Contenus toxiques : la régulation des réseaux sociaux devra être a minima européenne, voire mondiale

La commission des affaires culturelles de l’Assemblée nationale s’est réunie le
21 mai pour examiner la proposition de loi pour lutter contre la haine sur Internet. Le texte sera débattu à partir du 19 juin à l’Assemblée nationale. Mais la rencontre entre Emmanuel Macron et Mark Zuckerberg, le 17 mai, avait des allures de négociation.

La pression monte autour de la députée Laetitia Avia (photo), la rapporteure de la proposition de loi visant à lutter contre la haine sur Internet, mais aussi sur les réseaux sociaux eux-mêmes.
Le texte, qui fut déposé le 20 mars à l’Assemblée nationale à l’initiative du gouvernement et du président de la République, doit être débattu à partir du 19 juin prochain au Parlement. Il s’inspire de la loi allemande de 2017, appelée « NetzDG« , en imposant aux Facebook, YouTube, Twitter et autres Snapchat, de retirer ou de rendre inaccessible dans un délai maximal de 24 heures après notification tout contenu haineux.

Vers des pouvoirs du CSA encore accrus
Sont visés les contenus comportant une incitation à la haine en général et toutes injures discriminatoires en raison de la race, de la religion, de l’ethnie, du sexe, de l’orientation sexuelle ou du handicap. Le Conseil d’Etat, dans son avis du 16 mai, a demandé plus de « clarté » sur les contenus listés au regard de ceux « odieux » déjà visés dans l’article
6 de la loi dite LCEN sur la confiance dans l’économie numérique. Le manquement à cette obligation de retrait sous 24 heures sera passible d’une sanction pécuniaire
fixée et infligée par le Conseil supérieur de l’audiovisuel (CSA) – aux pouvoirs encore renforcés (4) – et pouvant atteindre 4 % du chiffre d’affaires annuel mondial (sur l’exercice précédent) de la société opérant ce réseau incriminé. Ainsi, dans le cas de Facebook qui a fait l’objet d’un rapport de mission d’experts en France remis le 10 mai au secrétaire d’Etat au Numérique, Cédric O, l’amende pourrait atteindre 2 milliards d’euros (5) en cas d’infraction à cette future loi française. La France marche donc dans les pas de l’Allemagne, les deux pays de l’axe cherchant à convaincre leurs partenaires européens à adopter le même arsenal pour lutter contre ces contenus toxiques. Il s’agit pour le tandem Merkel-Macron de mettre le curseur au bon milieu, entre la censure généralisée de la Chine de Xi Jinping et le laisser-faire des Etats-Unis de Donald Trump. Alors que la France assure du 1er janvier 2019 au 1er janvier 2020 la présidence du G7, lequel accueillera à Biarritz du 24 au 26 août prochains les Etats-Unis, le Royaume-Uni, l’Allemagne, le Japon, l’Italie et le Canada (avec l’Union européenne), une réunion informelle des ministres du Numérique s’est tenue le 15
mai dernier à Paris (avec en plus l’Australie, le Chili, l’Inde, la Jordanie, le Sénégal, l’Indonésie, l’Irlande, la Norvège et la Nouvelle-Zélande). Parmi les trois thèmes principaux qui ont été à ordre du jour des discussions, est arrivée en premier la lutte contre les contenus haineux sur Internet (6). « Les pays du G7 doivent être en mesure d’assurer à leurs citoyens le respect de leurs droits et de leurs libertés en ligne.
La difficulté à lutter contre la haine en ligne témoigne de la nécessité de bâtir collectivement un cadre d’action plus efficace avec les plateformes en ligne », explique l’Elysée. Se prépare donc, sous l’impulsion de l’axe franco-allemand, une régulation mondiale des réseaux sociaux – pour ne pas dire de l’Internet. Cela se traduit par l’élaboration par les pays du G7 d’une charte contre les contenus de haine en ligne ainsi que la cosignature – prévue en août – par les Etats et les plateformes numériques d’un texte de lutte contre le cyberterrorisme et le cyberextrémisme. Les Etats-Unis ne sont pas signataires à ce stade.
C’est le 15 mai, dans le cadre de la 2e édition du sommet Tech for Good (7) créé à l’initiative du Président de la République (8), que ces engagements ont été pris.
Ils ont pris la forme d’un « appel de Christchurch », en mémoire du massacre de 51 musulmans dans une mosquée de Christchurch (Nouvelle-Zélande), le 15 mars 2019, par un suprémaciste australien qui a diffusé son acte en direct durant 17 minutes sur Facebook Live. L’appel a été signé par huit entreprises du Net : Amazon, Dailymotion, Facebook, Google, Microsoft, Qwant, Twitter et YouTube. La Fondation Wikimédia (Wikipedia) aurait également adopté ce texte, mais elle n’est pas mentionnée dans l’appel mis en ligne (9). Des réseaux sociaux chinois tels que Wechat, TikTok ou encore Weibo manquent à l’« appel de Christchurch » – pour l’instant (soutenir : ChristchurchCall@mfat.govt.nz).

