L'avis de la CNIL sur le blocage des sites sans juge publié au Journal officiel

Après celui de l'ARCEP... 21
En bref
image dediée
Loi MàJ
Marc Rees

Mise à jour : Hier, au Journal officiel, la CNIL a publié sa délibération relative au décret sur le blocage administratif des sites, déjà révélée dans nos colonnes vendredi soir. On pourra lire le document sur ce lien. La veille, l'institution a par ailleurs officialisé la désignation d'Alexandre Linden pour surveiller ces opérations conformément à l'article 6-1 de la loi pour la confiance dans l'économie numérique.

Exclusif Next INpact. Nous avons pu nous procurer l’avis de la CNIL sur le décret relatif au blocage administratif des sites. Selon nos informations, cet avis pourrait être publié demain au Journal officiel. Tour d’horizon des principaux commentaires de la gardienne des données personnelles.

Le 6 février dernier, le gouvernement publiait le décret sur le blocage administratif des sites pédopornographiques, faisant l’apologie ou provocant au terrorisme (voir notre actualité). Avant de procéder à cette publication, l’Intérieur avait dû notifier le texte à la Commission européenne, récolter l’avis de l’ARCEP et celui de la CNIL. C'est cet avis que nous diffusons ci-dessous :

D'entrée, la CNIL revient sur l’économie du dispositif : l’Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC), une autorité administrative, est désormais chargé de dresser une liste noire des sites pédopornographiques ou incitants/provocants au terrorisme. Faute de réaction des éditeurs et des hébergeurs, cette liste est notifiée aux fournisseurs d’accès qui doivent très rapidement empêcher l’accès aux sites par un blocage de type DNS. Pas une seule fois le juge n'intervient pour valider ou rejeter ce qui a été considéré comme illicite par l'Intérieur.

Les utilisateurs qui tenteront ensuite de visiter le site bloqué seront alors redirigés sur une page du ministère « indiquant pour chacun des deux cas de blocage les motifs de la mesure de protection et les voies de recours ». Ces opérations seront contrôlées par une personnalité désignée par la CNIL, chargée spécialement de surveiller l’édition et la mise à jour de la fameuse liste noire. En cas de désaccord, celle-ci peut saisir en bout de courses le Conseil d’État afin de faire réformer le bannissement d’un site Internet.

Qu’a dit l’autorité de contrôle des données personnelles au ministère de l’Intérieur, Bernard Cazeneuve ? Ses remarques visent plusieurs points du mécanisme.

Des moyens suffisants pour la personnalité chargée de surveiller le blocage

Elle demande d’abord de doter la personnalité qualifiée « de moyens spécifiques afin de lui permettre de remplir effectivement les missions qui lui sont confiées par la loi ». En clair, faute de « moyens humains, techniques et financiers » suffisants, cet acteur pourrait ne pas être en mesure de détecter d’éventuels faux positifs dans la liste noire. Dans son décret final, l’Intérieur s’est limité au minimum vital, sur le dos de la Commission : « la personnalité qualifiée dispose pour l'exercice de ses fonctions des services de la Commission nationale de l'informatique et des libertés ». Il prévoit malgré tout la possibilité pour la personnalité de faire appel à un interprète, sans que la question de la prise en charge des coûts soit éclaircie.

La CNIL remarque encore que le projet de décret ne prévoyait aucune précision sur les modalités d’habilitations des agents de l’OCLCTIC pouvant exiger le retrait des contenus. Ce gros oubli a été colmaté par le texte final : il est dit que « seuls les agents individuellement désignés et dûment habilités par le chef de l'office sont autorisés à mettre en œuvre la procédure prévue. »

La sécurisation, l’oubli des éditeurs et des hébergeurs

Un autre écueil concerne cette fois les modalités d’échange entre l’OCLCTIC et les FAI. La liste noire leur est adressée « selon un mode de transmission sécurisé, qui en garantit la confidentialité et l'intégrité » dit le décret. Dans l’avis de la CNIL, on apprend que les FAI seront notifiés par simple courrier électronique. Toutefois, au 15 janvier, date de l’avis, l’Intérieur était encore en quête de solutions pour garantir la fameuse « confidentialité et intégrité » de ces listes. Devant ce flou, la CNIL demande « à être informée des mesures effectivement mises en œuvre. »

Surtout, à l’instar du député Lionel Tardy, la CNIL remarque que le décret a oublié de prévoir « les modalités de transmissions des demandes de retrait aux hébergeurs et éditeurs concernés », alors que ceux-ci doivent être alertés avant tout, comme le veut la loi. Pareillement, rien n’est prévu pour qu’ils soient eux aussi astreints à bien préserver la confidentialité du signalement, tout en s’interdisant de le modifier. La CNIL regrette plus globalement l’absence de « garanties identiques pour les éditeurs et hébergeurs concernés s’agissant de la transmission des demandes et adresses précitées ».

Dans le texte qui lui avait été soumis, l’Intérieur avait également omis de prévoir les modalités précises de mise à jour de la liste noire, alors qu’un site peut disparaitre ou perdre son versant illicite. Finalement le décret publié au JO a opté, non pour une mise à jour quotidienne, comme ce fut esquissé, mais trimestrielle. La CNIL aurait souhaité surtout que cette mise à jour puisse intervenir à la demande de l’éditeur ou de l’hébergeur. Le texte final ne prévoit pas cette fenêtre.

Pas de recueil des IP sur la page de redirection

Quant à la page de redirection, l'avis souligne au feutre que « le cadre juridique actuel ne permet ni la collecte ni l’exploitation, par l’OCLCTIC, des données de connexion des internautes ». La Commission informe déjà que si une telle collecte était un jour envisagée, elle devrait lui être préalablement soumise aux fins de contrôle.

Fait notable encore, elle rappelle qu’une demande de retrait adressée à un éditeur ou un hébergeur constitue « une décision administrative défavorable » devant du coup être motivée. Le décret ne donne pas davantage de précision particulière. La commission voudrait aussi que « le motif précis de la demande de retrait, la copie des pages estimées illicites, les éléments de fait permettant de caractériser les infractions, etc. » soient adressés à la personnalité qualifiée. Au JO, le décret final prévoit en réponse que la liste noire est « mise à disposition » de la personnalité qualifiée, ainsi que « les éléments établissant la méconnaissance par les contenus des [sites] » des dispositions du Code pénal…

L’avis de la Commission a également débordé sur le déréférencement administratif, programmé dans un autre texte. D’ores et déjà, elle remarque « qu’aucune disposition spécifique de nature législative ou réglementaire ne permet de déterminer le périmètre exact du déréférencement auquel seront soumis (…) les moteurs de recherche, ainsi que les critères leur permettant de faire cesser le référencement. »

Dernière mise à jour le 16/02/2015 08:07:27

chargement
Chargement des commentaires...