Après les lois « LCEN », « Hadopi », « Loppsi 2 » et « LPM », voici que la loi
« Antiterrorisme » – promulguée le 14 novembre – vient complexifier la législation sur la surveillance des réseaux et des internautes. Le problème est que le juge judiciaire est de plus en plus absent des procédures.

Etienne Drouard (photo), cabinet K&L Gates LLP et Vincent Lamberts, cabinet Acteo

La loi du 13 novembre 2014 renforçant les dispositions relatives
à la lutte contre le terrorisme (loi « Antiterrorisme ») est parue au Journal Officiel le jour où nous écrivons ces lignes (1). Parmi ses dispositions les plus discutées figurent les nouvelles mesures de lutte contre la provocation et l’apologie du terrorisme.

Entre blocages et contournements
En premier lieu, le nouvel article 421-2-5 du Code pénal sanctionne la provocation directe des actes de terrorisme et l’apologie publique de tels actes, et alourdit les peines prévues lorsque ces délits sont commis via des services en ligne – sites
Internet essentiellement. Le Code de procédure pénale est également modifié pour confier au juge des référés le pouvoir d’ordonner le blocage judiciaire des services en ligne utilisés pour commettre ces infractions. En second lieu, la loi « Antiterrorisme » modifie l’article 6.I de la loi pour la confiance dans l’économie numérique (loi « LCEN ») du 21 juin 2004 (2) en permettant à l’« autorité administrative » de demander le retrait des contenus illicites sous 24 heures et, à défaut de retrait ou d’éditeur identifié ou appréhendable par le droit français, le blocage administratif des sites qui font l’apologie du terrorisme ou provoquent le public à commettre des actes terroristes. Ladite
« autorité administrative » peut également ordonner aux fournisseurs d’accès à Internet (FAI) et aux hébergeurs de services en ligne de bloquer l’accès aux sites litigieux sans avoir à s’adresser préalablement aux éditeurs concernés. Enfin, l’« autorité administrative » peut demander aux moteurs de recherche de déréférencer les services en ligne litigieux. Au-delà du consensus général pour tenter d’enrayer la propagande terroriste sur Internet, sont ainsi réapparues les difficultés déjà soulevées dans le cadre des discussions sur les mesures de blocage des sites contrefaisants issues de la loi
« Hadopi » ou, pour les sites pédopornographiques, visés par la loi « Loppsi 2 », ainsi que leur évolution sous l’impulsion, notamment, du Conseil constitutionnel (3) (*) (**) (***) (****) (*****).

• Les effets très relatifs et temporaires des politiques de blocage des sites Internet.
Indépendamment du coût de mise oeuvre des mesures de blocage et des obstacles
liés à la localisation à l’étranger de la plupart des sites Internet litigieux, l’efficacité de ces mesures souffre des contraintes techniques sur lesquelles elles reposent puisqu’elles sont, par nature, contournables par ceux qui chercheraient, avec ou sans moyens financiers importants, à promouvoir une activité terroriste. La démultiplication des méthodes de contournement (4) risque de voir les effets positifs des mesures de blocage supplantés par leurs effets négatifs. Or, moyennant une coopération internationale efficace, l’usage de sites Internet par des mouvements terroristes fournit des moyens d’identifier leurs auteurs et leurs visiteurs, voire de localiser ceux-ci et les menaces qu’ils font peser sur leurs « cibles ». On peut d’ailleurs craindre que la mise en place de mesures de blocage conduise les promoteurs d’activités terroristes à se doter de tribunes toujours plus difficiles à localiser et à « museler ».

