Désinformations, rumeurs infondées, ragots, … A quand de vraies nouvelles sur les fake news ?

Lutter contre la désinformation suppose de responsabiliser les acteurs impliqués dans sa propagation, depuis la source d’une fake news, en passant par les algorithmes sacralisant la popularité des contenus, jusqu’à l’internaute qui la relaie – sciemment ou non. Et il faut adapter le cadre juridique.

Par Alexandre Euverte et Etienne Drouard, cabinet K&L Gates

« Johnny Hallyday a trouvé la mort aujourd’hui à l’âge de 74 ans ». Cette affirmation ne correspond pas à la triste nouvelle qui a endeuillé la France à l’aube du 6 décembre 2017. C’est la réponse que donnait l’application Siri d’Apple le 30 novembre 2017 si vous lui demandiez :
« Comment va Johnny ? ». Cette information fausse, relayée par Siri, faisait suite à une modification trompeuse de la page Wikipedia du légendaire chanteur, mise en ligne par un individu anonyme annonçant son décès de façon prématurée (1).

Loi de 1881 et fake news du XXIe siècle
Si Internet forme aujourd’hui un forum d’échanges global favorisant l’expansion de la liberté d’expression, il est impossible d’ignorer les dérives induites par la vitesse et l’effervescence des contenus. C’est le cas des fake news, ces actualités créées intentionnellement pour tromper le public et lui fournir une représentation erronée
de la réalité ou une dénaturation des faits, souvent utilisées à des fins malveillantes. Au-delà de la désinformation de masse, les fake news nourrissent des théories conspirationnistes, en augmentation en France (2), ainsi que les propagandes les
plus nauséabondes. L’impulsion des réseaux sociaux permet de donner une ampleur inédite aux fake news, parfois relayées par des médias institutionnels ou historiques, voire par des responsables politiques. Lutter efficacement contre ce « cancer » de la désinformation exige de responsabiliser tous les acteurs impliqués dans sa propagation, depuis la source d’une fake news, en passant par les algorithmes de classement basés sur la popularité des contenus, jusqu’à l’internaute qui relaie la désinformation – sciemment ou à son insu – à travers l’audience de masse des réseaux sociaux. Il est nécessaire d’adapter notre cadre juridique et d’inciter les acteurs les plus impliqués à privilégier la vérité par rapport à la popularité. Or notre arsenal législatif peine à s’adapter au numérique, même si les règles de fond applicables gardent toute leur légitimité. Le dispositif législatif français issu de la loi du 29 juillet 1881 sur la liberté de la presse permet déjà, en soi, l’appréhension des fake news. L’article 27 de cette loi fondamentale pour notre démocratie dispose en effet que « la publication, la diffusion ou la reproduction, par quelque moyen que ce soit, de nouvelles fausses, de pièces fabriquées, falsifiées ou mensongèrement attribuées à des tiers lorsque, faite de mauvaise foi, elle aura troublé la paix publique, ou aura été susceptible de la troubler, sera punie d’une amende de 45.000 euros ». Si le texte permet ainsi de condamner aussi bien le fait d’avoir publié ou d’avoir relayé une fake news, il faut néanmoins que l’auteur ait été de mauvaise foi. Cette condition reste indiscutablement légitime. Elle exonère de responsabilité l’internaute ou le média reproduisant une information fausse en la croyant véridique.
Il a ainsi déjà été jugé que l’absence de vérification de l’information communiquée était insuffisante pour engager la responsabilité du diffuseur d’une fausse information (3).
En ce sens, seules les personnes à la source de l’information fausse ou dont on peut démontrer qu’elles en connaissaient le caractère mensonger, pourraient être condamnées. Il faut ensuite que la fake news soit de nature à troubler « la paix publique », ce qui peut laisser une marge d’interprétation importante aux juges et qui devrait écarter les cas isolés d’internautes relayant de telles informations à leur cercle restreint via, par exemple, un compte Facebook fermé et avec peu d’amis.Ce texte a été très peu appliqué en jurisprudence (4), sans doute pour éviter les potentielles atteintes à la liberté d’expression et les accusations de vouloir imposer une vérité officielle. Or, il est le seul texte général, en France, à rendre illicites les fausses nouvelles, lorsqu’elles ne peuvent être sanctionnées sur le fondement d’autres infractions, telles que la calomnie, la diffamation ou l’incitation à la haine. Mais lorsque le temps judiciaire discrédite la loi, faut-il encore légiférer ?

Faut-il sanctionner pénalement ?
C’est dans ce contexte que le débat a été relancé en France. Le 22 mars 2017, la sénatrice Nathalie Goulet (5) a soumis une proposition de loi (6) visant à définir et sanctionner les fausses nouvelles, ou «fake news ». Cette proposition a pour objectif
de reprendre la jurisprudence de la Cour de cassation sur l’application de l’article 27
de la loi du 29 juillet 1881, mais en assouplissant l’exigence d’un élément moral de l’infraction, à savoir la mauvaise foi. Il s’agirait en effet de pouvoir sanctionner les personnes qui relaient des contenus sans en avoir vérifié les sources. Il est proposé d’ajouter un nouvel article 226-12-1 du Code pénal qui sanctionnerait la mise à disposition du public de fake news non accompagnées des réserves nécessaires (7). Un nouvel article 226-12-2 du Code pénal préciserait également : « Doit notamment être considéré de mauvaise foi, l’éditeur, le diffuseur, le reproducteur, le moteur de recherche ou le réseau social ayant maintenu à la disposition du public des nouvelles fausses non accompagnées des réserves nécessaires pendant plus de trois jours à compter de la réception du signalement de leur caractère faux ». L’auteur de la fake news pourrait cependant prouver sa bonne foi en démontrant qu’il a accompli les
« démarches suffisantes et proportionnelles aux moyens dont il dispose » pour vérifier le contenu litigieux.

