Au sommaire cette semaine : un nouveau scandale touchant la sécurité des données personnelles, la régulation d’Internet au programme du G8 et, comme si l’on n’en avait pas suffisamment parlé dans les médias traditionnels, l’affaire DSK.
Données personnelles
Nous parlions, la semaine dernière, des vols de données personnelles et de l’obligation incombant au responsable du traitement d’assurer la sécurité des données qu’il conserve. Nous en parlons à nouveau cette semaine, avec une nouvelle affaire grave et complexe : l’affaire TMG, du nom de la société française qui surveille les réseaux de partage P2P dans le cadre de la «riposte graduée» du système Hadopi.
Les faits : samedi dernier, plusieurs milliers d’adresses IP et de références de fichiers surveillés sur le réseau P2P BitTorrent ont été divulguées par erreur par la société TMG. Le site Numerama, qui a obtenu une archive des fichiers divulgués, rapporte que la fuite porte sur les données suivantes : les adresses IP des serveurs permettant la publication des fichiers, les adresses IP des clients connectés à ces serveurs, les adresses IP des pairs connectés à ces clients. Toujours selon Numerama, beaucoup d’adresses IP seraient étrangères, mais certaines auraient été attribuées à des internautes français. Par ailleurs, l’archive contient des fichiers anciens, qui remontent jusqu’au mois d’avril 2008, ce qui nous amène à nous interroger, avec Numerama, sur le respect des règles relatives à la durée de conservation des données (rappelons que la directive «data retention» de 2006 fixe un plafond de 2 ans, que l’article L34-1 CPCE et le décret n°2011-219 fixent un délai maximal de rétention de 1 an s’agissant des données de communication).
Première réaction : des moqueries, ou le fait que «l’arroseur arrosé» continue de faire rire. En effet, tout le système Hadopi repose sur une nouvelle incrimination, indépendante du délit de contrefaçon : la «négligence caractérisée» conduisant au «défaut de sécurisation» de l’accès à Internet, celui-ci ayant pu être utilisé afin de partager des fichiers illicites. Voilà donc qu’une société impliquée dans la «riposte graduée», en collaboration avec l’Hadopi, se trouve à son tour accusée d’avoir fait preuve de négligence dans la sécurisation des données collectées.
Deuxième réaction : on se demande comment la CNIL va réagir, car les enjeux de cette réaction sont importants. Il ne s’agit pas seulement, en effet, de sanctionner la société TMG, en application de la loi «Informatique et Libertés», si elle se révèle fautive. La collecte et le traitement des données dans le cadre de la «riposte graduée» du système Hadopi est soumise à une autorisation administrative délivrée par la CNIL (et non à une simple déclaration). Par conséquent, si la CNIL retirait son autorisation à TMG, la société nantaise ne pourrait plus collecter des données sur les réseaux de partage, pour les transmettre ensuite à l’Hadopi. Or, et c’est là que l’affaire prend des airs de fiasco, TMG est actuellement la seule société ayant l’autorisation de collecter des données dans le cadre de la riposte graduée. Il en résulte que, si la CNIL retirait son autorisation, tout le système Hadopi s’en trouverait paralysé !
Troisième réaction et première conséquence : l’Hadopi coupe les ponts avec TMG. Du moins provisoirement, par précaution, car un membre de l’Hadopi a avoué que la Haute autorité ignorait «ce qu’il se passe réellement dans les serveurs de TMG». Concrètement, l’Hadopi ne recevra plus de nouvelles adresses IP relevées par TMG, mais elle poursuivra l’analyse des adresses communiquées jusqu’à présent. La durée de conservation maximale étant fixée par la loi à 1 an, les données antérieures à mai 2010 ne pourront pas être traitées, et les données relevées de mai 2010 à mai 2011 pourront être traitées jusqu’en mai 2012. En revanche, à partir de maintenant et jusqu’à ce que l’Hadopi reçoive de nouvelles données, le système de riposte graduée est paralysé. L’information est relayée à l’étranger(en).
Quatrième réaction : la parole est donnée à la défense, TMG. Selon la société, les données proviendraient d’un serveur de test, et non d’un serveur «de production» utilisé dans le cadre de la riposte graduée. L’argument peine à convaincre, lorsqu’on sait que les fichiers divulgués contiennent des adresses IP récentes attribuées à des internautes français. Dans le même temps, les ayants droit reprennent l’argumentation de TMG, avec une rhétorique plutôt hésitante.
