Archives par mot-clé : Hébergeur

Audiovisuel : YouTube n’est pas « éditeur », quoique…

Publié le par

En fait. Le 27 septembre, le Conseil supérieur de l’audiovisuel (CSA) a organisé ses premières Rencontres sur le thème de « L’audiovisuel dans l’espace numérique : plateformes et données ». En première ligne, Google a défendu son statut d’hébergeur : « Nous ne sommes pas éditeur de contenus ». Vraiment ?

En clair. Alors que le statut d’hébergeur de certaines plateformes vidéo telles que YouTube ou Dailymotion est remis en question par les industries culturelles, en particulier en France, les premières Rencontres du CSA ont permis d’entendre Google à ce sujet. « Nous ne sommes pas éditeur de contenus, mais nous travaillons en partenariat avec les éditeurs de contenus », a affirmé Laurent Samama, directeur
des relations stratégiques Média et Divertissement de la firme de Mountain View pour
la région EMEA (1). Et le Français d’insister : « Nous ne nous considérons pas comme
un acteur à part entière car nous ne sommes pas éditeur de contenus ; nous ne faisons pas de contenus ». Le statut d’hébergeur permet aux plateformes vidéo de non seulement bénéficier d’une responsabilité limitée dans la lutte contre le piratage mais aussi de ne pas être soumises à des obligations de financement de la création (lire aussi p. 6 et 7).
Le CSA, lui, s’interroge sur le statut de YouTube. Dans un rapport publié peu avant
ces Rencontres, le régulateur écrit :« Certaines plateformes, (…), opèrent désormais simultanément à plusieurs niveaux et exercent à la fois les fonctions de production, d’édition et de distribution de contenus (exemple de YouTube) » (2). Ce qu’a aussitôt nuancé Nicolas Curien, membre du CSA : « Le CSA dit effectivement que YouTube n’est pas seulement un hébergeur. Le CSA ne dit pas qu’il est éditeur ou distributeur, mais il invite à repenser les catégories traditionnelles des fonctions des métiers de l’audiovisuel ». Laurent Samama est alors remonté au créneau : « Sur YouTube, on
a vraiment pas de fonction d’édition. (…) La seule chose est [que] nous avons des algorithmes et parfois de la vérification manuelle pour éviter ces contenus interdits ».
Francine Mariani-Ducray, membre du CSA, a saisi la balle au bond : «Mais est-ce
que les algorithmes de recommandation ne sont pas une manière d’éditorialiser ? … J’ai ma réponse personnelle ! (…) C’est “oui’” ». Le dirigeant de Google lui a répondu :
« C’est une bonne question. Nous, nous considérons que “non”. Ensuite, il y a une
vraie réflexion sur la part de la personnalisation des algorithmes, tout en gardant une part d’accès à la diversité. Donc, effectivement, il y a des formules à mettre en place mais qui, pour nous, ne s’apparentent pas à un choix éditorial de contenus à mettre
en avant ». @

Plateformes collaboratives : à la recherche d’un développement équilibré et durable

Publié le par

Le modèle disruptif des plateformes collaboratives recherche son modèle de régulation. Plusieurs Etats européens, dont la France, ont pris des mesures encadrant le développement de ces plateformes collaboratives. Les préoccupations sont fortes sur les droits et les obligations de ces acteurs.

Par Christophe Clarenc (photo) et Martin Drago, cabinet Dunaud Clarenc Combles & Associés

La Commission européenne a publié en juin dernier une communication présentant « un agenda européen pour l’économie collaborative » (1). Sous ce vocable d’économie collaborative (ou d’économie de partage), elle appréhende
« des modèles économiques où des plateformes collaboratives qui créent un marché ouvert pour l’utilisation temporaire de biens et de services souvent produits ou fournis par des personnes privées ».