Responsabilité, rigueur et déontologie
Si elles étaient adoptées, ces nouvelles règles feraient peser sur les particuliers, comme sur les acteurs du Web, une responsabilité lourde, similaire à celle pesant sur les journalistes professionnels (8). Les notions de « mauvaise foi », de « réserves nécessaires » et de « démarches suffisantes et proportionnelles aux moyens dont il dispose » seront laissées à l’appréciation souveraine des juges du fond à défaut d’indications plus précises. Le texte envisagé par le Sénat souhaitait ériger cette infraction en délit et proposait une peine d’un an d’emprisonnement et de 15.000 euros d’amende. Des nouvelles dispositions du Code pénal ajouteraient en outre que les éditeurs de presse et les syndicats de journalistes pourraient se constituer partie civile, endossant ainsi le rôle de « gardiens de la rigueur et des exigences déontologiques qu’implique l’exercice journalistique », selon les termes du préambule de la proposition de loi. Néanmoins, il semble que le calendrier de cette proposition de loi – déposée au Sénat le 22 mars 2017 – ait été retardé, puisqu’elle n’a toujours pas été étudiée par l’Assemblée nationale à ce jour ni fait l’objet de travaux en commissions. Quant aux réseaux sociaux, quelle est leur contribution contre la désinformation de masse ? Légalement, les hébergeurs n’ont pas un devoir de réaction aux fake news. Selon la réglementation française et européenne (9), les réseaux sociaux sont considérés comme des hébergeurs des contenus mis en ligne par leurs membres et bénéficient
à ce titre d’un régime de responsabilité limitée. Ils doivent, d’une part, conserver les données d’identification des personnes ayant contribué à la création de contenus sur leurs services et les communiquer, sur demande, à l’autorité judiciaire. D’autres part,
ils doivent bloquer et faire cesser les contenus faisant « l’apologie des crimes contre l’humanité, de la provocation à la commission d’actes de terrorisme et de leur apologie, de l’incitation à la haine raciale, à la haine à l’égard des personnes à raison de leur sexe, de leur orientation ou identité sexuelle ou de leur handicap ainsi que de la pornographie enfantine, de l’incitation à la violence, notamment l’incitation aux violences faites aux femmes, ainsi que des atteintes à la dignité humaine ». Mais
ce, uniquement après que de tels contenus leur ont été signalés (10). Les fausses nouvelles qui n’inciteraient pas à la haine, à la violence, à la discrimination ou à la dignité humaine, échappent donc au champ d’application de ce texte qui définit strictement les contenus illicites que les hébergeurs – dont font encore partie les Facebook, WhatsApp, Twitter et autres Snapchat – doivent contribuer à bannir de leurs services, lorsque de tels contenus leur sont signalés. Face à l’ampleur du phénomène des fake news et aux pressions exercées contre eux, certains réseaux sociaux ont pris des initiatives. Facebook a, par exemple, mis en ligne un outil de vérification des contenus pour lutter contre les fake news (11). Cet outil n’a toutefois pas permis à Facebook d’essuyer les nombreuses critiques récentes reçues pour la mise en avant automatique de fake news, notamment lors de la tuerie de masse de Las Vegas (12). Le 16 novembre 2017, Facebook, Google, Twitter et Bing ont rejoint le « Trust Project », un consortium de grands éditeurs de presse créé pour lutter contre les fake news (13). Alors que l’Union européenne consulte de son côté (lire encadré cidessous), la contribution des géants américains est bienvenue, puisqu’ils sont les instruments de la diffusion, à grandes échelle, des articles des éditeurs de sites web, via notamment leurs procédés d’indexation et de mise en avant de contenus ainsi que le partage effectué par leurs utilisateurs. @

ZOOM

L’Europe, elle, consulte jusqu’en février 2018 : pour éviter ses erreurs passées ?
La Commission européenne a lancé le 13 novembre 2017 une consultation publique
en ligne concernant la lutte contre les fake news (14). Les objectifs sont résumés ainsi :
« La consultation vise à recueillir des informations sur les aspects suivants : définition des fausses nouvelles et de leur diffusion en ligne ; évaluation des mesures déjà prises par les plateformes en ligne, les médias et les organisations de la société civile pour contrer la diffusion de fausses nouvelles en ligne ; futures actions possibles pour renforcer les informations de qualité et endiguer la propagation de la désinformation en ligne ». La consultation est ouverte jusqu’en février 2018 à toutes les parties prenantes – citoyens, journalistes, personnes morales, fournisseurs de services – qui peuvent répondre à des questionnaires adaptés. Les résultats seront publiés à la suite de la consultation. Réfléchir avant de légiférer, une saine méthode…, à condition de ne pas reproduire les erreurs du passé récent, comme la Cour de Justice de l’Union européenne (CJUE) qui a « inventé » un droit à la désindexation, dont elle a confié
la mise en oeuvre aux moteurs de recherche (15), ou comme la Commission et le Parlement européens qui s’apprêtent dans le cadre du futur règlement « ePrivacy »
à confier aux éditeurs de logiciels de navigation le soin d’informer les internautes sur
le dépôt d’un fichier « cookie » et de paramétrer les conditions de leurs choix (16). Gageons donc, sans devoir se contenter d’allumer un cierge – sauf à la mémoire de Johnny –, que cette consultation publique sur les fake news ne relèguera pas le juge
au rang de figurant et ne fera pas de la loi l’instrument d’un abandon de souveraineté européenne. Il en va de la vérité dans nos démocraties. De notre culture européenne de la liberté d’expression. @

Piratage sur Internet : le filtrage obligatoire des contenus devant les eurodéputés

Le Parlement européen va bientôt se prononcer sur le projet de directive « Droit d’auteur dans le marché unique numérique », actuellement examiné par ses différentes commissions. C’est l’occasion de se pencher sur l’article 13 qui fait polémique en matière de lutte contre le piratage. Il pourrait être supprimé.

« L’article 13 prévoit l’obligation, pour les prestataires de services de la société de l’information qui stockent et donnent accès à un grand nombre d’œuvres et autres objets protégés, chargés par leurs utilisateurs, de prendre des mesures appropriées et proportionnées pour assurer le bon fonctionnement des accords conclus avec les titulaires de droits et pour empêcher la mise à disposition, par leurs services, de contenus identifiés par les titulaires de droits en coopération avec ces prestataires », avait expliqué la Commission européenne dans ses motifs lors de la présentation il y a six mois de son projet de réforme du droit d’auteur dans le marché unique numérique.