Cinquième réaction et deuxième conséquence : la CNIL s’en mêle. C’est un tweet laconique qui l’indique : la CNIL est à Nantes pour contrôler TMG. Comme nous le disions précédemment, les enjeux de ce contrôle sont importants : si la CNIL rend rapidement un rapport favorable à TMG, la riposte graduée pourra reprendre ; en revanche, si la CNIL retire son autorisation à TMG, c’est tout le système Hadopi qui se retrouvera figé pendant une période indéterminée (et qui pourrait s’avérer longue…).
Sixième réaction et troisième conséquence : des poursuites sont envisagées. Les serveurs de TMG ayant été prétendument «piratés», un délit d’intrusion dans un système informatique aurait été commis. TMG a donc annoncé avoir déposé une plainte contre les «pirates» puis, peu de temps après, l’avoir retirée. En effet, suivez la logique : si les données sont protégées, il n’y a pas de violation de la loi «Informatique et Libertés» qui impose leur sécurisation, et l’accès à ces données sans autorisation constitue un délit d’intrusion dans un système informatique, passible de poursuites ; en revanche, si les données sont librement accessibles, il n’y a pas de délit d’intrusion, mais il y a violation de l’obligation de sécurisation. En l’occurrence, les données étaient librement accessibles, la plainte était donc vouée à l’échec, et c’est probablement la raison pour laquelle elle fut retirée.
Septième réaction : les suites. Car il y en aura, des suites. Plusieurs questions se posent, notamment sur l’avenir du système Hadopi, sur le fonctionnement de TMG et plus généralement sur la «traque» des internautes sur les réseaux de partage, sur les moyens de sécurisation des données, etc. Nous aurons très certainement l’occasion d’en reparler.
Régulation, libertés et censure
L’autre information importante de la semaine, parfaitement scandaleuse, porte sur la politique française en matière de contrôle d’Internet, et plus particulièrement du «Web social».
Le prochain sommet du G8, qui se tiendra à Deauville, aura notamment pour thème la régulation d’Internet. Mais quelle sera la position de la France sur cette question ? Il apparaît dans les travaux préparatoires du sommet qu’il y a un gouffre entre la position défendue par l’ancien ministre des Affaires étrangères, Bernard Kouchner, et celle soutenue par l’Élysée.
En parlant «gouffre», nous ne faisons pas dans l’hyperbole. Voici, en effet, les deux positions, sans caricature aucune : <ul> <li>Pour le ministre des Affaires étrangères : la défense de la liberté d’expression sur le réseau, la lutte contre la censure et le filtrage, au niveau international, la réflexion sur les moyens de garantir que le réseau reste ouvert, neutre et respectueux de la vie privée de chacun.</li> <li>Pour l’Élysée : le contrôle, la surveillance, le filtrage, la censure.</li> </ul> <p>Pourquoi une telle divergence ? La raison est simple : le ministre et le président n’envisagent pas la «régulation» d’Internet pour les mêmes raisons, et ils n’ont pas les mêmes faits en tête.
Le ministre, d’abord, pense à l’importance revêtue par les réseaux sociaux et la communication directe entre les internautes lors des révolutions dans le monde arabo-musulman. Nous en avons déjà parlé ici : les réseaux sociaux ne sont ni la cause ni la conséquence de ces révolutions démocratiques, mais ils ont joué un rôle (très) important en permettant des soulèvements de masse rapides. S’ils ont pu jouer un tel rôle, c’est que leurs infrastructures sont physiquement localisées dans des États démocratiques, hors de portée des régimes dictatoriaux. Pour le ministre, il faut donc montrer l’exemple, et garantir qu’Internet reste libre et ouvert dans nos démocraties occidentales, afin que les internautes subissant la dictature puissent s’exprimer sans subir la répression du pouvoir local. En outre, la censure est contraire au droit français (qui consacre le principe de liberté en matière d’expression) ce qui rend, dans beaucoup de cas, le filtrage illicite. C’est donc aussi pour la protection des droits des internautes français (ou, plus largement, européens) qu’Internet doit rester ouvert et libre.
L’Élysée, au contraire, pense aux droits de propriété intellectuelle et aux intérêts financiers des ayants droit (l’argent, encore l’argent… rien de bien nouveau là-dedans). La dialectique et la rhétorique qui l’accompagne sont connues : le «piratage» est un «fléau», il faut le «prévenir» et le «réprimer», en «surveillant» les internautes (cf. Hadopi) afin de les dissuader, et en «contrôlant» les contenus échangés afin de les «filtrer» et de «bloquer» les fichiers illicites.
