Ligne par ligne, la proposition de règlement européen contre le terrorisme

De la vigilance à la surveillance généralisée 65
Accès libre
image dediée
Crédits : Andy445/iStock
Loi
Marc Rees

Le projet de règlement contre le terrorisme a été dévoilé voilà peu par la Commission européenne. Le texte, très ambitieux, revoit à la hausse les obligations pesant sur les intermédiaires techniques. Next Inpact vous en propose une analyse ligne par ligne.

« Les attentats terroristes perpétrés récemment sur le territoire de l’Union ont montré comment les terroristes abusent de l’internet pour faire des émules et recruter des sympathisants, pour préparer et faciliter des activités terroristes, pour faire l'apologie de leurs atrocités et pour exhorter d'autres à leur emboîter le pas et à semer la peur parmi le grand public ». Voilà la cible énoncée dès les premières lignes de cette proposition de règlement.

Depuis des années, les prestataires de services en ligne tentent de lutter contre ces diffusions, parfois sous l’œil de la Commission européenne. Celle-ci applaudit ces efforts, mais en dénonce aussi les limites : tous les fournisseurs d’hébergement n’y ont pas participé et les progrès des volontaires sont jugés parfois insuffisants. Voilà pourquoi il est « manifestement nécessaire de renforcer l’action de l’Union européenne pour lutter contre les contenus à caractère terroriste en ligne ».

En optant pour un règlement, l’institution bruxelloise plaide pour un véhicule commun à l’ensemble des États membres. Il évince le passage par une loi de transposition, exigé par l’autre choix, celui de la directive.

Trop en retrait ou au contraire trop musclées, ces lois nationales génèrent des trous dans la raquette européenne. Elles sont aussi des appeaux à « forum shopping », qui offrent l’opportunité à l’hébergeur de s’installer ici plutôt que là, parce que le climat législatif y est plus agréable. Autant de problèmes contraires au dogme du marché intérieur chanté par le traité sur le fonctionnement de l’Union européenne.

Plongeons-nous maintenant dans les tréfonds de ce texte, article par article, à l’instar de ce que nous avions fait sur le règlement général sur la protection des données personnelles.

Article 1. Objet et champ d’application

Le règlement a pour objet la mise en place de « règles de vigilance » communes à l’ensemble des fournisseurs d’hébergement, ce afin d’empêcher la diffusion des contenus terroristes. Des mesures de suppression sont également programmées.

Sa portée géographique est très vaste. Il suffit qu’un fournisseur d’hébergement propose ses services dans l’Union pour être concerné par le texte, peu importe le lieu de leur établissement.

Quelles sont les entreprises visées ? Le champ est encore ample. Il comprend tous les hébergeurs de contenus diffusés auprès de tiers. D’après les considérants, cela implique nécessairement « les plateformes de médias sociaux, les services de diffusion vidéo en continu, les services de partage de fichiers vidéo, audio et images, les services de partage de fichiers et autres services en nuage, dans la mesure où ils mettent ces informations à la disposition de tiers ».

Un prestataire de cloud sera lui-même tenu de respecter le règlement si les fichiers stockés sont diffusés d'une manière ou d'une autre auprès d'internautes. Même sort pour « les sites web sur lesquels les utilisateurs peuvent rédiger des commentaires ou publier des critiques ». YouTube, Dailymotion, Facebook, Twitter, les sites de presse ouverts aux commentaires... tous sont impliqués. 

Mieux, la liste n'est pas limitative. Avec des critères si vastes, on comprend du coup les vives inquiétudes de l’alliance des fournisseurs de services d’infrastructure cloud en Europe (CISPE), qui s'estiment également frappés.

« Le CISPE et ses membres soutiennent l’intention du règlement et coopèrent déjà pleinement avec les autorités judiciaires pour lutter contre le terrorisme », a rappelé Alban Schmutz, son président, par ailleurs vice-président du développement stratégique et des affaires publiques chez OVH. « Cependant, l'inclusion des fournisseurs d'infrastructure cloud dans la législation signifie que les mauvais acteurs sont ciblés ». Et pour cause, ceux-ci ne disposent pas des mêmes moyens d'actions que les opérateurs de plateformes sur les contenus stockés.