Atteintes aux droits fondamentaux ?
C’est cet article 13 sur l’utilisation de contenus protégés par le droit d’auteur qui fait l’objet d’un intense lobbying de dernière ligne droite au Parlement européen entre les ayants droits et les acteurs du Net. L’article 13 stipule en effet que « les prestataires
de services de la société de l’information (…) prennent des mesures [de lutte contre
le piratage sur Internet, ndlr]. Ces mesures, telles que le recours à des techniques efficaces de reconnaissance des contenus, doivent être appropriées et proportion-
nées ». L’eurodéputée Therese Comodini Cachia, au sein de la commission des Affaires juridiques du Parlement européen, a préconisé de supprimer cette disposition. La Quadrature du Net, association de défense des droits et libertés numériques, a pris aussi position contre cette mesure, en annonçant le 7 mars dernier avoir envoyé aux eurodéputés ses arguments pour faire avancer le débat sur la réforme du droit d’auteur. Selon elle, la détection automatique de contenus illicites est d’abord une lourde atteinte aux principes du droit. « Nous préconisons de refuser la systématisation de ce procédé de détection d’œuvres protégées sur les plateformes de contenu, sous peine d’alourdir considérablement le régime juridique de la publication sur Internet et de mettre en place une inflation des atteintes aux droits fondamentaux », a dit aux eurodéputés l’association des internautes présidée par Philippe Aigrain (photo). La raison en est que l’article 13 inverse la charge de la preuve.« Au lieu d’exiger de l’ayant droit qu’il prouve qu’il y a eu utilisation illicite de son oeuvre, il impose à l’internaute qui a mis en ligne un contenu de prouver, après suppression automatique, que son contenu ne violait pas les droits d’autrui. Ce mécanisme risque de porter gravement atteinte à la liberté d’expression et de création », déplore l’association. Pour La Quadrature du Net, le caractère automatique de la sanction décourage de tout recours et prive du droit au procès équitable qui soustend les principes du droit. L’article 13 prévoit bien que les acteurs du Net mettent en place des dispositifs de plainte et de recours à l’intention des utilisateurs pour les litiges suite à l’application des mesures prises pour lutter contre le piratage telles que le recours à des techniques efficaces de reconnaissance des contenus, mais l’association relève que « rien n’est indiqué dans la directive pour obliger les plateformes à tenir compte des réclamations faites ou mettre en place des procédures d’appel (mise à part une vague obligation “d’adéquation et de proportionnalité” et la mention d’un dispositif de plainte sans garantie) ». L’association dénonce en outre deux ruptures d’égalité devant la justice dans le sens où, d’une part,« les éditeurs dont les contenus ont été abusivement supprimés doivent, eux, supporter la charge d’une action judiciaire pour faire valoir leurs droits a posteriori », et, d’autre part, « si cette automatisation du retrait de contenu illicite devient la norme, alors seuls ceux capables de supporter le coût de cette automatisation pourront faire valoir leurs droits ». Quant aux outils de contrôle de détection de contenus illicites, ils seront laissés dans les mains des seuls acteurs du Net. Ce qui amène La Quadrature du Net à se poser des questions sur ces robots de filtrage. Qui les contrôlera et vérifiera leurs paramétrages ? (1) « Au vu du fonctionnement de ce type de robots pour des plateformes de vidéo (YouTube), il est d’ores et déjà prouvé que ces robots font de nombreuses erreurs. Parmi ces erreurs, il a par exemple déjà été constaté que les ayants droit qui posent des empreintes sur des œuvres peuvent se réapproprier eux-mêmes les œuvres d’autres auteurs, et priver ceux-ci du libre choix de publication de leur création », prévient l’association.

Une menace pour la création
Ensuite, La Quadrature du Net estime que cet article 13 sera contre-productif pour la création et les créateurs, voire une menace pour la création car il instaure une censure incapable de repérer les exceptions légitimes au droit d’auteur. « Les outils de censure automatique sont, par nature, incapables de discerner lors de la réutilisation d’une oeuvre, s’il s’agit d’une simple copie sans ajout, ou bien d’une parodie, d’une critique ou d’un remix (entre autres possibilités de reprise légitimes et légales d’un extrait d’oeuvre protégée). Toute la culture qui repose sur l’utilisation d’autres œuvres pour alimenter la création est donc niée et fortement mise en danger par ce type de mesure », met en garde l’association des internautes. Et d’ajouter : « Or, la culture transformative est extrêmement présente dans les nouveaux usages et services. Y porter atteinte de façon indifférenciée, c’est donc mettre en péril une part très importante de la création audio et vidéo actuelle ».

Directive e-commerce et statut d’hébergeur
L’association rappelle par exemple le rôle de vulgarisation scientifique et de partage
de culture générale exercé par de nombreux créateurs de vidéos, participant ainsi à la vitalité de la création culturelle et éducative – notamment auprès d’un public jeune qui s’informe et se cultive plus volontiers sur YouTube que via des relais traditionnels. La Quadrature du Net s’attend par ailleurs à des conflits entre titulaires de droits : « Cette disposition pourrait avoir des répercussions négatives pour les œuvres qui sont diffusées sous licence libre, ou qui sont entrées dans le domaine public. L’expérience du robot de détection d’œuvres protégées sur YouTube a fait apparaître de nombreux conflits entre titulaires de droits, qui promet un contentieux important, et par ricochet une modification des conditions de création, les créateurs ne pouvant être assurés de contrôler comme ils le souhaitent la diffusion de leurs œuvres » (2).
L’association des internautes dénonce dans la foulée « une négation flagrante du statut du créateur amateur, qui ne peut être reconnu et protégé que s’il est inscrit à une société de gestion collective de droits, en charge de fournir les empreintes d’œuvres à “protéger” sur les plateformes de partage ». Pour elle, le projet de directive crée une insécurité juridique permanente pour les créateurs et les utilisateurs. Cette disposition risque aussi de pousser à « la création d’une culture hors-la-loi ». Or les commissions Imco (3) et Cult (4) du Parlement européen ont proposé respectivement une exception de citation élargie aux œuvres audiovisuelles et une exception permettant les usages transformatifs. Pour La Quadrature du Net, « ce serait une avancée significative dans l’adaptation du droit d’auteur aux usages actuels ».
Enfin, toujours selon La Quadrature du Net, l’article 13 entre en conflit avec le statut de l’hébergeur. « En demandant aux plateformes de mettre en place des outils de détection automatique de contenus illicites, cet article (…) pose de nombreux problèmes de compatibilité avec la directive de 2000 sur le commerce électronique (5) qui régit la plus grande part des responsabilités respectives des acteurs de l’Internet », lesquels ne sont soumis à aucune obligation de surveillance préalable des contenus. Et ce, depuis plus de quinze ans maintenant. Le 19 septembre dernier, l’Association des services Internet communautaires (Asic) avait également dénoncé cet article 13 en ces termes : « Le diable étant dans les détails, le texte ne s’arrête pas à ce qui aujourd’hui a été mis en place volontairement depuis près de dix ans par les hébergeurs (…) comme Dailymotion et YouTube – à travers les contrats conclus en France avec la SACD (6),
la Sacem (7), la Scam (8) et l’Adagp (9)… et l’adoption de systèmes de reconnaissance de contenus type (Audible Magic, Signature ou Content ID…) – mais va plus loin et prévoit une obligation de “prévenir la disponibilité des contenus” sur ces plateformes. L’article 13 veut ainsi instaurer une obligation de monitoring et de filtrage pour ces plateformes en contradiction totale avec les principes de la directive ecommerce » (10). La Quadrature du Net, elle, poursuit en affirmant que le dispositif envisagé ne résout pas le problème de transfert de valeur (value gap), lequel est mis en avant par les industries culturelles (musique, cinéma, audiovisuel, …) qui s’en disent victimes au profit des GAFA et des plateformes de contenus en ligne. « En supprimant les contenus, la problématique du transfert de valeur n’est pas résolue puisque cela n’entraîne aucune rémunération du créateur. Pire, les créateurs sont privés de la visibilité qu’apporte l’exposition, y compris illégale, de leurs œuvres sur Internet », regrette l’association. Et d’ajouter : « La question du différentiel de revenus entre plateformes et créateurs ne peut être réglée qu’en traitant des problématiques de répartition, avec une vraie acceptation des nouvelles pratiques de partage par les sociétés de gestion collective de droits ». La Quadrature du Net fait en outre remarquer aux eurodéputés que l’obligation générale de mise en place d’outils de détection automatique de contenus illicites – outils réputés pour être coûteux à acquérir et à mettre en place – devrait générer une forte inégalité entre plateformes numériques.

