès lors qu’il en a eu connaissance. Si l’illicéité n’est pas manifeste, il revient finalement au juge d’intervenir. C’est une notification suivie d'un possible retrait, régime beaucoup plus en phase avec la liberté d’expression : je notifie, tu retires ou bien, en cas de doute, le juge tranche.

« Prévenir les publications », l'ombre d'un filtrage massif

Avec le Notice and Stay Down, prôné par le couple May-Macron, la logique change : les hébergeurs scrutent l’ensemble des flux pour empêcher la mise en ligne d'éléments inscrits sur une liste noire. C’est ce qui est décrit par ces lignes extraites du site de l'Intérieur :

 « Si des efforts de la part des opérateurs ont été constatés en matière de retrait de contenus terroristes, il est nécessaire que ces opérateurs aillent au-delà de la suppression rapide a posteriori des contenus qui leurs sont signalés, pour permettre l’identification des contenus en amont afin de prévenir leur publication sur leurs plateformes ».

Le ministère poursuit sans nuance : « les contenus terroristes doivent être supprimés de manière permanente (conformément au principe « Notice and Stay Down ») ». Seulement, Emmanuel Macron, qui compte Mounir Mahjoubi dans son équipe gouvernementale, sait qu’une contrariété existe : le droit européen.

Celui-ci interdit l’instauration d’une obligation de filtrage généralisée sur les épaules des hébergeurs :

« Les États membres ne doivent pas imposer aux prestataires (...),une obligation générale de surveiller les informations qu'ils transmettent ou stockent, ou une obligation générale de rechercher activement des faits ou des circonstances révélant des activités illicites » (article 14 de la directive e-commerce de 2000).

Voilà sans doute pourquoi le plan se contente non de contraindre, mais d’« encourager » les plateformes à mettre simplement en place « un forum », enceinte « qu’elles animeraient elles-mêmes », où seraient élaborées « des solutions techniques et des mesures communes pour supprimer rapidement les contenus terroristes d'Internet ».

Comment contourner le droit européen ?

L’obligation est donc molle - fichu droit européen ! - mais les deux ministres de l’Intérieur ne peuvent s’empêcher de fixer déjà l’ordre du jour : détection automatique, suspension automatique et retrait automatique des contenus « en fonction de la personne qui publie et de la teneur de la publication ». Avec cas concrets à l’appui : « les entreprises doivent par exemple geler, suspendre, bloquer ou supprimer les catégories de comptes/utilisateurs en fonction d’identifiants déterminés ».

En mars dernier, un rapport de la Délégation ministérielle aux industries de sécurité et à la lutte contre les cybermenaces annonçait qu’une action préventive avait déjà été mise en œuvre « pour la détection les vidéos d'apologie du terrorisme, avec Dailymotion, YouTube (Google), Wat.tv pour TF1, à partir d'un travail d'empreinte numérique des supports vidéos ». En impliquant d’autres acteurs, pas seulement l’univers de la vidéo en ligne, on changerait cependant d’ampleur.

En effet, pour prévenir une publication, il n’y a pas mille solutions. D’un côté, une liste noire nourrie par des expressions et des identifiants considérés comme nuisibles. De l’autre, une analyse des flux. Pour le premier groupe, l’avant-projet de loi sur l’état d’urgence permanent, les personnes administrativement assignées à résidence auront l’obligation de déclarer leurs identifiants utilisés sur les services de communication électronique. Un joli stock de départ !

Pour détecter, isoler, traiter ces variables, il faudra disions-nous ausculter tous les flux. Autant le dire sans nuance : un tel projet est délirant s’il passe par le biais d’une sèche obligation légale. Là, encore néanmoins, Emmanuel Macron et Theresa May pourraient inciter les hébergeurs à mettre davantage le cap sur un système de censure privé. Et puisque ces acteurs ne sont pas du tout enclins à le mettre en œuvre, au prochain attentat, il suffira de pointer un doigt accusateur sur ces inconscients, pour esquiver la remise en cause du renseignement.

Est illicite ce qui n’est pas licite

Presque mal à l’aise, l’Intérieur note aussi que « pour appuyer cette initiative, il pourrait toutefois être nécessaire de définir clairement ce qui constitue un contenu en ligne illicite, si nécessaire par une réglementation ».

Les textes définissant la responsabilité des intermédiaires, en France, la Loi sur la confiance dans l’économie numérique (LCEN) qui transpose la directive e-commerce de 2000, se gardent bien d’opter pour un tel inventaire. Plus finement, cette loi de 2004 demande le retrait des activités et informations illicites, tout en offrant un régime plus nerveux à l’encontre de contenus très sensibles, tels la pédopornographie, les appels à la haine, les crimes contre l’humanité, l’apologie du terrorisme, etc.

On comprend donc mal ce que le couple Macron-May a en tête : se rappeler de l’existant, enrichir encore cette liste, ou définir un inventaire technique des interdits, dépossédant ainsi le juge ou l’intermédiaire de tout pouvoir d’appréciation.