La durée de 24 heures ne plaît pas à « Zuck »
Invité à l’Elysée le 17 mai, le PDG du numéro un mondial des réseaux sociaux s’est
vu remettre le rapport « Régulation des réseaux sociaux Expérimentation Facebook » élaboré durant un an en coopération avec son entreprise multinationale qui avait accepté cette « collaboration volontaire et hors de tout cadre juridique ». Emmanuel Macron et Mark Zuckerberg, qui s’était déjà rencontrés lors du 1er sommet Tech for Good l’an dernier, s’en étaient mis d’accord lors du Forum sur la gouvernance de l’Internet en novembre 2018. « Je suis encouragé et optimiste sur le cadre de régulation qui sera mis en place. Ce sera difficile pour nous et nous serons en désaccord sur certaines choses, c’est normal », a tout de même confié le patron de Facebook à sa sortie de l’Elysée, faisant notamment allusion à certaines dispositions de la proposition de loi française portée par Laetitia Avia comme la durée de 24 heures au-delà de laquelle il y aura sanction de 4 % du chiffre d’affaires. Il a demandé à Emmanuel Macron de remplacer cette durée par une « limitation de la viralité du contenu indésirable ».

Un régulation ex ante européenne ?
« Zuck » a pourtant appelé fin mars à « réguler Internet » dans une tribune publiée dans des journaux aux Etats-Unis et en Europe, dont Le JDD en France (10). Le « F » de GAFA et le « F » de France sont en tout cas d’accord sur le fait que, seule, cette future législation française serait un coup d’épée dans l’eau face aux réseaux sociaux sans frontières si elle n’était pas reprise au niveau européen.
La régulation des médias sociaux devra être a minima européenne, voire mondiale,
si elle veut être sérieusement efficace. Le rapport d’experts d’une trentaine de pages (11) estime à cet égard que l’Europe doit passer du pays d’installation au pays de destination. « Compte tenu de l’unicité et de l’ubiquité des réseaux sociaux, qui dépassent les frontières des Etats membres – un service unique accessible sur plusieurs géographies – cette régulation ex ante doit s’inscrire dans une dynamique
et un cadre européens. Néanmoins, la règle actuelle dite du pays d’installation, selon laquelle seul le pays qui accueille le siège du réseau social peut intervenir pour réguler ce réseau, s’avère inefficace ». Et de prévenir : « Toute initiative française devra donc avoir pour ambition d’inverser la logique européenne actuelle au profit d’une logique du pays de destination, selon laquelle la plateforme est responsable devant l’Etat membre où le dommage se produit, pour renforcer la capacité de chacun des Etats membres à maîtriser les conséquences de la globalisation ».
Le rapport « Facebook » et la proposition de loi « Antihaine » interviennent alors que
le cofondateur de Facebook, Chris Hughes, a appelé le 9 mai dernier à « démanteler Facebook » pour dissocier le réseau social des applications Instagram et WhatsApp. Outre un voyage d’étude à Berlin, pour étudier loi allemande NetzDG, et un séjour à Londres, les huit membres de la mission coauteurs du rapport « Facebook » – sous la direction de Benoît Loutrel, ex-directeur général de l’Arcep devenu quelques mois en 2017 directeur des relations publiques de Google – se sont entretenus avec : le ministère de l’Intérieur pour sa Plateforme d’harmonisation, d’analyse, de recoupement et d’orientation des signalements (Pharos) qui pourrait permettre le signalement et