Risque de favoriser les GAFA
Résultat : « Paradoxalement, cette mesure risque de favoriser le monopole des GAFA et de tuer l’émergence d’acteurs européens, en faisant monter de façon disproportionnée le coût d’accès au marché ou les risques financiers imprévisibles en cas de création d’un service de partage de contenu ». Reste à savoir si les eurodéputés seront sensibles à ces arguments en supprimant l’article 13 controversé. A suivre. @

Charles de Laubier

Audiovisuel : YouTube n’est pas « éditeur », quoique…

En fait. Le 27 septembre, le Conseil supérieur de l’audiovisuel (CSA) a organisé ses premières Rencontres sur le thème de « L’audiovisuel dans l’espace numérique : plateformes et données ». En première ligne, Google a défendu son statut d’hébergeur : « Nous ne sommes pas éditeur de contenus ». Vraiment ?

En clair. Alors que le statut d’hébergeur de certaines plateformes vidéo telles que YouTube ou Dailymotion est remis en question par les industries culturelles, en particulier en France, les premières Rencontres du CSA ont permis d’entendre Google à ce sujet. « Nous ne sommes pas éditeur de contenus, mais nous travaillons en partenariat avec les éditeurs de contenus », a affirmé Laurent Samama, directeur
des relations stratégiques Média et Divertissement de la firme de Mountain View pour
la région EMEA (1). Et le Français d’insister : « Nous ne nous considérons pas comme
un acteur à part entière car nous ne sommes pas éditeur de contenus ; nous ne faisons pas de contenus ». Le statut d’hébergeur permet aux plateformes vidéo de non seulement bénéficier d’une responsabilité limitée dans la lutte contre le piratage mais aussi de ne pas être soumises à des obligations de financement de la création (lire aussi p. 6 et 7).
Le CSA, lui, s’interroge sur le statut de YouTube. Dans un rapport publié peu avant
ces Rencontres, le régulateur écrit :« Certaines plateformes, (…), opèrent désormais simultanément à plusieurs niveaux et exercent à la fois les fonctions de production, d’édition et de distribution de contenus (exemple de YouTube) » (2). Ce qu’a aussitôt nuancé Nicolas Curien, membre du CSA : « Le CSA dit effectivement que YouTube n’est pas seulement un hébergeur. Le CSA ne dit pas qu’il est éditeur ou distributeur, mais il invite à repenser les catégories traditionnelles des fonctions des métiers de l’audiovisuel ». Laurent Samama est alors remonté au créneau : « Sur YouTube, on
a vraiment pas de fonction d’édition. (…) La seule chose est [que] nous avons des algorithmes et parfois de la vérification manuelle pour éviter ces contenus interdits ».
Francine Mariani-Ducray, membre du CSA, a saisi la balle au bond : «Mais est-ce
que les algorithmes de recommandation ne sont pas une manière d’éditorialiser ? … J’ai ma réponse personnelle ! (…) C’est “oui’” ». Le dirigeant de Google lui a répondu :
« C’est une bonne question. Nous, nous considérons que “non”. Ensuite, il y a une
vraie réflexion sur la part de la personnalisation des algorithmes, tout en gardant une part d’accès à la diversité. Donc, effectivement, il y a des formules à mettre en place mais qui, pour nous, ne s’apparentent pas à un choix éditorial de contenus à mettre
en avant ». @

Plateformes collaboratives : à la recherche d’un développement équilibré et durable

Le modèle disruptif des plateformes collaboratives recherche son modèle de régulation. Plusieurs Etats européens, dont la France, ont pris des mesures encadrant le développement de ces plateformes collaboratives. Les préoccupations sont fortes sur les droits et les obligations de ces acteurs.

Par Christophe Clarenc (photo) et Martin Drago, cabinet Dunaud Clarenc Combles & Associés

La Commission européenne a publié en juin dernier une communication présentant « un agenda européen pour l’économie collaborative » (1). Sous ce vocable d’économie collaborative (ou d’économie de partage), elle appréhende
« des modèles économiques où des plateformes collaboratives qui créent un marché ouvert pour l’utilisation temporaire de biens et de services souvent produits ou fournis par des personnes privées ».

Un « brouillage des limites »
La Commission européenne distingue les trois catégories d’acteurs concernés : les prestataires de services partageant leurs actifs ou ressources, qui peuvent être des personnes privées proposant leurs services sur une base occasionnelle (« pairs »)
ou des prestataires intervenant à titre professionnel (« prestataires de services professionnels ») ; les utilisateurs de ces services ; et les plateformes en ligne
(« intermédiaires ») mettant en relation ces prestataires et ces utilisateurs et facilitant leurs transactions (« plateformes collaboratives »).
La Commission européenne introduit sa communication en soulignant : d’un côté, l’essor important de l’économie collaborative en termes de transactions, de parts de marchés et de revenus (2), ainsi que l’intérêt d’en favoriser le développement au regard de sa capacité contributive à la croissance et à l’emploi ; de l’autre côté, les multiples problèmes auxquels se retrouvent confrontés les opérateurs de marché en place et surtout les fortes incertitudes soulevées concernant les droits et obligations des acteurs de cette nouvelle économie. Elle reconnaît que l’économie collaborative génère un
« brouillage des limites » entre consommateurs et fournisseurs, entre salariés et travailleurs indépendants, entre fournisseurs professionnels et fournisseurs non professionnels, entre services de base de la société de l’information et services sous-jacents ou connexes, ce qui suscite une certaine incertitude sur les règles applicables. Sa communication vise à réduire cette incertitude et à assurer un « développement équilibré et durable » de l’économie collaborative au sein de l’Union européenne (UE) en apportant une série d’« orientations non contraignantes sur les modalités selon lesquelles il conviendrait d’appliquer le droit de l’UE en vigueur », et ce, afin de traiter les « problèmes- clés » (3) auxquels les pouvoirs publics et les acteurs du marché
sont confrontés.
La Commission européenne vise aussi et surtout à prévenir « une fragmentation réglementaire découlant d’approches divergentes au niveau national ou local » et à éviter « les zones grises réglementaires ». Ce qu’elle souligne dans son communiqué de presse du 2 juin : « Si nous laissons notre marché unique se fragmenter au niveau national voire au niveau local, l’Europe tout entière risque d’être perdante. […] Nous invitons les Etats membres à réexaminer leur réglementation sur la base de ces orientations, et nous sommes disposés à les aider dans ce processus ». Plusieurs
Etats membres, dont la France (voir encadré page suivante), ont en effet pris des mesures d’encadrement des plateformes en ligne. Les orientations de la Commission européenne sur les « exigences à satisfaire pour accéder au marché » distinguent les prestations de services par des professionnels, les prestations de services de pair à pair et les plateformes collaboratives.