Un « brouillage des limites »
La Commission européenne distingue les trois catégories d’acteurs concernés : les prestataires de services partageant leurs actifs ou ressources, qui peuvent être des personnes privées proposant leurs services sur une base occasionnelle (« pairs »)
ou des prestataires intervenant à titre professionnel (« prestataires de services professionnels ») ; les utilisateurs de ces services ; et les plateformes en ligne
(« intermédiaires ») mettant en relation ces prestataires et ces utilisateurs et facilitant leurs transactions (« plateformes collaboratives »).
La Commission européenne introduit sa communication en soulignant : d’un côté, l’essor important de l’économie collaborative en termes de transactions, de parts de marchés et de revenus (2), ainsi que l’intérêt d’en favoriser le développement au regard de sa capacité contributive à la croissance et à l’emploi ; de l’autre côté, les multiples problèmes auxquels se retrouvent confrontés les opérateurs de marché en place et surtout les fortes incertitudes soulevées concernant les droits et obligations des acteurs de cette nouvelle économie. Elle reconnaît que l’économie collaborative génère un
« brouillage des limites » entre consommateurs et fournisseurs, entre salariés et travailleurs indépendants, entre fournisseurs professionnels et fournisseurs non professionnels, entre services de base de la société de l’information et services sous-jacents ou connexes, ce qui suscite une certaine incertitude sur les règles applicables. Sa communication vise à réduire cette incertitude et à assurer un « développement équilibré et durable » de l’économie collaborative au sein de l’Union européenne (UE) en apportant une série d’« orientations non contraignantes sur les modalités selon lesquelles il conviendrait d’appliquer le droit de l’UE en vigueur », et ce, afin de traiter les « problèmes- clés » (3) auxquels les pouvoirs publics et les acteurs du marché
sont confrontés.
La Commission européenne vise aussi et surtout à prévenir « une fragmentation réglementaire découlant d’approches divergentes au niveau national ou local » et à éviter « les zones grises réglementaires ». Ce qu’elle souligne dans son communiqué de presse du 2 juin : « Si nous laissons notre marché unique se fragmenter au niveau national voire au niveau local, l’Europe tout entière risque d’être perdante. […] Nous invitons les Etats membres à réexaminer leur réglementation sur la base de ces orientations, et nous sommes disposés à les aider dans ce processus ». Plusieurs
Etats membres, dont la France (voir encadré page suivante), ont en effet pris des mesures d’encadrement des plateformes en ligne. Les orientations de la Commission européenne sur les « exigences à satisfaire pour accéder au marché » distinguent les prestations de services par des professionnels, les prestations de services de pair à pair et les plateformes collaboratives.

Accès au marché
S’agissant des prestations de services par des professionnels, elle rappelle les limites et conditions posées par les libertés fondamentales du traité et de la directive
« Services » de 2006 (4).
Concernant les prestations de services de pair à pair, elle souligne que la législation de l’UE ne définit pas expressément à quel stade un pair devient un prestataire de services professionnels et que les Etats membres utilisent des critères différents pour distinguer services professionnels et services de pair à pair. Elle admet l’utilité de seuils (éventuellement sectoriels) fixés de manière raisonnable.
S’agissant des plateformes collaboratives, elle distingue entre la fourniture des services de base de la société de l’information proposés à titre d’intermédiaire entre les prestataires de services sous-jacents et leurs utilisateurs, tels que définis et régis par la directive « Commerce électronique » de 2000 (5), la fourniture de services d’assistance aux prestataires des services sous-jacents (facilités de paiement, couverture d’assurance, services après-vente) et la fourniture en propre de services sous-jacents (par exemple services de transport ou services de location de courtes durée).