la détection des contenus (12) ; le Centre de lutte contre les criminalités numériques (C3N) de la Gendarmerie nationale au sein du Service central du renseignement criminel (SCRC) ; le Secrétariat général aux affaires européennes (SGAE) auprès du Premier ministre ; ainsi que la Direction générale des entreprises (DGE) et la Direction générale du Trésor (DGT) au ministère français de l’Economie et des Finances.
La mission s’est en outre appuyée sur un précédent rapport remis en septembre 2018
au Premier ministre par la députée Laetitia Avia, l’écrivain Karim Amellal et le vice-président du Crif, Gil Taieb, visant à renforcer la lutte contre le racisme et l’antisémitisme sur Internet. En dehors de l’Etat français, la mission a aussi auditionné le Conseil national du numérique (CNNum) dont les membres sont nommés par le secrétaire d’Etat chargé du Numérique, l’Institut national de la recherche en informatique et automatique (Inria), ainsi que des acteurs privés ou associatifs, à savoir : Reporters sans frontières (RSF), le Centre on Regulation in Europe (Cerre), qui est
un think tank basé à Bruxelles (son directeur général, Bruno Liebhaberg étant aussi président de la chaire « EU Observatory on Online Platform Economy »), Google, Twitter, Snap, Webedia, Netino et la Quadrature du Net. Cette dernière, association française de défense des droits et libertés numériques, craint la mise en place d’une police privée. « Le but est purement et simplement de remplacer la justice publique par Facebook, Google et Twitter, en les laissant seuls maîtres de ce qui peut ou non être dit sur le Web », s’est-elle inquiétée.

« Police privée » versus juge des référés
Tandis que le ministère de la Justice, marginalisé dans ce projet « Anti-haine », a rappelé dans sa circulaire du 4 avril qu’il était préférable de recourir au juge des référés (13) pour éviter « un usage abusif (…) des dispositions permettant d’engager la responsabilité des acteurs d’Internet et de celles susceptibles de restreindre l’accès
à ces services de communication ». La proposition de loi « Macron-Avia » prévoit en outre de créer un « parquet spécialisé numérique » (14) ainsi que l’interdiction temporaire pour un individu condamné d’utiliser un réseau social. @

Charles de Laubier

Affaire PRISM : la Commission européenne est poussée par le G29 à faire plus de lumière

Alors que la Cnil doit rendre en septembre un premier bilan sur l’accès des autorités étrangères aux données personnelles de citoyens français, la Commission européenne est poussée par le groupe G29 à obtenir des explications des Etats-Unis sur leur programme de surveillance PRISM.

Par Christophe Clarenc (photo) et Florence Chafiol-Chaumont, avocats associés,
et Mathilde Gérot, avocate, August & Debouzy

Christophe ClarencLe G29 – groupement des Cnil européennes (1) – s’est de nouveau adressé à Viviane Reding, vice-présidente de la Commission européenne et chargée de la Justice. Par un courrier du 13 août dernier, il formule différentes questions techniques et juridiques précises relatives au programme de surveillance PRISM (Planning Tool for Resource Integration, Synchronization and Management), afin que les autorités américaines apportent les éclaircissements attendus.