Plutôt qu’un régime volontaire, le gouvernement pourrait aussi s’inspirer du rapport contre le streaming et le téléchargement direct illicite rédigé à la Hadopi en 2014. L’idée était de charger une autorité administrative de l’édition d’une liste noire isolant les sites non coopérants, ceux ne faisant aucun effort pour effacer les contrefaçons. Dans l’esprit de l’auteure de ce document, Mireille Imbert-Quaretta, le caractère public de cette liste, labellisée par une institution officielle, aurait placé les intermédiaires dans une situation de « connaissance », impliquant un traitement immédiat, ou à défaut, une mise en cause de leur responsabilité.

Surréférencer le contre-discours

Dans sa lancée, le plan anti-terroriste compte aussi « soutenir les efforts des organisations de la société civile pour promouvoir un contre-discours ». Aucune nouveauté puisque ce terrain a déjà été envisagé par Bernard Cazeneuve.

On remarquera de même l’idée de « promouvoir » le référencement « des contre-discours pertinents », « tout en ciblant le bon public et en réorientant les contenus positifs en tant que de besoin ». Là aussi, rien de neuf. En 2015, dans un rapport commandé par Manuel Valls, le député Sébastien Pietrasanta avait déjà promu « des mesures proactives en matière de référencement ». Plus précisément, plaidait-il, « en lien avec les moteurs de recherche, un référencement positif doit être mis en œuvre » au profit des contre-discours au djihadisme (proposition 26). 

Une liste blanche des comptes parodiques

Une vraie nouveauté vise cette fois à « mieux protéger les acteurs de la société civile qui tiennent des contre-discours, et notamment les comptes parodiques, par exemple en certifiant ces comptes et en les inscrivant sur une liste blanche ».

L’enjeu cette fois revient à labelliser le compte de personnes, physiques ou morales, pour protéger leurs moqueries, leurs parodies. Pas de détail, mais on imagine que ces comptes ne pourraient subir de campagne massive de signalements visant à en obtenir leur blocage sur Facebook ou Twitter.

En attendant d’en savoir plus, si l’on résume, dans ce plan Macron-May, les intermédiaires auraient à gérer une liste blanche et une liste noire, définies via des critères aiguillés par le gouvernement.

Mais ce n’est pas tout.

Affiner l’identification des abonnés

« Permettre l’identification du titulaire d’un abonnement en toutes circonstances » est un autre des objectifs. « Une adresse IP est susceptible d’être partagée entre plusieurs centaines d’abonnés qui accèdent à l’internet ou à des plateformes sociales via leur smartphone. Il peut être important de disposer d’informations techniques complémentaires à l’adresse IP, en particulier lorsque des suspects ont accès à un contenu terroriste. »

Cette remarque va sans doute faire rire jaune la Hadopi. Rapport annuel après rapport, l’autorité demande depuis des années à ce que le décret encadrant l’amont de la réponse graduée soit corrigé. Depuis les origines, en effet, les demandes d’identification adressées aux FAI comportent uniquement « l’adresse IP de l’accès à Internet à partir duquel les faits de contrefaçon ont été commis et l’heure à laquelle ces faits ont été constatés ».

Seulement, des opérateurs partagent de plus en plus une même adresse entre plusieurs abonnés (« nattage »), conduisant à de jolis couacs. La seule issue serait que l’autorité dispose du « port source » de la connexion Internet à l'origine du téléchargement, afin d’isoler l’internaute, à l’appui d’un solide horodatage. Ses vœux n’ont toutefois jamais été entendus mais ils pourraient désormais l’être, par la porte de la lutte antiterroriste.  

Haro sur le chiffrement

Le plan veut tout autant « permettre l’accès au contenu chiffré ». Et celui-ci d’expliquer que « lorsque les technologies de chiffrement sont utilisées par des groupes criminels, voire terroristes, il doit exister une possibilité d’accès au contenu des communications et à leurs métadonnées (entourage d’un suspect, IP de connexion, sélecteurs techniques de l’utilisateur, etc.) ».

La mesure laisse songeur : comment accéder à des contenus chiffrés dont on n’a pas la clef ? La perplexité gagne un cran lorsqu’on découvre qu’« il n’est pas question ici de « portes dérobées » ou d’interdiction du chiffrement, mais de permettre que les gouvernements et les entreprises développent des solutions conjointes sur ces questions ».

En 2015, une charte avait été signée avec des FAI français afin d’autoriser l’interception légale des contenus chiffrés sur une portion de leur parcours, mais l’entourage d’Axelle Lemaire, secrétaire d’Etat au numérique reconnaissait se heurter à un mur lorsque « certaines solutions incluent des mécanismes où l’opérateur n’a pas accès aux clefs ».

Dans le flot des propositions, est plaidée également une amélioration de l’accès aux preuves numériques au-delà des frontières. Un dossier sur lequel travaille déjà la Commission européenne. L’objectif passera par une phase volontariste, voire en engageant « une responsabilité des entreprises, par exemple en réglementant ou en légiférant ». Toujours à l’étranger, les deux pays rêvent enfin de « coordonner leurs stratégies sur le défi de l’accès aux contenus chiffrés et leurs échanges avec les principaux fournisseurs de services de communication ».