Responsabilité des plateformes
A propos des services fournis par ces plateformes, la Commission européenne rappelle tout d’abord que les services de base de la société de l’information ne peuvent être soumis à aucun régime d’autorisation préalable ou à toute autre exigence équivalente. Elle indique ensuite que la fourniture de services sous-jacents peut être soumise aux exigences d’autorisation de la réglementation sectorielle correspondante et qu’une plateforme collaborative exerçant un contrôle ou une influence importants sur le prestataire de service sous-jacent doit pouvoir être considérée comme fournissant
le service sous-jacent. Elle précise enfin que la fourniture de services d’assistance
ne constitue pas en soi la preuve de l’existence d’un contrôle ou d’une influence importants, mais que « plus les plateformes collaboratives gèrent et organisent la sélection des prestataires sous-jacents ainsi que la manière dont ces services sous-jacents sont fournis, plus il devient évident que la plateforme collaborative peut être considérée comme fournissant elle-même également les services sous-jacents ».

Les orientations de la Commission européenne sur les « régimes de responsabilité » des plateformes collaboratives distinguent également entre les services intermédiaires de la société de l’information et les services connexes, accessoires ou sous-jacents. Les services intermédiaires de la société de l’information bénéficient de l’exemption
de responsabilité sur les informations stockées telle que prévue dans la directive commerce électronique, dès lors que le service conserve un caractère purement technique, automatique et passif sans contrôle ni connaissance des informations.
Cette exemption s’applique ainsi aux plateformes collaboratives pour leurs prestations de services d’hébergement. Elle est cependant limitée à ces prestations et ne s’applique pas à leurs services connexes, accessoires et sous-jacents. @

ZOOM

Le France encadre l’économie du partage depuis 2014
• Par la loi du 1er octobre 2014 relative aux taxis et aux voitures de transport avec chauffeur interdisant « tout service de mise en relation de personnes avec des particuliers qui se livrent au transport routier de personnes à titre onéreux sans être
des entreprises de transport routier ou des taxis, des véhicules motorisés à deux ou trois roues ou des voitures de transport avec chauffeur » (6) – interdiction attaquée devant la Commission européenne par la société Uber ( le 17 février 2015. Uber devait faire de même contre
l’Allemagne et l’Espagne.
• Par la loi « Macron » du 6 août 2015 pour la croissance, l’activité et l’égalité des chances économiques, introduisant dans le Code de la consommation une obligation d’information, de loyauté et de transparence à l’égard de « toute personne dont l’activité consiste à mettre en relation, par voie électronique, plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un bien ou d’un service » (8) ;

• Par la loi de finances pour 2016, du 29 décembre 2015, prévoyant que ces intermédiaires « sont tenues [depuis le 1er juillet 2016, ndlr] de fournir, à l’occasion de chaque transaction, une information loyale, claire et transparente sur les obligations fiscales et sociales qui incombent aux personnes qui réalisent des transactions commerciales par leur intermédiaire » (9) ;

• Par le projet de loi pour une République numérique (qui doit encore être adopté définitivement en septembre au Sénat) envisageant de soumettre les plateformes à une obligation d’information « loyale, claire et transparente sur les conditions générales d’utilisation du service d’intermédiation », à l’obligation de faire « apparaître clairement l’existence d’une relation contractuelle avec la personne référencée, d’un lien capitalistique avec elle ou d’une rémunération à son profit, dès lors qu’ils influencent
le classement ou le référencement des contenus, des biens ou des services proposés » et à une obligation de déclaration à l’administration fiscale un ensemble d’informations concernant leurs utilisateurs « présumés redevables de l’impôt en France au titre des revenus qu’ils perçoivent par l’intermédiaire de la plateforme » (10) ;

• Par le rapport Terrasse sur l’économie collaborative remis en février 2016 au Premier ministre (11) , soulignant notamment que le régime juridique prévu par la directive sur le commerce électronique semble « de plus en plus inadapté au rôle actif que jouent les plateformes » et que « le régime de responsabilité des plateformes doit être redéfini au niveau européen ». @

Les majors de la musique dénoncent plus que jamais le « transfert de valeur » du streaming gratuit

Publié le par

Les trois majors de la musique – Universal Music, Sony Music et Warner Music
– se félicitent de la croissance du streaming par abonnement mais continuent
de dénoncer un « transfert de valeur » vers le streaming gratuit, au profit de YouTube notamment. En attendant le rapport Schwartz…