Révélations et questions sans réponses
Les révélations de l’ancien employé de la CIA et de la NSA (2), Edward Snowden, se
sont succédées depuis juin dernier. Elles ont ravivé des soupçons d’utilisation massive et dissimulée, par les services de renseignement des Etats-Unis, des données personnelles des entreprises et des particuliers ayant recours aux services des géants américains
de l’Internet et de la téléphonie tels que Google, Apple, Facebook ou Verizon.
Passé de la clandestinité au clair-obscur, PRISM serait alimenté par les données générées chaque jour par les internautes. Le G29 a immédiatement interpellé Viviane Reding, par un premier courrier daté du 7 juin, pour exiger d’elle de s’adresser à son homologue américain afin d’obtenir des explications et a formulé deux questions fondamentales :
• Les citoyens non-américains ou ne résidant pas aux Etats-Unis, et notamment les citoyens européens, sont-ils visés par le programme de surveillance PRISM ?
• Dans ce cadre, l’accès aux données personnelles est-il strictement restreint à des cas spécifiques et individuels basés sur des suspicions concrètes ou s’agit-il d’un accès en masse ?
Trois jours plus tard, Viviane Reding adressait un courrier au procureur général du département de la Justice des Etats-Unis, Eric Holder. Elle mettait en doute le respect
des droits fondamentaux des citoyens européens par le programme PRISM et reprenait ensuite les interrogations du G29 en soulevant des questions complémentaires portant notamment :
• Sur la portée du programme PRISM, à savoir si celle-ci est restreinte à la sécurité nationale et au renseignement extérieur ou si elle apparaît plus large ;
• Sur les recours ouverts aux citoyens et aux sociétés situées aux Etats-Unis et dans l’Union européenne afin de s’opposer à la collecte et au traitement des données qu’elles détiennent lors de demandes liées au programme PRISM ou à tout autre programme similaire ;
• Aux moyens dont bénéficient les citoyens européens afin d’être informés du fait que leurs données sont concernées par des programmes de surveillance tels que PRISM, comparés aux moyens dont disposent les citoyens et résidents américains.
Viviane Reding et Eric Holder se sont rencontrés le 14 juin 2013 afin d’évoquer PRISM et il semble que nombre des questions formulées par la vice-présidente soient restées sans réponse. Depuis cette date, l’ampleur des activités de surveillance à travers le programme PRISM a été révélée.
Les grandes entreprises concernées ont tout d’abord nié avoir connaissance dudit programme et contesté l’accès direct des agences de surveillance à leurs serveurs. Certaines d’entre elles – Google, Facebook ou encore Yahoo! (3) – ont ensuite commencé par admettre avoir répondu à plusieurs milliers de demandes de communication d’informations émanant de ces agences.

Les géants du Net ont d’abord nié, puis …
Entre temps, un groupe de travail UE/EU a été créé afin de faire toute la lumière sur PRISM. Toutefois, le G29 – représenté au sein de ce groupe de travail transatlantique –
a estimé qu’il lui appartenait de mener sa propre analyse sur les éventuelles violations de la législation européenne en matière de données personnelles par le programme PRISM.
A cette fin, il a fait parvenir une seconde lettre datée du 13 août dernier à Viviane Reding, approfondissant le champ des problématiques. Le G29 s’interroge sur les garde-fous et procédures mis en place avant tout accès aux données par les services de surveillance américains, qu’ils soient fondés sur le Patriot Act (4) ou le FISA Amendment Act (5). Quel rôle joue la FISA Court et dans quelles conditions autorise-t-elle la surveillance de citoyens non-Américains ? Dans quelle mesure ces autorisations sont-elles suffisamment ciblées et étayées pour permettre une limitation des droits fondamentaux des individus sur le fondement de la sécurité nationale ?