Les grands opérateurs d’Internet semblent préférer la position du ministre (ce qui est, en un sens, bien compréhensible, puisqu’elle favorise leurs activités). Google, par exemple, soutient cette semaine, par la voix d’Eric Schmidt (président du Conseil d’Administration)(en), que le filtrage d’Internet rapproche nos démocraties occidentales de la Chine, s’agissant du contrôle de l’expression. La société américaine s’oppose à l’usage de moyens disproportionnés, nuisibles à la liberté d’expression (et, au passage, au droit à la vie privée et à la protection des données), dans le cadre de la prévention et de la répression de la contrefaçon en ligne.
La Commission Européenne refuse pour l’instant d’instaurer un filtrage généralisé d’Internet au niveau européen. Mais dans le même temps, le filtrage arrive en Autriche, par une décision de justice ordonnant le blocage d’un site de streaming. Et la censure d’Internet continue de progresser dans le monde(en)…
Digressions et participation à l’emballement médiatique
L’affaire judiciaire qui accapare actuellement l’attention des médias français est l’affaire DSK. Elle ne concerne pas directement l’actualité des nouvelles technologies ; aussi, ce qui suit est légèrement hors sujet. Nous avons toutefois décidé de faire deux remarques qui nous semblent pertinentes dans le cadre du thème de cette revue.
La première remarque concerne à la fois la diffusion des images de DSK menotté et la publication du nom de la victime alléguée dans la presse française. Ces deux informations sont perçues de manière différente selon le côté de l’Atlantique où l’on se place. Aux États-Unis, les victimes alléguées sont très protégées, et il est inconcevable pour la presse de publier leur nom dès le début d’une affaire telle que celle qui nous occupe ; en France, au contraire, si l’accusé est connu, il semble normal que l’accusatrice le soit aussi. Aux États-Unis, il est normal de montrer un suspect menotté, le présentant comme un coupable avéré plutôt que potentiel, alors qu’en France la diffusion d’un tel message est contraire à la présomption d’innocence et ouvre droit à réparation (article 9-1 Code civil).
Cela étant dit, voici où nous voulons en venir : si les deux informations ont été diffusées à la fois aux États-Unis et en France, c’est principalement grâce à Internet. Or, s’agissant de telles informations, en l’état actuel du droit et de la technologie, aucune mesure de filtrage ou de blocage ne peut empêcher leur diffusion. Quoi que l’on fasse, l’information parviendra au public visé ou la recherchant. Cela montre deux choses : d’abord qu’il est illusoire de vouloir contrôler à tout prix l’information, et surtout des informations de cette nature ; ensuite, qu’un Internet «civilisé», contrairement à ce que dit M. Sarkozy, n’est pas un Internet «contrôlé», filtré et censuré, mais un Internet libre et ouvert, fondé sur le respect de l’autre et de ses idées, sur lequel l’on navigue en gardant à l’esprit qu’il s’agit d’un «monde» virtuel et que tout le monde ne partage pas les mêmes valeurs.
La deuxième remarque porte justement sur ces valeurs, de liberté d’expression et de présomption d’innocence, que les français et les américains ont en commun, mais qu’ils ne conçoivent pas de la même manière. En France, l’expression est libre, mais les abus de cette liberté sont sanctionnés. Or, porter atteinte à la présomption d’innocence d’autrui constitue un abus de la liberté d’expression passible de sanctions. En d’autres termes, selon le droit français, la présomption d’innocence est à mettre en balance avec la liberté d’expression, elle intervient dans le domaine médiatique et peut fonder la censure d’une information. Aux États-Unis, tout raisonnement relatif à la diffusion d’une information a pour fondement le premier amendement à la Constitution fédérale. La liberté d’expression est un droit presque absolu : il est naturellement limité lorsque les propos tenus sont faux (diffamation), mais, d’une part, les «personnages publics» tels que DSK n’ont que peu de chances d’obtenir réparation en cas de diffamation (les conditions posées par la jurisprudence sont très restrictives – cf. New York Times v. Sullivan, 376 U.S. 254 (S. Ct. 1964) et, d’autre part, il ne s’agit pas en l’espèce de diffamation, mais de la représentation d’un fait brut et indiscutable, l’accusé sortant menotté du commissariat (le fondement d’une éventuelle action, si DSK était innocenté, pourrait alors être le délit de false light – cf. W. Prosser, Privacy, 48 California Law Review 383 (1960)(PDF) et le Restatement (Second) or Torts §652E). La présomption d’innocence n’intervient donc pas à ce niveau, en droit américain. Elle intervient en revanche dans la procédure juridictionnelle qui doit, à tout moment, respecter les droits de la défense de l’accusé (ce que l’on appelle la clause due process de la Constitution). Dernière précision pour éclairer la position américaine : la victime alléguée sera bientôt interrogée par la défense, et son exposition médiatique sera sans doute égale à celle dont pâtit actuellement DSK.