Alors qu’il s’est entretenu le 7 septembre avec Fleur Pellerin, ministre de la Culture et de la Communication, Marc Schwartz nous confirme qu’il rendra bien le 30 septembre son rapport final sur le partage de la valeur dans la musique en ligne. Le Syndicat national de l’édition phonographique (Snep) espère, lui, qu’il sera entendu. Son directeur général, Guillaume Leblanc (photo), a encore rappelé – dans l’édito du rapport annuel sur la production musicale publié fin juin – que « la correction du transfert de valeur est plus que jamais nécessaire pour faire en sorte que quelques grands acteurs puissent rémunérer justement la création et cessent enfin de se considérer comme de simples hébergeurs ».

Haro sur les « hébergeurs » de type YouTube
Il en veut pour preuve la différence entre les sommes versées aux ayants droits de la musique par des services en ligne, tels que Deezer et Spotify, et celles acquittées par certaines plateformes comme YouTube. Explication : les services d’abonnement streaming – avec 41 millions d’abonnés payants et plus de 100 millions d’utilisateurs actifs sur leurs offres gratuites au niveau mondial – ont versé plus de 1,6 milliard de dollars aux maisons de disques en 2014. En revanche, le revenu total des maisons de disques provenant des plateformes telles que YouTube, lequel revendique à lui seul plus de 1 milliard d’utilisateurs uniques mensuels, s’est élevé à 641 millions de dollars, soit moins de la moitié du chiffre d’affaires réalisé avec les services d’abonnements.
« Ce fossé est à l’origine du transfert de valeur », affirme le Snep qui présente cela comme « une anomalie à corriger ». Le streaming musical gratuit financé par la publicité, bien qu’en légère diminution de 2,6 % sur un an à 13,5 millions d’euros sur les sept premiers mois de l’année, est ainsi dans le collimateur des majors en raison de revenus beaucoup plus faibles. Alors que, d’après Médiamétrie, l’audience de YouTube continue de progresser en France pour atteindre 30,8 millions de visiteurs uniques (+ 4 % en juin). Le Snep s’est en tout cas félicité le 8 septembre dernier des « bonnes performances » du streaming sur le marché français de la musique. A fin juillet 2015, le marché du streaming – en progression de 42,7 % à 58,6 millions d’euros (sur les sept premiers mois de l’année) – réalise les deux tiers des revenus numériques et 28,2 % du marché global, lequel atteint sur cette période de sept mois 207,3 millions d’euros de chiffre d’affaires (1). Les revenus issus du streaming représentent désormais la moitié du chiffre d’affaires des ventes physiques en France.

Mais le syndicat qui représente notamment les intérêts des trois majors mondiales
du disque (Universal Music, Sony Music et Warner Music) regrette que « la forte croissance du streaming ne permet cependant pas encore de compenser la baisse des ventes de supports physiques (-18 %) et celle des ventes en téléchargement (-15 %), l’ensemble du marché étant en baisse de 6,2%». Le lancement d’Apple Music, la version streaming d’iTunes jusqu’alors limité au téléchargement, devrait accélérer la croissance de la musique en ligne. Reste à savoir si le « fossé » que dénonce le Snep continuera ou pas de se creusera avec la marque à la pomme. La médiation de Marc Schwartz menée depuis le mois de mai devrait tenter de clarifier le partage de la valeur entre les producteurs de musique et les plateformes numériques (2). S’il n’y avait pas d’accord interprofessionnel à l’issue de cette médiation fin septembre, notamment sur l’instauration d’une gestion collective des droits numériques, la ministre de la Culture et de la Communication, Fleur Pellerin, a déjà prévenu qu’elle en passerait par la loi « Liberté de création, architecture et patrimoine ». Quoi qu’il en soit, les majors de la musique misent plus sur les abonnements, qui représentent à ce stade un peu plus de 75 % des revenus du streaming et plus de la moitié des revenus numériques (voir graphique ci-dessous). « La part des abonnements au sein du chiffre d’affaires a donc doublé en un an », s’est félicité le Snep. @

Charles de Laubier

Les objets connectés n’échapperont pas au droit européen sur la protection des données personnelles

Publié le par

L’Internet des objets – prolongement du cyberespace à des objets physiques connectés – doit assurer la protection des données personnelles et faire preuve de transparence vis-à-vis des internautes auxquels le consentement doit être demandé. Sinon, les responsables risquent gros.