Grand flou du « nuage informatique »
Pour y répondre, le groupe des Cnil européennes invite Viviane Reding à exiger la communication de copies de demandes de la NSA et des ordres de la FISA Court. Le programme PRISM ne semble viser que les données de citoyens non-Américains dès
lors qu’elles proviennent de sources situées aux Etats-Unis. Or, le G29 s’enquiert des hypothèses dans lesquelles les autorités américaines considèrent que les données se trouvent à l’intérieur du territoire américain, à l’heure où nombre de données sont stockées dans le cloud computing ou nuage informatique, espace virtuel et mouvant rendant délicate la détermination de la situation géographique d’une donnée. S’agit-il des données se trouvant physiquement sur le sol américain ou également des données transitant par les Etats-Unis ? Ce point est important dans la mesure où la directive 95/46/CE ne s’applique pas aux données personnelles ne faisant que transiter par l’Union européenne (6). Le G29 considère que la logique voudrait que la loi américaine ne s’applique pas aux données de passage sur le territoire des Etats-Unis. La question de savoir si des données personnelles sont collectées sur le territoire européen est également posée.
Le G29 s’interroge par ailleurs sur la manière dont les grandes entreprises américaines peuvent se conformer aux demandes de communication d’informations des autorités tout en respectant les conditions posées au transfert de données hors de l’Espace économique européen (EEE) (7). Il rappelle à cet égard que, s’il peut être fait exception aux principes du Safe Harbor afin de répondre aux exigences en matière de sécurité nationale, l’ampleur du programme de surveillance tel que révélée dans la presse ne semble pas répondre aux conditions de cette exception.
Enfin, il constate que les personnes concernées par le programme PRISM ne sont généralement pas informées que leurs données peuvent faire l’objet d’une collecte massive et d’un traitement par les agences de surveillance américaines et ne se voient offrir aucun moyen de faire valoir leurs droits fondamentaux devant une autorité indépendante. Force est de constater que les entreprises concernées ne favorisent pas non plus la transparence (voir encadré). Si le risque de voir les internautes se détourner massivement des réseaux sociaux et autres services de communication ne paraît pas
à ce jour avéré, une étude envisage la possibilité de pertes conséquentes de chiffres d’affaires (de 20 à 30 milliards de dollars) pour les entreprises américaines proposant
des services de cloud (8). Il semble que de nombreux professionnels ont d’ores et déjà renoncé à recourir à leurs services, au profit notamment de prestataires européens.
Aux Etats-Unis, l’opérateur T-Mobile promeut ses services en soulignant que les emails de ses clients sont stockés sur des serveurs basés en Allemagne.
Enfin, si PRISM focalise actuellement l’attention, Facebook annonçait dans son rapport sur la transparence que 71 pays avaient pris contact avec lui afin d’obtenir des renseignements sur ses utilisateurs. @

ZOOM

Google sur la sellette ?
Les règles de confidentialité de Google restent très évasives sur les hypothèses dans lesquelles Google peut partager les données personnelles de ses utilisateurs avec des tiers. En effet, il est indiqué que Google pourra partager lesdites données s’il pense « (…) en toute bonne foi que l’accès, l’utilisation, la protection ou la divulgation de ces données est raisonnablement justifiée pour se conformer à des obligations légales, réglementaires, judiciaires ou administratives ; (…) ».
Aucune précision n’est apportée sur le fait que les données personnelles des citoyens européens sont susceptibles d’être communiquées aux agences de surveillance américaines qui en feraient la demande, ni sur quels fondements cette communication peut avoir lieu. Enfin, aucune information des utilisateurs en cas de communication de leurs données à ces agences n’est prévue.
Le 10 juin 2013, la Cnil a mis Google en demeure de se conformer à la loi française Informatique et Libertés du 6 janvier 1978 car l’utilisateur n’est pas en mesure de connaître l’utilisation qui peut être faite de ses données et ne dispose pas de contrôle sur celles-ci. Quant au parquet de Paris, il a ouvert le 14 août dernier une enquête préliminaire sur PRISM (9). @