Accès au marché
S’agissant des prestations de services par des professionnels, elle rappelle les limites et conditions posées par les libertés fondamentales du traité et de la directive
« Services » de 2006 (4).
Concernant les prestations de services de pair à pair, elle souligne que la législation de l’UE ne définit pas expressément à quel stade un pair devient un prestataire de services professionnels et que les Etats membres utilisent des critères différents pour distinguer services professionnels et services de pair à pair. Elle admet l’utilité de seuils (éventuellement sectoriels) fixés de manière raisonnable.
S’agissant des plateformes collaboratives, elle distingue entre la fourniture des services de base de la société de l’information proposés à titre d’intermédiaire entre les prestataires de services sous-jacents et leurs utilisateurs, tels que définis et régis par la directive « Commerce électronique » de 2000 (5), la fourniture de services d’assistance aux prestataires des services sous-jacents (facilités de paiement, couverture d’assurance, services après-vente) et la fourniture en propre de services sous-jacents (par exemple services de transport ou services de location de courtes durée).

Responsabilité des plateformes
A propos des services fournis par ces plateformes, la Commission européenne rappelle tout d’abord que les services de base de la société de l’information ne peuvent être soumis à aucun régime d’autorisation préalable ou à toute autre exigence équivalente. Elle indique ensuite que la fourniture de services sous-jacents peut être soumise aux exigences d’autorisation de la réglementation sectorielle correspondante et qu’une plateforme collaborative exerçant un contrôle ou une influence importants sur le prestataire de service sous-jacent doit pouvoir être considérée comme fournissant
le service sous-jacent. Elle précise enfin que la fourniture de services d’assistance
ne constitue pas en soi la preuve de l’existence d’un contrôle ou d’une influence importants, mais que « plus les plateformes collaboratives gèrent et organisent la sélection des prestataires sous-jacents ainsi que la manière dont ces services sous-jacents sont fournis, plus il devient évident que la plateforme collaborative peut être considérée comme fournissant elle-même également les services sous-jacents ».

Les orientations de la Commission européenne sur les « régimes de responsabilité » des plateformes collaboratives distinguent également entre les services intermédiaires de la société de l’information et les services connexes, accessoires ou sous-jacents. Les services intermédiaires de la société de l’information bénéficient de l’exemption
de responsabilité sur les informations stockées telle que prévue dans la directive commerce électronique, dès lors que le service conserve un caractère purement technique, automatique et passif sans contrôle ni connaissance des informations.
Cette exemption s’applique ainsi aux plateformes collaboratives pour leurs prestations de services d’hébergement. Elle est cependant limitée à ces prestations et ne s’applique pas à leurs services connexes, accessoires et sous-jacents. @

ZOOM

Le France encadre l’économie du partage depuis 2014
• Par la loi du 1er octobre 2014 relative aux taxis et aux voitures de transport avec chauffeur interdisant « tout service de mise en relation de personnes avec des particuliers qui se livrent au transport routier de personnes à titre onéreux sans être
des entreprises de transport routier ou des taxis, des véhicules motorisés à deux ou trois roues ou des voitures de transport avec chauffeur » (6) – interdiction attaquée devant la Commission européenne par la société Uber ( le 17 février 2015. Uber devait faire de même contre
l’Allemagne et l’Espagne.
• Par la loi « Macron » du 6 août 2015 pour la croissance, l’activité et l’égalité des chances économiques, introduisant dans le Code de la consommation une obligation d’information, de loyauté et de transparence à l’égard de « toute personne dont l’activité consiste à mettre en relation, par voie électronique, plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un bien ou d’un service » (8) ;

• Par la loi de finances pour 2016, du 29 décembre 2015, prévoyant que ces intermédiaires « sont tenues [depuis le 1er juillet 2016, ndlr] de fournir, à l’occasion de chaque transaction, une information loyale, claire et transparente sur les obligations fiscales et sociales qui incombent aux personnes qui réalisent des transactions commerciales par leur intermédiaire » (9) ;

• Par le projet de loi pour une République numérique (qui doit encore être adopté définitivement en septembre au Sénat) envisageant de soumettre les plateformes à une obligation d’information « loyale, claire et transparente sur les conditions générales d’utilisation du service d’intermédiation », à l’obligation de faire « apparaître clairement l’existence d’une relation contractuelle avec la personne référencée, d’un lien capitalistique avec elle ou d’une rémunération à son profit, dès lors qu’ils influencent
le classement ou le référencement des contenus, des biens ou des services proposés » et à une obligation de déclaration à l’administration fiscale un ensemble d’informations concernant leurs utilisateurs « présumés redevables de l’impôt en France au titre des revenus qu’ils perçoivent par l’intermédiaire de la plateforme » (10) ;

• Par le rapport Terrasse sur l’économie collaborative remis en février 2016 au Premier ministre (11) , soulignant notamment que le régime juridique prévu par la directive sur le commerce électronique semble « de plus en plus inadapté au rôle actif que jouent les plateformes » et que « le régime de responsabilité des plateformes doit être redéfini au niveau européen ». @

Les majors de la musique dénoncent plus que jamais le « transfert de valeur » du streaming gratuit

Les trois majors de la musique – Universal Music, Sony Music et Warner Music
– se félicitent de la croissance du streaming par abonnement mais continuent
de dénoncer un « transfert de valeur » vers le streaming gratuit, au profit de YouTube notamment. En attendant le rapport Schwartz…

Alors qu’il s’est entretenu le 7 septembre avec Fleur Pellerin, ministre de la Culture et de la Communication, Marc Schwartz nous confirme qu’il rendra bien le 30 septembre son rapport final sur le partage de la valeur dans la musique en ligne. Le Syndicat national de l’édition phonographique (Snep) espère, lui, qu’il sera entendu. Son directeur général, Guillaume Leblanc (photo), a encore rappelé – dans l’édito du rapport annuel sur la production musicale publié fin juin – que « la correction du transfert de valeur est plus que jamais nécessaire pour faire en sorte que quelques grands acteurs puissent rémunérer justement la création et cessent enfin de se considérer comme de simples hébergeurs ».