Par Christophe Clarenc et Merav Griguer, cabinet Dunaud, Clarenc Combles & Associés

La « French Tech » était particulièrement représentée au
CES (Consumer Electronics Show) de Las Vegas en janvier dernier, ce salon international dédié au marché des innovations technologiques grand public et en particulier aux objets connectés. Les objets connectés sont le fruit de l’extension d’Internet aux choses du monde physique via des systèmes d’identification électronique normalisés et sans fil qui permettent de collecter, stocker, traiter, communiquer, transférer et partager des données (1). C’est l’Internet des objets, ou IoT (Internet of Things).

Objets, Big Data et régulation
Les objets connectés contribuent de manière significative à la transformation économique et sociétale attachée à la révolution numérique en cours, notamment
pour ce qui concerne les secteurs de la santé et du bien-être (le « feel good »). Le phénomène est à un stade embryonnaire. L’Arcep a mené l’an dernier une consultation publique (2) sur l’utilisation des bandes de fréquences dites « libres », en particulier dans le contexte du développement de l’Internet des objets. Les résultats confirment notamment que « les bandes libres constituent un levier du développement des
usages innovants » et seront prises en compte dans le cadre de travaux internationaux d’harmonisation.
Plus les objets intelligents se développent, plus la question de la régulation de cette nouvelle source de « Big Data » se pose. En effet, les objets connectés ne peuvent
être mis sur le marché, distribués, commercialisés, hébergés ou utilisés sans s’assurer du respect des règles qui leurs sont applicables, plus particulièrement au titre de la réglementation sur la protection des données personnelles, sous peine de sanctions civiles, administratives ou pénales. La Commission nationale de l’informatique et des libertés (Cnil) peut ainsi prononcer des sanctions administratives allant de l’avertissement (souvent publié) à l’amende de 300.000 euros. Le projet de règlement européen, qui devrait entrer en vigueur courant 2015, prévoit que l’amende peut aller jusqu’à 5 % du chiffre d’affaires annuel mondial du groupe.
Le groupe « G29 » des « Cnil européennes » (3) a adopté les 16 et 17 septembre 2014 un avis sur l’Internet des objets afin de préciser le cadre règlementaire européen applicable. Cet avis affirme que la directive européenne « Protection des données »
du 24 octobre 1995 (4) est applicable à l’IoT. Comme l’a précisé en octobre dernier la Déclaration sur l’Internet des objets adoptée lors de la 36e Conférence internationale des Commissaires à la protection des données et de la vie privée, les objets connectés collectent une masse de données sur leurs utilisateurs qualifiables de « données à caractère personnel » (5). En effet, les données ainsi captées et enregistrées par ces objets intelligents permettent l’identification directe ou indirecte des individus.
L’Internet des objets ne peut échapper à l’application du droit européen sur la protection des données personnelles. En effet, l’article 4 de la directive de 1995 prévoit que la loi nationale d’un Etat membre transposant la directive européenne s’applique même au responsable du traitement de données à caractère personnel. Ce responsable, sans être établi sur le territoire d’un Etat membre, recourt à des moyens, automatisés ou non, situés sur le territoire de cet Etat membre (sauf si ces moyens ne sont utilisés
qu’à des fins de transit sur ce territoire). Ainsi, le traitement de données à caractère personnel inhérent à l’objet connecté commercialisé en France sera soumis au respect de la loi française « Informatique et Libertés » (6).

