Le décret sur le blocage des sites pédopornographiques et terroristes

Le « howto » du blocage administratif 29
En bref
image dediée
Crédits : KUxFOFO1/iStock/Thinkstock
Loppsi
Marc Rees

Exclusif Next INpact À la lecture de plusieurs versions du décret sur le blocage des sites pédopornographiques et ceux faisant l’apologie du terrorisme, on sait désormais ce que l’Intérieur attend des acteurs de l’Internet dans ces restrictions d’accès.

Alors que le Sénat examine dans quelques jours le projet de loi sur le terrorisme, le gouvernement finalise actuellement le décret d'application qui mettra en vigueur les mesures de blocage que prévoit ce texte. Pour cela, rien de plus simple : la place Beauvau dépoussière le décret sur le blocage des sites pédopornographiques qui dormait dans les tiroirs depuis le vote de la LOPPSI 2, la loi d’orientation sur la sécurité intérieure votée en 2011. Composé d’une dizaine d’articles, le texte commence par confier à l’OCLCTIC la compétence de ces mesures de blocage.

Éditeurs, hébergeurs, FAI

Concrètement, l’Office central de la lutte contre la criminalité informatique aura avant tout compétence pour collecter les données jugées par lui illégales (pédopornographie, apologie ou provocation du terrorisme). Ceci fait, il notifiera aux éditeurs ou à défaut aux hébergeurs une liste de contenus qu’ils devront retirer rapidement, dans les 24 heures. Si cette demande échoue, notamment parce que les hébergeurs ne sont pas identifiés, il pourra s’adresser aux FAI, cette fois dans un échange sécurisé (détaillé dans un futur arrêté). Cette liste sera évidemment mise à jour si le site ou le contenu a disparu ou « ne présente plus de caractère illicite ». Cependant, aucun délai n’est programmé pour cet upgrade.

Ces « adresses électroniques » présentes dans cette liste porteront soit « sur un nom d’hôte soit sur l’adresse universelle ». Le texte définit le nom d’hôte par « un serveur informatique hébergeant un service de communication au public en ligne », composé « d’un nom de domaine et éventuellement précédé d’un nom de serveur au sein de ce domaine ». Quant à l’adresse universelle, elle est « composée d’un protocole, d’un nom d’hôte et de l’emplacement du contenu sur le système de traitement automatisé de données qu’il héberge ». Ces précisions seront susceptibles d’évoluer après les débats parlementaires où Bernard Cazeneuve a clairement fait comprendre sa préférence pour un blocage de type DNS. L’Intérieur s’octroie en tout cas une large latitude d’action pour taper au plus large sur les contenus et les sites ciblés.

Si la procédure devant l’éditeur ou l’hébergeur s’avère inutile ou inefficace, les FAI contactés par l’OCLCTIC devront en tout cas empêcher l’accès « sans délai et par tout moyen approprié le transfert ou l’accès aux services fournis par ces adresses électroniques ». Ils ne devront évidemment pas modifier cette liste, ni par ajout, ni par suppression.

Un état statistique sur les tentatives d’accès

Fait intéressant, les FAI devront également transmettre sur demande « un état statistique des tentatives de connexion aux sites bloqués ». La mesure fait tiquer les fournisseurs d’accès qui y voient un point problématique et pour cause, « ces requêtes ne sont pas loguées en l’état du droit », nous confie-t-on. « On ne voit pas comment on peut fournir ces statistiques d’autant que l’Intérieur est en capacité technique de le faire ».

Le décret prévoit en effet que les personnes qui tenteront en vain d’accéder à ces contenus seront automatiquement renvoyées « vers une page d’information du ministère de l’intérieur ». Cette dernière précisera le dispositif de protection mis en œuvre ainsi que les voies de recours. Au ministère donc de dresser ces statistiques, les yeux rivés sur son écran. Ce filet lui permettra, pourquoi pas, de trouver des indices relatifs à la consultation habituelle des sites terroristes, une mesure qu’entend prendre en compte l’actuel projet de loi dans un autre délit.

Des sites bloqués, sauf pour les services d'enquêtes

Autre information, les FAI devront mettre à disposition des services de l’État « un accès qui n’est pas soumis aux mesures d’empêchement prévues ». En clair, les services d’enquêtes veulent pouvoir accéder à ces informations normalement bloquées lorsqu’il s’agira de remonter les filières ou d’identifier les sources de diffusion. « On leur expliquera comment utiliser les DNS Google » s’amuse un autre acteur…

Des surcoûts à compenser, des coûts à sous-compenser

Le décret programme aussi une mesure imposée par le Conseil constitutionnel : la compensation des coûts supportés par ces entreprises privées dans la mise en œuvre de ces missions régaliennes. Du moins, il n’évoque que les « éventuels surcoûts » liés aux « interventions et aux investissements spécifiques supplémentaires », histoire d’éviter d’en faire un centre de profits.

L’intervention de la personnalité de la CNIL

Il est bien prévu l’intervention d’une personnalité qualifiée désignée par la CNIL. C’est elle qui sera chargée de jauger du caractère illicite des demandes de blocage. Dans le texte déjà voté à l’Assemblée, la personnalité sera alertée dès la prise de contact de l’éditeur ou de l’hébergeur. Si l’OCLCTIC s’estime en droit d’adresser la liste des contenus directement aux FAI (quand l’éditeur et l’hébergeur sont inconnus), il l’adressera simultanément à cette personnalité. Le cas échéant, elle ne disposera donc que d’un temps très court pour éventuellement dénoncer un cas de blocage illégitime et saisir alors le Conseil d’État si ses recommandations ne sont pas suivies d’effet. 

Une future notification européenne

Enfin, des versions du décret mentionnent dans les visas un avis de l’ARCEP, d’autres non. Cependant, il est bien programmé une mesure de notification des autorités européennes puisque le texte est une disposition technique touchant à la société de l’information. Une fois faite, cette notification devrait ouvrir un délai de trois mois durant lequel la Commission ou les autres États membres pourront faire valoir leur commentaire sur ces mesures. Si tout est en en règle, le décret entrera alors en vigueur au lendemain de sa publication au Journal officiel.

Nous reviendrons sur ces dispositions selon d'autres informations glanées depuis les assises de la sécurité à Monaco.


chargement
Chargement des commentaires...