Risques de dommages collatéraux
Gageons que l’« autorité administrative » se fondera sur des certitudes étayées
et récurrentes avant de prendre ces mesures de blocage ou de déréférencement : imaginons un instant les effets collatéraux qu’elles auraient à l’égard d’un site Internet qui n’aurait pas pu filtrer à temps les provocations au terrorisme diffusées au sein de ses pages par un ou quelques internautes.
• Les blocages administratifs ne s’embarrassent pas de justifications et contrôles.
Alors que le juge des référés devra constater l’existence d’un trouble manifestement illicite s’il est saisi par le ministère public ou « une partie intéressée » d’une demande de blocage, l’autorité administrative, elle, ne semble être tenue par aucune autre considération que celle imposée par le critère imprécis des « nécessités de la lutte contre la provocation ou l’apologie du terrorisme ».
Certes, la loi « Antiterrorisme » organise un contrôle de régularité des demandes de retrait de contenu ou de blocage des sites Internet à une « personnalité qualifiée » désignée en son sein par la Cnil (5), à charge pour celle-ci, si elle détecte une irrégularité, de demander à l’« autorité administrative » d’y mettre un terme et de saisir, en cas de refus, le Conseil d’Etat. On n’identifie toutefois pas à ce stade, à l’aune du critère des « nécessités » requises par la loi, quelles irrégularités, autres que formelles, pourraient être dénoncées, ni comment l’« autorité administrative » pourrait les purger.
• La construction au fil du temps d’une hiérarchie incohérente des infractions. Le législateur a circonscrit ces mesures de blocage aux infractions liées à la provocation ou l’apologie du terrorisme, venant s’ajouter à la pédopornographie qui avait été retenue en 2011. En matière de jeux en ligne (6), des mesures de blocage peuvent, depuis 2010, être prises à l’initiative de l’Arjel moyennant un contrôle « a priori » des tribunaux pour ordonner le blocage des sites de jeux illégaux. Mais en matière de protection des droits de propriété intellectuelle, le législateur a finalement abrogé, dans le cadre de la modification de la loi Hadopi, les mesures de blocage initialement prévues en raison, notamment, de leur efficacité limitée et de leurs effets collatéraux. D’autres infractions, telles que celles relatives aux crimes contre l’humanité, par exemple, demeurent régies par les dispositions anciennes de la « LCEN » en vertu desquelles les FAI et les hébergeurs ne sont a priori soumis à aucune obligation générale de surveillance des contenus, mais doivent mettre en place un dispositif permettant de porter à leur connaissance tout contenu litigieux et informer les pouvoirs publics de tous faits illicites. La loi « Antiterrorisme » vient donc conforter une hiérarchisation des infractions, distinguant celles qui « méritent » un blocage, de celles qui, telles un crime contre l’humanité, seraient soumises à un régime plus souple. Cette hiérarchie, qui résulte des angoisses et menaces successives que la société porte devant le Parlement, ne paraît pas réfléchie dans le cadre d’une stratégie globale de régulation des infractions commises sur Internet.
• Des alternatives au blocage intéressantes.
La loi « Antiterrorisme » a conforté une piste alternative aux mesures du blocage en introduisant la possibilité, pour les officiers de police judiciaire, de participer aux échanges électroniques illicites sous un pseudonyme et d’accéder, en respectant les conditions légales de la perquisition à distance, à des données intéressant l’enquête.
• Quel est l’avenir de ce «mille-feuille » législatif au regard du droit européen ? Les nouvelles dispositions de la loi « Antiterrorisme » viennent compléter la loi de programmation militaire (loi « LPM »), laquelle (7) entrera en vigueur le 1er janvier 2015. Ainsi, au début de l’année 2015, l’autre pan de l’article 6 de la « LCEN »
– l’article 6.II bis consacré à l’accès administratif aux traces et données de connexion
à Internet – sera alors profondément transformé et déplacé aux articles L 246-1 et suivants du Code de la sécurité intérieure. Derrière la complexité des rédactions et
des renvois à d’autres articles que ceux que le texte de la loi « Antiterrorisme » contient, se pose la question de la cohérence d’ensemble des dispositifs de surveillance des réseaux de communication électronique, d’identification des utilisateurs connectés et de blocage administratif et judiciaire des sites Internet
diffusant des contenus illicites. Au printemps 2014, après l’adoption de la loi « LPM»
et avant l’élaboration de la loi « Antiterrorisme », un des piliers européens de la surveillance électronique des réseaux a vacillé : la directive européenne sur la conservation de données de connexion (8) – qui détermine les moyens et durées d’identification des internautes dans le cadre des enquêtes judiciaires ou de la surveillance administrative, notamment en matière de terrorisme – a été déclarée invalide par la Cour de justice de l’Union européenne (CJUE) (9). Cette mise en sursis des textes en matière d’identification des internautes, adoptés notamment par la France, renforce le sentiment de fragilité des procédures de décision et de contrôle,
qui sont de moins en moins judiciaires et, au motif de la rapidité escomptée, de plus
en plus administratives. On peut également regretter le manque de concertation de
la France avec les autres pays européens alors qu’elle se fera, comme les autres, rattraper par cet arrêt de la CJUE.

Procédures administratives, peu judiciaires
C’est précisément sur ce point – l’absence de recours au juge judiciaire – que la décision de la CJUE est venue porter la critique. Or, les autorités administratives évoquées par le législateur français sont, soit non identifiées (10), soit incarnées par
un fonctionnaire unique placé auprès du Premier ministre, soit chargées de missions nouvelles sans rapport avec leur objet initial. Ainsi, la CNCIS (11) a été chargée par la
« LPM» de contrôler formellement la régularité des demandes d’accès administratif aux données de connexion et d’identification, alors que la Cnil aurait été plus naturellement compétente pour traiter de l’identification des utilisateurs des réseaux… Et la Cnil vient d’être chargée par la loi « Antiterrorisme » de contrôler les demandes de blocage des sites Internet, alors que la régulation des contenus diffusés en ligne est étrangère à sa mission de protection des données personnelles.
La lutte contre le terrorisme impose aux Etats démocratiques d’agir de manière coordonnée et efficace en se dotant de moyens de contrôle effectifs. Nous n’y sommes pas encore parvenus cette fois-ci. @