Article 2 : définitions

Cet article est important puisque c'est par ses lignes que le champ du règlement va être précisé. Outre la définition de l'intermédiaire, il permet déjà de savoir quand celui-ci « propose [ses] services dans l’Union ».

En particulier, un hébergeur proposera de tels services dès lors qu’il aura « un lien étroit » avec un État membre. Cela sera toujours le cas parce qu’il y dispose d’un établissement ou bien parce qu’un nombre significatif d’utilisateurs s’y trouvent, ou enfin parce qu’il « cible » des activités sur un ou plusieurs États membres.

Le critère du « ciblage » sera retenu dès vérification de plusieurs facteurs « comme l'utilisation d'une langue ou d'une monnaie généralement utilisée dans cet État membre, ou la possibilité de commander des biens ou des services ». La présence d’une application dans une boutique d’apps accessible dans un État membre, la diffusion de publicités à l'échelle locale ou dans la langue d’un État, la gestion d’un service clientèle... joueront tout autant pour justifier l'application du futur règlement.

L’article 2 définit également ce qu’est un contenu à caractère terroriste. Ce pourront être des contenus qui :

  • Provoquent à la commission d’infractions terroristes, ou font l’apologie de telles infractions, y compris en les glorifiant, ce qui entraîne un risque que de tels actes soient commis ;
  • Encouragent la participation à des infractions terroristes ;
  • Promeuvent les activités d’un groupe terroriste ;
  • Fournissent des instructions sur des méthodes ou techniques en vue de la commission d'infractions terroristes.

Selon le descriptif fait par la Commission européenne, cette définition permet d’englober « le matériel et les informations qui incitent ou encouragent à la commission d’infractions terroristes, ou en font l'apologie, fournissent des instructions sur la manière de commettre de telles infractions ou incitent à participer aux activités d’un groupe terroriste ».

La définition des contenus terroristes est très importante. En optant pour une lecture très ample, flirtant volontairement avec la politique-fiction, la Quadrature du Net va jusqu’à imaginer que cela puisse engendrer une censure des mouvements sociaux très contestataires. Le 11 décembre dernier, des rapporteurs de l'ONU ont eux aussi estimé que ces définitions étaient beaucoup trop larges. 

Article 3. Les obligations

L'article 3 est l’un des pivots du règlement. Il impose aux fournisseurs de services d’hébergement des obligations de vigilance. Ils doivent ainsi prendre « des mesures appropriées, raisonnables et proportionnées, conformément au présent règlement » pour lutter contre les contenus à caractère terroriste.

La plume semble généraliste, floue, mais elle aiguillera au contraire le juge lorsque viendra le temps de l’interprétation et de la sanction quand un intermédiaire aura été épinglé pour ne pas avoir pris les mesures qui s'imposaient. 

Dans les considérants introductifs, on découvre à ce titre que les obligations prévues n’auront aucune incidence sur l’application du régime de l’hébergeur prévu par la directive de 2000 sur le commerce électronique. Dès lors, ce n’est pas parce qu’un intermédiaire sera amené à mettre en place les mesures proactives préconisées, dépassant donc son rôle par définition passif, qu’il perdra le bénéfice de l'exemption de responsabilité prévue à l’article 14 de la directive.

De même, « ces obligations de vigilance ne devraient pas constituer une obligation générale de surveillance » tente de rassurer la Commission européenne. Seulement, la prohibition de cette surveillance généralisée, déjà proscrite par la directive de 2000, a été définie de manière très précise par la Cour de justice de l’Union européenne en 2012 dans ses arrêts Sabam.

Invités à définir le spectre de cette surveillance, les juges ont considéré que le droit européen s’opposait à tout système de filtrage :

  • des informations stockées sur les serveurs d’un hébergeur par les utilisateurs,
  • qui s’applique indistinctement à l’égard de l’ensemble d’entre eux,
  • à titre préventif,
  • aux frais exclusifs de cet intermédiaire,
  • sans limitation dans le temps.

Or, il suffit qu’un seul des critères manque à l’appel pour que le filtrage ne soit plus considéré comme généralisé, alors qu'il restera très généreux... 

Le filtrage, la suppression des contenus et le blocage d’accès devront néanmoins être entrepris en respectant la liberté d’expression et d’information. Aux intermédiaires de se débrouiller pour jauger l'équilibre.