Champ d’application large
Plusieurs acteurs peuvent intervenir dans le cadre des objets connectés : le fabricant de l’objet intelligent, l’éditeur de la plate-forme qui agrège les données, l’hébergeur des données collectées et traitées, le développeur de l’application mobile, le distributeur, les réseaux sociaux interconnectés sur lesquels les utilisateurs partagent leurs données, les tiers destinataires des données, les brokers de données, etc.

Le G29 recommande de bien définir le rôle de chacun des acteurs impliqués, y compris les sous-traitants, afin de déterminer leurs obligations et leur responsabilité au regard de la réglementation applicable. Ces points doivent être prévus dans les contrats liant les différents acteurs entre eux.
Il convient notamment d’identifier lesquels de ces acteurs endossent le statut de responsable de traitement. Plus particulièrement, il est important de prévoir en amont qui est responsable en cas de défaillance du dispositif, en cas de perte ou altération des données, ou encore en cas de cyberattaques telles que l’accès frauduleux au système, l’usurpation d’identité numérique, la divulgation des données ou autres atteintes à la confidentialité, etc.

Rôle contractualisé des acteurs
En effet, selon l’article 34 de la loi « Informatique et Libertés », « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Les données collectées et traitées via les objets connectés étant souvent hébergées par des solutions de type « cloud computing »,
les contrats avec ces prestataires doivent également prévoir un certain nombre de garanties, conformément aux recommandations de la Cnil en la matière.
Par ailleurs, la définition des rôles, statuts et responsabilité de chacun des acteurs impliqués permettra de déterminer à qui incombe l’obligation de déclarer à la Cnil
le traitement des données à caractère personnel relatif à l’objet connecté.

Il ressort des dispositions de la directive européenne « Protection des données »
et de la loi « Informatique et Libertés » que les utilisateurs d’objets intelligents
doivent consentir de manière expresse au traitement de leurs données à caractère personnel (7).
Toutefois, le G29 regrette le manque de transparence des responsables sur les caractéristiques des traitements de données à caractère personnel liés aux objets connectés. Or, le consentement n’est considéré par les « Cnil » européennes comme valable que s’il est exprès, libre, spécifique et éclairé. Pour le G29, le consentement doit pouvoir être retiré de telle sorte que l’utilisateur a le droit de s’opposer ultérieurement au traitement de ses données.
Les conditions d’utilisation des objets intelligents (accessibilité, diffusion et divulgation des données ainsi captées et enregistrées) doivent donc être particulièrement soignées, ainsi que les modalités d’acceptation d’acceptation et de mise à jour de celles-ci. Ces mentions d’information doivent être rédigées de manière claire et compréhensible précise le G29 dans son avis. De manière générale, le G29 considère que l’ensemble des acteurs impliqués doit respecter les concepts de « privacy by design » et « privacy by default », lesquels sont à considérer comme centraux lors
de la conception d’objets connectés. Ainsi, les utilisateurs doivent pouvoir garder le contrôle et la maîtrise de leurs données.
La loi « Informatique et Libertés » dispose en outre que les données doivent être
« adéquates, pertinentes et non excessives au regard des finalités pour lesquelles
elles sont collectées et de leurs traitements ultérieurs » (8). Par conséquent, seules
les données pertinentes et strictement nécessaires peuvent être collectées et traitées. Par ailleurs, cette même loi exige que les données à caractère personnel collectées
et traitées soient « exactes, complètes et, si nécessaire, mises à jour » (9). Egalement, « les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ».
Lorsque l’objet connecté collecte et traite des données « sensibles » (10), le cadre règlementaire spécifique aux données sensibles doit être respecté. Parmi les nombreuses mesures de sécurité recommandées, figurent le cryptage des données sensibles et, dans la mesure du possible, l’anonymisation irréversible de celles-ci. S’agissant des données de santé à caractère personnel qui seraient collectées et traitées par l’objet connecté, la réglementation relative aux dispositifs médicaux est susceptible de s’appliquer à ces objets connectés.