Haro sur les « hébergeurs » de type YouTube
Il en veut pour preuve la différence entre les sommes versées aux ayants droits de la musique par des services en ligne, tels que Deezer et Spotify, et celles acquittées par certaines plateformes comme YouTube. Explication : les services d’abonnement streaming – avec 41 millions d’abonnés payants et plus de 100 millions d’utilisateurs actifs sur leurs offres gratuites au niveau mondial – ont versé plus de 1,6 milliard de dollars aux maisons de disques en 2014. En revanche, le revenu total des maisons de disques provenant des plateformes telles que YouTube, lequel revendique à lui seul plus de 1 milliard d’utilisateurs uniques mensuels, s’est élevé à 641 millions de dollars, soit moins de la moitié du chiffre d’affaires réalisé avec les services d’abonnements.
« Ce fossé est à l’origine du transfert de valeur », affirme le Snep qui présente cela comme « une anomalie à corriger ». Le streaming musical gratuit financé par la publicité, bien qu’en légère diminution de 2,6 % sur un an à 13,5 millions d’euros sur
les sept premiers mois de l’année, est ainsi dans le collimateur des majors en raison de revenus beaucoup plus faibles. Alors que, d’après Médiamétrie, l’audience de YouTube continue de progresser en France pour atteindre 30,8 millions de visiteurs uniques
(+ 4 % en juin). Le Snep s’est en tout cas félicité le 8 septembre dernier des « bonnes performances » du streaming sur le marché français de la musique. A fin juillet 2015, le marché du streaming – en progression de 42,7 % à 58,6 millions d’euros (sur les sept premiers mois de l’année) – réalise les deux tiers des revenus numériques et 28,2 %
du marché global, lequel atteint sur cette période de sept mois 207,3 millions d’euros de chiffre d’affaires (1). Les revenus issus du streaming représentent désormais la moitié du chiffre d’affaires des ventes physiques en France.

Mais le syndicat qui représente notamment les intérêts des trois majors mondiales
du disque (Universal Music, Sony Music et Warner Music) regrette que « la forte croissance du streaming ne permet cependant pas encore de compenser la baisse des ventes de supports physiques (-18 %) et celle des ventes en téléchargement (-15 %), l’ensemble du marché étant en baisse de 6,2%». Le lancement d’Apple Music, la version streaming d’iTunes jusqu’alors limité au téléchargement, devrait accélérer la croissance de la musique en ligne. Reste à savoir si le « fossé » que dénonce le Snep continuera ou pas de se creusera avec la marque à la pomme. La médiation de Marc Schwartz menée depuis le mois de mai devrait tenter de clarifier le partage de la valeur entre les producteurs de musique et les plateformes numériques (2). S’il n’y avait pas d’accord interprofessionnel à l’issue de cette médiation fin septembre, notamment sur l’instauration d’une gestion collective des droits numériques, la ministre de la Culture
et de la Communication, Fleur Pellerin, a déjà prévenu qu’elle en passerait par la loi
« Liberté de création, architecture et patrimoine ». Quoi qu’il en soit, les majors de la musique misent plus sur les abonnements, qui représentent à ce stade un peu plus
de 75 % des revenus du streaming et plus de la moitié des revenus numériques (voir graphique ci-dessous). « La part des abonnements au sein du chiffre d’affaires a donc doublé en un an », s’est félicité le Snep. @

Charles de Laubier

Les objets connectés n’échapperont pas au droit européen sur la protection des données personnelles

L’Internet des objets – prolongement du cyberespace à des objets physiques connectés – doit assurer la protection des données personnelles et faire preuve de transparence vis-à-vis des internautes auxquels le consentement doit être demandé. Sinon, les responsables risquent gros.

Par Christophe Clarenc et Merav Griguer, cabinet Dunaud, Clarenc Combles & Associés

La « French Tech » était particulièrement représentée au
CES (Consumer Electronics Show) de Las Vegas en janvier dernier, ce salon international dédié au marché des innovations technologiques grand public et en particulier aux objets connectés. Les objets connectés sont le fruit de l’extension d’Internet aux choses du monde physique via des systèmes d’identification électronique normalisés et sans fil qui permettent de collecter, stocker, traiter, communiquer, transférer et partager des données (1). C’est l’Internet des objets, ou IoT (Internet of Things).

Objets, Big Data et régulation
Les objets connectés contribuent de manière significative à la transformation économique et sociétale attachée à la révolution numérique en cours, notamment
pour ce qui concerne les secteurs de la santé et du bien-être (le « feel good »). Le phénomène est à un stade embryonnaire. L’Arcep a mené l’an dernier une consultation publique (2) sur l’utilisation des bandes de fréquences dites « libres », en particulier dans le contexte du développement de l’Internet des objets. Les résultats confirment notamment que « les bandes libres constituent un levier du développement des
usages innovants » et seront prises en compte dans le cadre de travaux internationaux d’harmonisation.
Plus les objets intelligents se développent, plus la question de la régulation de cette nouvelle source de « Big Data » se pose. En effet, les objets connectés ne peuvent
être mis sur le marché, distribués, commercialisés, hébergés ou utilisés sans s’assurer du respect des règles qui leurs sont applicables, plus particulièrement au titre de la réglementation sur la protection des données personnelles, sous peine de sanctions civiles, administratives ou pénales. La Commission nationale de l’informatique et des libertés (Cnil) peut ainsi prononcer des sanctions administratives allant de l’avertissement (souvent publié) à l’amende de 300.000 euros. Le projet de règlement européen, qui devrait entrer en vigueur courant 2015, prévoit que l’amende peut aller jusqu’à 5 % du chiffre d’affaires annuel mondial du groupe.
Le groupe « G29 » des « Cnil européennes » (3) a adopté les 16 et 17 septembre 2014 un avis sur l’Internet des objets afin de préciser le cadre règlementaire européen applicable. Cet avis affirme que la directive européenne « Protection des données »
du 24 octobre 1995 (4) est applicable à l’IoT. Comme l’a précisé en octobre dernier la Déclaration sur l’Internet des objets adoptée lors de la 36e Conférence internationale des Commissaires à la protection des données et de la vie privée, les objets connectés collectent une masse de données sur leurs utilisateurs qualifiables de « données à caractère personnel » (5). En effet, les données ainsi captées et enregistrées par ces objets intelligents permettent l’identification directe ou indirecte des individus.
L’Internet des objets ne peut échapper à l’application du droit européen sur la protection des données personnelles. En effet, l’article 4 de la directive de 1995 prévoit que la loi nationale d’un Etat membre transposant la directive européenne s’applique même au responsable du traitement de données à caractère personnel. Ce responsable, sans être établi sur le territoire d’un Etat membre, recourt à des moyens, automatisés ou non, situés sur le territoire de cet Etat membre (sauf si ces moyens ne sont utilisés
qu’à des fins de transit sur ce territoire). Ainsi, le traitement de données à caractère personnel inhérent à l’objet connecté commercialisé en France sera soumis au respect de la loi française « Informatique et Libertés » (6).

Champ d’application large
Plusieurs acteurs peuvent intervenir dans le cadre des objets connectés : le fabricant de l’objet intelligent, l’éditeur de la plate-forme qui agrège les données, l’hébergeur des données collectées et traitées, le développeur de l’application mobile, le distributeur, les réseaux sociaux interconnectés sur lesquels les utilisateurs partagent leurs données, les tiers destinataires des données, les brokers de données, etc.