Article 4. Les injonctions de suppression

Les hébergeurs n’ont pas seulement à adopter une obligation de vigilance sur les contenus stockés et diffusés. L'article 4 gagne un étage : dans chaque État membre, une « autorité compétente » pourra prendre une décision enjoignant l’intermédiaire à supprimer un contenu terroriste ou à en bloquer l’accès.

C’est donc un contrôle a posteriori, ou à très court « posteriori » puisque la suppression ou le blocage devra se faire dans l’heure. Cette largesse de 60 minutes est néanmoins à comparer avec la responsabilité directe (et donc instantanée) organisée par la directive sur le droit d’auteur, en particulier son article 13. 

Cette obligation de réaction dans l’heure imposera aux hébergeurs concernés d’être attentifs 24h/24, 7j/7 sous peine d’engager leur responsabilité. Une logistique aux contraintes organisationnelles fortes, surtout chez les plus petits d’entre eux, d'autant que l'injonction pourra provenir d'une autorité européenne lointaine, dans une langue pas toujours accessible. 

Cette injonction émise par un juge ou une autorité administrative devra toutefois respecter un sérieux formalisme : exposé des motifs (détaillés, sur demande), URL, base juridique, information sur les possibilités de recours, mais aussi une possible obligation de confidentialité afin de protéger les enquêtes en cours.

Elle sera adressée à l’établissement principal de l’hébergeur ou à son représentant légal, en particulier si l’intermédiaire est hors UE. 

En retour, il devra rendre des comptes à l’autorité, et démontrer qu’il a supprimé le contenu dans le fameux délai. Il lui incombera « de décider s’il convient de supprimer les contenus en question ou d’en bloquer l’accès pour les utilisateurs dans l’Union ».

Des échappatoires existent : l’hébergeur pourra justifier d’un cas de force majeure ou d’une impossibilité de fait qui ne lui est pas imputable, rendant impossible cette opération. Si cette impossibilité est due à des erreurs manifestes (donc évidentes, importantes) ou à des insuffisances, il devra malgré tout contacter l’autorité pour lui demander des précisions. Le délai d'une  heure sera dans ce cas repoussé à la réception des précisions.

La réponse apportée par l’intermédiaire sera transmise à l'autorité-chef de fil, prévue à l’article 17. 

Article 5. Les signalements

La même autorité pourra adresser à l’intermédiaire un signalement afin de lui permettre cette fois d’évaluer les contenus mis à l’index. « Le signalement contient des informations suffisamment détaillées, notamment les raisons pour lesquelles les contenus sont considérés comme des contenus à caractère terroriste, une adresse URL et, le cas échéant, des informations supplémentaires permettant d’identifier les contenus à caractère terroriste visés. »

Dans ce troisième étage, l’acteur en ligne aura à mesurer lui-même l’opportunité de laisser ou supprimer un contenu au regard de ses conditions commerciales. On est donc un cran en dessous de l’article 4. Là encore, si le signalement n’est pas complet, l’hébergeur devra prendre l'attache de l’autorité.

Pour répandre ces signalements aux acteurs européens, les considérants ont l’œil rivé sur Europol, dont les compétences « constitue un moyen efficace et rapide de [les] sensibiliser (…) à la présence de contenus spécifiques sur leurs services ».

« Il importe que les fournisseurs de services d’hébergement évaluent ces signalements en priorité et produisent rapidement un retour d'information sur les mesures prises. Les fournisseurs de services d'hébergement restent responsables de la décision finale de supprimer ou non les contenus au motif qu’ils ne sont pas compatibles avec leurs conditions commerciales » ajoute l’introduction du règlement.

Article 6. Les mesures proactives

En plus de l’injonction de suppression et le signalement, une couche supplémentaire est prévue. C'est celle des « mesures proactives proportionnées ». Cette proportionnalité impliquera déjà une mise en balance entre la lutte contre les contenus « terroristes » et les libertés et droits fondamentaux des utilisateurs.