Hébergeur agréé de données de santé
Le Code de la santé publique exige également que ces données soient hébergées par un hébergeur de données de santé agréé (11). Toutefois, il n’existe pas de définition légale claire de la notion de « données de santé à caractère personnel » (12).
Par conséquent, se pose la question de l’obligation de recourir à un prestataire d’hébergement agréé de données de santé pour les objets connectés collectant des données liées au bien être ou mieux être de l’utilisateur (humeur, déshydratation de la peau, etc.). De nombreuses questions demeurent donc encore en suspens. Compte tenu de l’ampleur du phénomène et des enjeux y afférent, la multiplication des contrôles de la Cnil en la matière est à prévoir et à anticiper. @

La lutte contre le terrorisme en ligne renforce l’« autorité administrative » au détriment du juge

Publié le par

Après les lois « LCEN », « Hadopi », « Loppsi 2 » et « LPM », voici que la loi
« Antiterrorisme » – promulguée le 14 novembre – vient complexifier la législation sur la surveillance des réseaux et des internautes. Le problème est que le juge judiciaire est de plus en plus absent des procédures.

Etienne Drouard (photo), cabinet K&L Gates LLP et Vincent Lamberts, cabinet Acteo

La loi du 13 novembre 2014 renforçant les dispositions relatives
à la lutte contre le terrorisme (loi « Antiterrorisme ») est parue au Journal Officiel le jour où nous écrivons ces lignes (1). Parmi ses dispositions les plus discutées figurent les nouvelles mesures de lutte contre la provocation et l’apologie du terrorisme.

Entre blocages et contournements
En premier lieu, le nouvel article 421-2-5 du Code pénal sanctionne la provocation directe des actes de terrorisme et l’apologie publique de tels actes, et alourdit les peines prévues lorsque ces délits sont commis via des services en ligne – sites
Internet essentiellement. Le Code de procédure pénale est également modifié pour confier au juge des référés le pouvoir d’ordonner le blocage judiciaire des services en ligne utilisés pour commettre ces infractions. En second lieu, la loi « Antiterrorisme » modifie l’article 6.I de la loi pour la confiance dans l’économie numérique (loi « LCEN ») du 21 juin 2004 (2) en permettant à l’« autorité administrative » de demander le retrait des contenus illicites sous 24 heures et, à défaut de retrait ou d’éditeur identifié ou appréhendable par le droit français, le blocage administratif des sites qui font l’apologie du terrorisme ou provoquent le public à commettre des actes terroristes. Ladite
« autorité administrative » peut également ordonner aux fournisseurs d’accès à Internet (FAI) et aux hébergeurs de services en ligne de bloquer l’accès aux sites litigieux sans avoir à s’adresser préalablement aux éditeurs concernés. Enfin, l’« autorité administrative » peut demander aux moteurs de recherche de déréférencer les services en ligne litigieux. Au-delà du consensus général pour tenter d’enrayer la propagande terroriste sur Internet, sont ainsi réapparues les difficultés déjà soulevées dans le cadre des discussions sur les mesures de blocage des sites contrefaisants issues de la loi
« Hadopi » ou, pour les sites pédopornographiques, visés par la loi « Loppsi 2 », ainsi que leur évolution sous l’impulsion, notamment, du Conseil constitutionnel (3) (*) (**) (***) (****) (*****).

• Les effets très relatifs et temporaires des politiques de blocage des sites Internet.
Indépendamment du coût de mise oeuvre des mesures de blocage et des obstacles
liés à la localisation à l’étranger de la plupart des sites Internet litigieux, l’efficacité de ces mesures souffre des contraintes techniques sur lesquelles elles reposent puisqu’elles sont, par nature, contournables par ceux qui chercheraient, avec ou sans moyens financiers importants, à promouvoir une activité terroriste. La démultiplication des méthodes de contournement (4) risque de voir les effets positifs des mesures de blocage supplantés par leurs effets négatifs. Or, moyennant une coopération internationale efficace, l’usage de sites Internet par des mouvements terroristes fournit des moyens d’identifier leurs auteurs et leurs visiteurs, voire de localiser ceux-ci et les menaces qu’ils font peser sur leurs « cibles ». On peut d’ailleurs craindre que la mise en place de mesures de blocage conduise les promoteurs d’activités terroristes à se doter de tribunes toujours plus difficiles à localiser et à « museler ».