Le G29 recommande de bien définir le rôle de chacun des acteurs impliqués, y compris les sous-traitants, afin de déterminer leurs obligations et leur responsabilité au regard de la réglementation applicable. Ces points doivent être prévus dans les contrats liant les différents acteurs entre eux.
Il convient notamment d’identifier lesquels de ces acteurs endossent le statut de responsable de traitement. Plus particulièrement, il est important de prévoir en amont qui est responsable en cas de défaillance du dispositif, en cas de perte ou altération des données, ou encore en cas de cyberattaques telles que l’accès frauduleux au système, l’usurpation d’identité numérique, la divulgation des données ou autres atteintes à la confidentialité, etc.

Rôle contractualisé des acteurs
En effet, selon l’article 34 de la loi « Informatique et Libertés », « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Les données collectées et traitées via les objets connectés étant souvent hébergées par des solutions de type « cloud computing »,
les contrats avec ces prestataires doivent également prévoir un certain nombre de garanties, conformément aux recommandations de la Cnil en la matière.
Par ailleurs, la définition des rôles, statuts et responsabilité de chacun des acteurs impliqués permettra de déterminer à qui incombe l’obligation de déclarer à la Cnil
le traitement des données à caractère personnel relatif à l’objet connecté.

Il ressort des dispositions de la directive européenne « Protection des données »
et de la loi « Informatique et Libertés » que les utilisateurs d’objets intelligents
doivent consentir de manière expresse au traitement de leurs données à caractère personnel (7).
Toutefois, le G29 regrette le manque de transparence des responsables sur les caractéristiques des traitements de données à caractère personnel liés aux objets connectés. Or, le consentement n’est considéré par les « Cnil » européennes comme valable que s’il est exprès, libre, spécifique et éclairé. Pour le G29, le consentement doit pouvoir être retiré de telle sorte que l’utilisateur a le droit de s’opposer ultérieurement au traitement de ses données.
Les conditions d’utilisation des objets intelligents (accessibilité, diffusion et divulgation des données ainsi captées et enregistrées) doivent donc être particulièrement soignées, ainsi que les modalités d’acceptation d’acceptation et de mise à jour de celles-ci. Ces mentions d’information doivent être rédigées de manière claire et compréhensible précise le G29 dans son avis. De manière générale, le G29 considère que l’ensemble des acteurs impliqués doit respecter les concepts de « privacy by design » et « privacy by default », lesquels sont à considérer comme centraux lors
de la conception d’objets connectés. Ainsi, les utilisateurs doivent pouvoir garder le contrôle et la maîtrise de leurs données.
La loi « Informatique et Libertés » dispose en outre que les données doivent être
« adéquates, pertinentes et non excessives au regard des finalités pour lesquelles
elles sont collectées et de leurs traitements ultérieurs » (8). Par conséquent, seules
les données pertinentes et strictement nécessaires peuvent être collectées et traitées. Par ailleurs, cette même loi exige que les données à caractère personnel collectées
et traitées soient « exactes, complètes et, si nécessaire, mises à jour » (9). Egalement, « les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ».
Lorsque l’objet connecté collecte et traite des données « sensibles » (10), le cadre règlementaire spécifique aux données sensibles doit être respecté. Parmi les nombreuses mesures de sécurité recommandées, figurent le cryptage des données sensibles et, dans la mesure du possible, l’anonymisation irréversible de celles-ci. S’agissant des données de santé à caractère personnel qui seraient collectées et traitées par l’objet connecté, la réglementation relative aux dispositifs médicaux est susceptible de s’appliquer à ces objets connectés.

Hébergeur agréé de données de santé
Le Code de la santé publique exige également que ces données soient hébergées par un hébergeur de données de santé agréé (11). Toutefois, il n’existe pas de définition légale claire de la notion de « données de santé à caractère personnel » (12).
Par conséquent, se pose la question de l’obligation de recourir à un prestataire d’hébergement agréé de données de santé pour les objets connectés collectant des données liées au bien être ou mieux être de l’utilisateur (humeur, déshydratation de la peau, etc.). De nombreuses questions demeurent donc encore en suspens. Compte tenu de l’ampleur du phénomène et des enjeux y afférent, la multiplication des contrôles de la Cnil en la matière est à prévoir et à anticiper. @

La lutte contre le terrorisme en ligne renforce l’« autorité administrative » au détriment du juge

Après les lois « LCEN », « Hadopi », « Loppsi 2 » et « LPM », voici que la loi
« Antiterrorisme » – promulguée le 14 novembre – vient complexifier la législation sur la surveillance des réseaux et des internautes. Le problème est que le juge judiciaire est de plus en plus absent des procédures.

Etienne Drouard (photo), cabinet K&L Gates LLP et Vincent Lamberts, cabinet Acteo

La loi du 13 novembre 2014 renforçant les dispositions relatives
à la lutte contre le terrorisme (loi « Antiterrorisme ») est parue au Journal Officiel le jour où nous écrivons ces lignes (1). Parmi ses dispositions les plus discutées figurent les nouvelles mesures de lutte contre la provocation et l’apologie du terrorisme.

Entre blocages et contournements
En premier lieu, le nouvel article 421-2-5 du Code pénal sanctionne la provocation directe des actes de terrorisme et l’apologie publique de tels actes, et alourdit les peines prévues lorsque ces délits sont commis via des services en ligne – sites
Internet essentiellement. Le Code de procédure pénale est également modifié pour confier au juge des référés le pouvoir d’ordonner le blocage judiciaire des services en ligne utilisés pour commettre ces infractions. En second lieu, la loi « Antiterrorisme » modifie l’article 6.I de la loi pour la confiance dans l’économie numérique (loi « LCEN ») du 21 juin 2004 (2) en permettant à l’« autorité administrative » de demander le retrait des contenus illicites sous 24 heures et, à défaut de retrait ou d’éditeur identifié ou appréhendable par le droit français, le blocage administratif des sites qui font l’apologie du terrorisme ou provoquent le public à commettre des actes terroristes. Ladite
« autorité administrative » peut également ordonner aux fournisseurs d’accès à Internet (FAI) et aux hébergeurs de services en ligne de bloquer l’accès aux sites litigieux sans avoir à s’adresser préalablement aux éditeurs concernés. Enfin, l’« autorité administrative » peut demander aux moteurs de recherche de déréférencer les services en ligne litigieux. Au-delà du consensus général pour tenter d’enrayer la propagande terroriste sur Internet, sont ainsi réapparues les difficultés déjà soulevées dans le cadre des discussions sur les mesures de blocage des sites contrefaisants issues de la loi
« Hadopi » ou, pour les sites pédopornographiques, visés par la loi « Loppsi 2 », ainsi que leur évolution sous l’impulsion, notamment, du Conseil constitutionnel (3) (*) (**) (***) (****) (*****).