Ces mesures devront être taillées « pour atténuer les risques et en fonction du niveau d’exposition de leurs services aux contenus à caractère terroriste ». Elles seront couchées sur un rapport régulièrement transmis à l’autorité de contrôle qui permettra de nouer plus solidement encore leur collaboration. D’ailleurs, si ces opérations sont jugées insuffisantes, l’autorité pourra exiger des mesures complémentaires, accompagnées cette fois d’objectifs clés et de critères de référence et même d’un calendrier de mise en œuvre.

Mais quelles sont ces mesures proactives ? L’article 6 laisse un vaste champ, mais signale avec insistance la possibilité d’utiliser des « outils automatisés » afin d’empêcher la remise en ligne d’un contenu déjà supprimé (suite à une injonction ou un signalement).

Les considérants ont la certitude que « des outils techniques fiables pourraient également permettre d’identifier de nouveaux contenus à caractère terroriste, qu’il s’agisse des outils disponibles sur le marché ou de ceux mis au point par le fournisseur de services d’hébergement ». Aux hébergeurs de mettre le cap vers cet océan sécurisé.

Derrière se cache l’utilisation d’un système d’empreintes puis d’un contrôle de l’ensemble des flux entrants, outre, pour le stock existant, de détection, d’identification et de suppression immédiate des contenus à caractère terroriste. Voilà pourquoi la question de la définition de ces contenus est d’une importance cruciale.

En principe, ces mesures de filtrage ne pourront entraîner d’obligation générale de surveillance, comme cela a été déjà dit. Néanmoins, les propos introductifs laissent ouverte cette possibilité. L’autorité, sur justification appuyée, aura le droit d'imposer une telle surveillance. Elle se manifestera par des « mesures spécifiques et ciblées dont l’adoption est nécessaire pour des raisons impérieuses de sécurité publique ». Aucun détail n'est fourni, laissant dès lors aux États membres une certaine liberté d'action, au détriment de la liberté d'expression. 

Pressentant des faux positifs, le considérant 17 prévoit que l’intermédiaire devra « agir avec toute la diligence requise et mettre en œuvre des mesures de sauvegarde, y compris notamment la surveillance et les vérifications humaines, le cas échéant, afin d'éviter des décisions non souhaitées et erronées conduisant à la suppression de contenus qui ne revêtent pas un caractère terroriste ».

On remarque que la responsabilité de ces faux positifs semble reposer uniquement sur l’hébergeur qui devra gérer cette patate chaude.

Pour raboter ces risques, le même considérant demande la mise en place d’une évaluation sur la fiabilité de la technologie choisie, et des conséquences qui en découlent pour les droits fondamentaux.

Article 7. La conservation des preuves

Effacer, nettoyer des serveurs à tour de bras peut être préjudiciable pour les procédures en cours, les forces de l’ordre ou les services du renseignement. L’article 7 envisage donc que les contenus supprimés ou bloqués, outre leurs données connexes (les métadonnées, dont l’horodatage, l’IP, etc.), soient conservés durant 6 mois. Voire une période plus longue si l’autorité (ou un juge) l’estime souhaitable.

Article 8. Obligation de transparence

Les hébergeurs devront corriger toutes leurs CGU afin d’y expliquer « leurs politiques en matière de lutte contre les contenus à caractère terroriste ». Ils auront également à publier des rapports annuels sur la transparence, relatifs aux mesures prises à cet égard.

Ces rapports, que pratiquent déjà Google ou Twitter par exemple, devront contenir plusieurs informations sur la détection, l’identification et la suppression des contenus à caractère terroriste, les mesures de blocage contre la réapparition d’un contenu, les volumes (nombre d’articles à caractère terroriste supprimés ou bloqués), outre un récapitulatif des procédures de réclamation et de leur aboutissement.

Article 9. Garanties concernant l’utilisation et la mise en œuvre de mesures proactives

Cet article impose aux hébergeurs d’assurer une surveillance et des vérifications humaines sur les procédés automatisés, du moins « lorsque cela se justifie ».

Le texte ouvre donc la possibilité de s’en passer, si cela... ne se justifie pas.

Drapeaux Europe
Crédits : artJazz/iStock

Article 10. Les réclamations

En miroir de ces obligations de nettoyage, les internautes qui fournissent des contenus finalement bloqués ou supprimés pourront adresser « une réclamation ». Celle-ci n'interviendra qu’a posteriori, après l’éventuelle atteinte illégitime à la liberté d’expression.

Tatillon sur les délais de retrait, le règlement demande à l’hébergeur d'examiner ces demandes dans « les meilleurs délais ». 

Article 11. L’information à l’égard des fournisseurs de contenus

Mais avant la réclamation, les internautes qui voient leurs contenus épinglés pourront d'abord obtenir des informations sur cette décision. Sur demande, ils disposeront des motifs et de la possibilité de recours aux fins de réclamation.

« Les personnes doivent pouvoir connaître les raisons pour lesquelles les contenus qu’elles ont chargés ont été supprimés ou l’accès à ceux-ci rendu impossible », s’enchantent les considérants. Remarquons néanmoins que ces informations seront mises à disposition de l’internaute, non notifiée automatiquement (« Une notification au fournisseur de contenus n’est toutefois pas forcément nécessaire »).

Dans le cas d'une vidéo supprimée par exemple, le règlement suggère que l’hébergeur puisse « remplacer les contenus considérés comme revêtant un caractère terroriste par un message indiquant que ceux-ci ont été supprimés ou leur accès bloqué conformément au présent règlement ».

Parfois il n’y aura aucune information lorsque l’autorité compétente le justifiera par des raisons de sécurité publique. Cette omerta ne pourra s’étendre au-delà de quatre semaines, en l’état du texte.

Article 12. La capacité des autorités compétentes

Elles devront disposer de la capacité nécessaire et des ressources suffisantes pour remplir les missions dévolues par le règlement. Aux États membres de mettre les moyens, dit autrement. Les rapporteurs de l'ONU ont demandé à ce que ces autorités soient à tout le moins indépendantes du pouvoir. En vain. 

Article 13. La coopération entre hébergeurs, autorités compétentes et organes de l’Union

L’article 13 oblige les États membres à échanger des informations et à collaborer, entre eux et avec Europol. Ce travail est prévu pour éviter « les doubles emplois et toute interférence avec les enquêtes en cours ».

Selon l’article, ces acteurs prôneront certains outils dédiés, « y compris ceux d’Europol », pour la mise en œuvre des injonctions, des signalements et des mesures proactives.

Dès qu’un élément de preuve sera glané par l’un des États membres, l’information sera transmise à ses homologues.

« Afin d’assurer une mise en œuvre efficace et suffisamment cohérente des mesures proactives, il convient que les autorités compétentes des États membres se concertent au sujet des discussions qu’elles ont avec les fournisseurs de services d’hébergement sur l’identification, la mise en œuvre et l’évaluation de mesures proactives spécifiques » détaillent encore les considérants.

En somme, le texte prépare une forme d’industrialisation du filtrage à l’échelle européenne à des fins de lutte contre le terrorisme. 

Article 14. Le point de contact

Hébergeurs et États membres devront établir chacun un point de contact. Objectif ? « Faciliter la communication entre eux, en particulier en ce qui concerne les signalements et les injonctions de suppression ».

C’est par lui que seront gérées par exemple les demandes de précisions suite à une injonction incomplète.

Article 15. Compétence

Sera compétent l’État membre où est situé le principal établissement de l’hébergeur. Il endossera le rôle de superviseur des mesures proactives, de la fixation des sanctions et du suivi des efforts.

Si un hébergeur est installé dans un pays tiers à l’UE, il pourra installer un représentant légal dans un des pays de l’Union. Cette installation commandera la compétence de cet État. À défaut de désignation, tous les États membres seront compétents, sous respect du principe « non bis in idem » (impossible d’être condamné deux fois pour un même fait).

Concrètement, lorsqu’une autorité d’un autre État membre émettra une injonction de suppression, c’est toujours cet État membre qui sera « compétent pour prendre des mesures coercitives conformément à son droit national afin de faire exécuter ladite injonction ».

Article 16. Le représentant légal

Les fournisseurs de services d’hébergement établis hors UE devront désigner un représentant légal qui les représentera dans l’Union, sans nécessairement y être installé.

Il sera joignable 24 heures sur 24 et 7 jours sur 7, puisque chargé de « la réception, la mise en œuvre et l’exécution des injonctions de suppression, des signalements, des demandes et des décisions émis par les autorités compétentes ».