• Les effets très relatifs et temporaires des politiques de blocage des sites Internet.
Indépendamment du coût de mise oeuvre des mesures de blocage et des obstacles
liés à la localisation à l’étranger de la plupart des sites Internet litigieux, l’efficacité de ces mesures souffre des contraintes techniques sur lesquelles elles reposent puisqu’elles sont, par nature, contournables par ceux qui chercheraient, avec ou sans moyens financiers importants, à promouvoir une activité terroriste. La démultiplication des méthodes de contournement (4) risque de voir les effets positifs des mesures de blocage supplantés par leurs effets négatifs. Or, moyennant une coopération internationale efficace, l’usage de sites Internet par des mouvements terroristes fournit des moyens d’identifier leurs auteurs et leurs visiteurs, voire de localiser ceux-ci et les menaces qu’ils font peser sur leurs « cibles ». On peut d’ailleurs craindre que la mise en place de mesures de blocage conduise les promoteurs d’activités terroristes à se doter de tribunes toujours plus difficiles à localiser et à « museler ».

Risques de dommages collatéraux
Gageons que l’« autorité administrative » se fondera sur des certitudes étayées
et récurrentes avant de prendre ces mesures de blocage ou de déréférencement : imaginons un instant les effets collatéraux qu’elles auraient à l’égard d’un site Internet qui n’aurait pas pu filtrer à temps les provocations au terrorisme diffusées au sein de ses pages par un ou quelques internautes.
• Les blocages administratifs ne s’embarrassent pas de justifications et contrôles.
Alors que le juge des référés devra constater l’existence d’un trouble manifestement illicite s’il est saisi par le ministère public ou « une partie intéressée » d’une demande de blocage, l’autorité administrative, elle, ne semble être tenue par aucune autre considération que celle imposée par le critère imprécis des « nécessités de la lutte contre la provocation ou l’apologie du terrorisme ».
Certes, la loi « Antiterrorisme » organise un contrôle de régularité des demandes de retrait de contenu ou de blocage des sites Internet à une « personnalité qualifiée » désignée en son sein par la Cnil (5), à charge pour celle-ci, si elle détecte une irrégularité, de demander à l’« autorité administrative » d’y mettre un terme et de saisir, en cas de refus, le Conseil d’Etat. On n’identifie toutefois pas à ce stade, à l’aune du critère des « nécessités » requises par la loi, quelles irrégularités, autres que formelles, pourraient être dénoncées, ni comment l’« autorité administrative » pourrait les purger.
• La construction au fil du temps d’une hiérarchie incohérente des infractions. Le législateur a circonscrit ces mesures de blocage aux infractions liées à la provocation ou l’apologie du terrorisme, venant s’ajouter à la pédopornographie qui avait été retenue en 2011. En matière de jeux en ligne (6), des mesures de blocage peuvent, depuis 2010, être prises à l’initiative de l’Arjel moyennant un contrôle « a priori » des tribunaux pour ordonner le blocage des sites de jeux illégaux. Mais en matière de protection des droits de propriété intellectuelle, le législateur a finalement abrogé, dans le cadre de la modification de la loi Hadopi, les mesures de blocage initialement prévues en raison, notamment, de leur efficacité limitée et de leurs effets collatéraux. D’autres infractions, telles que celles relatives aux crimes contre l’humanité, par exemple, demeurent régies par les dispositions anciennes de la « LCEN » en vertu desquelles les FAI et les hébergeurs ne sont a priori soumis à aucune obligation générale de surveillance des contenus, mais doivent mettre en place un dispositif permettant de porter à leur connaissance tout contenu litigieux et informer les pouvoirs publics de tous faits illicites. La loi « Antiterrorisme » vient donc conforter une hiérarchisation des infractions, distinguant celles qui « méritent » un blocage, de celles qui, telles un crime contre l’humanité, seraient soumises à un régime plus souple. Cette hiérarchie, qui résulte des angoisses et menaces successives que la société porte devant le Parlement, ne paraît pas réfléchie dans le cadre d’une stratégie globale de régulation des infractions commises sur Internet.
• Des alternatives au blocage intéressantes.
La loi « Antiterrorisme » a conforté une piste alternative aux mesures du blocage en introduisant la possibilité, pour les officiers de police judiciaire, de participer aux échanges électroniques illicites sous un pseudonyme et d’accéder, en respectant les conditions légales de la perquisition à distance, à des données intéressant l’enquête.
• Quel est l’avenir de ce «mille-feuille » législatif au regard du droit européen ? Les nouvelles dispositions de la loi « Antiterrorisme » viennent compléter la loi de programmation militaire (loi « LPM »), laquelle (7) entrera en vigueur le 1er janvier 2015. Ainsi, au début de l’année 2015, l’autre pan de l’article 6 de la « LCEN »
– l’article 6.II bis consacré à l’accès administratif aux traces et données de connexion
à Internet – sera alors profondément transformé et déplacé aux articles L 246-1 et suivants du Code de la sécurité intérieure. Derrière la complexité des rédactions et
des renvois à d’autres articles que ceux que le texte de la loi « Antiterrorisme » contient, se pose la question de la cohérence d’ensemble des dispositifs de surveillance des réseaux de communication électronique, d’identification des utilisateurs connectés et de blocage administratif et judiciaire des sites Internet
diffusant des contenus illicites. Au printemps 2014, après l’adoption de la loi « LPM»
et avant l’élaboration de la loi « Antiterrorisme », un des piliers européens de la surveillance électronique des réseaux a vacillé : la directive européenne sur la conservation de données de connexion (8) – qui détermine les moyens et durées d’identification des internautes dans le cadre des enquêtes judiciaires ou de la surveillance administrative, notamment en matière de terrorisme – a été déclarée invalide par la Cour de justice de l’Union européenne (CJUE) (9). Cette mise en sursis des textes en matière d’identification des internautes, adoptés notamment par la France, renforce le sentiment de fragilité des procédures de décision et de contrôle,
qui sont de moins en moins judiciaires et, au motif de la rapidité escomptée, de plus
en plus administratives. On peut également regretter le manque de concertation de
la France avec les autres pays européens alors qu’elle se fera, comme les autres, rattraper par cet arrêt de la CJUE.

Procédures administratives, peu judiciaires
C’est précisément sur ce point – l’absence de recours au juge judiciaire – que la décision de la CJUE est venue porter la critique. Or, les autorités administratives évoquées par le législateur français sont, soit non identifiées (10), soit incarnées par
un fonctionnaire unique placé auprès du Premier ministre, soit chargées de missions nouvelles sans rapport avec leur objet initial. Ainsi, la CNCIS (11) a été chargée par la
« LPM» de contrôler formellement la régularité des demandes d’accès administratif aux données de connexion et d’identification, alors que la Cnil aurait été plus naturellement compétente pour traiter de l’identification des utilisateurs des réseaux… Et la Cnil vient d’être chargée par la loi « Antiterrorisme » de contrôler les demandes de blocage des sites Internet, alors que la régulation des contenus diffusés en ligne est étrangère à sa mission de protection des données personnelles.
La lutte contre le terrorisme impose aux Etats démocratiques d’agir de manière coordonnée et efficace en se dotant de moyens de contrôle effectifs. Nous n’y sommes pas encore parvenus cette fois-ci. @