Sa responsabilité pourra être engagée, tout comme celle de l’hébergeur, en cas de non-respect des obligations.

Article 17. Les autorités compétentes

Chaque État membre devra désigner les autorités chargées d’émettre les injonctions de suppression, de signaler les contenus à caractère terroriste, de superviser la mise en œuvre des mesures proactives et de veiller à l’application du règlement.

Ce peut être une autorité nouvelle ou des organismes existants (administration, autorité, juge). Six mois après l’entrée en vigueur du règlement, au plus tard, les États membres devront notifier la liste des autorités à la Commission européenne. Les notifications seront publiées au Journal officiel de l’Union. 

Article 18. Les sanctions

Les manquements aux obligations prévues par le règlement devront être sanctionnés (des conditions commerciales non à jour, des injonctions non prises en compte, pas d’évaluation des signalements, ni rapport annuel, mauvaise conservation des données ou transparence, etc.)

D’après le texte, « compte tenu de l’importance particulière que revêt la suppression rapide des contenus à caractère terroriste signalés dans une injonction de suppression, insiste un considérant, il convient de prévoir des règles spécifiques en matière de sanctions financières en cas de non-respect systématique de cette exigence ».

Ces sanctions ne sont en général pas quantifiées, mais devront être « effectives, proportionnées et dissuasives ». Seule exception : le non-respect d’une obligation de suppression dans l’heure. Dans un tel cas, l’hébergeur se verra infliger une sanction financière pouvant atteindre jusqu’à 4 % de son chiffre d’affaires global.

Ces montants dépendront de la nature, de la gravité et de la durée de l’infraction, de l’origine de l’infraction (acte intentionnel ou négligence), de la solidité financière de la personne morale tenue pour responsable, du niveau de coopération... La liste n’est pas limitative.

Afin de freiner un peu les tentations, les États membres devront veiller « à ce que les sanctions n’encouragent pas la suppression de contenus qui ne sont pas à caractère terroriste ». La peur du gendarme pourrait en effet mener à des réflexes d’autoprotection et de surcensure. 

Article 19. Modification des modèles des injonctions de suppression et des canaux de transmission

Le règlement contient un modèle d’injonction, qui peut évoluer. Par délégation, la Commission européenne est habilitée à le compléter, l’améliorer. Il en est de même des canaux de transmission pour les échanges d’informations entre États membres.

Article 20 : La délégation

La délégation de l’article 19 est accordée selon une durée indéterminée, néanmoins le Parlement européen pourra la révoquer.  À cette fin, un acte délégué ébauché par la Commission européenne devra toujours être notifié au Conseil et aux eurodéputés.

L’acte entre en vigueur s’il n’y pas d’objection.

Datacenter
Crédits : scanrail/iStock/ThinkStock

Article 21. Le suivi

Les États membres devront glaner auprès des autorités désignées différentes données (nombre d’injonctions, de contenus à caractère terroriste supprimés, sur les mesures proactives prises en application de l’article 6 et la quantité de contenus traités, les recours, etc.)

Ces éléments nourriront le travail d’évaluation de la Commission.

Articles 22 et 23. Rapport et évaluation par la Commission

La Commission établira un rapport sur l’application du règlement deux ans après son entrée en vigueur. Il détaillera le suivi des réalisations, des résultats et des effets du texte.

L’article 23 ajoute que le même organe devra en outre présenter un rapport sur l’évaluation du règlement au plus tôt trois ans après son entrée en vigueur. Il portera en particulier sur le fonctionnement et l’efficacité des mécanismes relatifs aux garanties. Cette évaluation reposera sur cinq critères : efficience, efficacité, pertinence, cohérence et valeur ajoutée européenne.

Article 24 : Date d’entrée en vigueur

Le texte, qui s’appuie sur le principe de subsidiarité avec les législations nationales, doit encore être ausculté par le Parlement dans les prochains mois, après l'avoir été au Conseil le 6 décembre dernier. Il entrera ensuite en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’UE.

Il s’appliquera six mois après cette date d’entrée en vigueur. « Ce délai de 6 mois a été fixé en supposant que les négociations seront menées rapidement » entre les différentes parties prenantes.


chargement
Chargement des commentaires...