Risques de dommages collatéraux
Gageons que l’« autorité administrative » se fondera sur des certitudes étayées
et récurrentes avant de prendre ces mesures de blocage ou de déréférencement : imaginons un instant les effets collatéraux qu’elles auraient à l’égard d’un site Internet qui n’aurait pas pu filtrer à temps les provocations au terrorisme diffusées au sein de ses pages par un ou quelques internautes.
• Les blocages administratifs ne s’embarrassent pas de justifications et contrôles.
Alors que le juge des référés devra constater l’existence d’un trouble manifestement illicite s’il est saisi par le ministère public ou « une partie intéressée » d’une demande de blocage, l’autorité administrative, elle, ne semble être tenue par aucune autre considération que celle imposée par le critère imprécis des « nécessités de la lutte contre la provocation ou l’apologie du terrorisme ».
Certes, la loi « Antiterrorisme » organise un contrôle de régularité des demandes de retrait de contenu ou de blocage des sites Internet à une « personnalité qualifiée » désignée en son sein par la Cnil (5), à charge pour celle-ci, si elle détecte une irrégularité, de demander à l’« autorité administrative » d’y mettre un terme et de saisir, en cas de refus, le Conseil d’Etat. On n’identifie toutefois pas à ce stade, à l’aune du critère des « nécessités » requises par la loi, quelles irrégularités, autres que formelles, pourraient être dénoncées, ni comment l’« autorité administrative » pourrait les purger.
• La construction au fil du temps d’une hiérarchie incohérente des infractions. Le législateur a circonscrit ces mesures de blocage aux infractions liées à la provocation ou l’apologie du terrorisme, venant s’ajouter à la pédopornographie qui avait été retenue en 2011. En matière de jeux en ligne (6), des mesures de blocage peuvent, depuis 2010, être prises à l’initiative de l’Arjel moyennant un contrôle « a priori » des tribunaux pour ordonner le blocage des sites de jeux illégaux. Mais en matière de protection des droits de propriété intellectuelle, le législateur a finalement abrogé, dans le cadre de la modification de la loi Hadopi, les mesures de blocage initialement prévues en raison, notamment, de leur efficacité limitée et de leurs effets collatéraux. D’autres infractions, telles que celles relatives aux crimes contre l’humanité, par exemple, demeurent régies par les dispositions anciennes de la « LCEN » en vertu desquelles les FAI et les hébergeurs ne sont a priori soumis à aucune obligation générale de surveillance des contenus, mais doivent mettre en place un dispositif permettant de porter à leur connaissance tout contenu litigieux et informer les pouvoirs publics de tous faits illicites. La loi « Antiterrorisme » vient donc conforter une hiérarchisation des infractions, distinguant celles qui « méritent » un blocage, de celles qui, telles un crime contre l’humanité, seraient soumises à un régime plus souple. Cette hiérarchie, qui résulte des angoisses et menaces successives que la société porte devant le Parlement, ne paraît pas réfléchie dans le cadre d’une stratégie globale de régulation des infractions commises sur Internet.
• Des alternatives au blocage intéressantes.
La loi « Antiterrorisme » a conforté une piste alternative aux mesures du blocage en introduisant la possibilité, pour les officiers de police judiciaire, de participer aux échanges électroniques illicites sous un pseudonyme et d’accéder, en respectant les conditions légales de la perquisition à distance, à des données intéressant l’enquête.
• Quel est l’avenir de ce «mille-feuille » législatif au regard du droit européen ? Les nouvelles dispositions de la loi « Antiterrorisme » viennent compléter la loi de programmation militaire (loi « LPM »), laquelle (7) entrera en vigueur le 1er janvier 2015. Ainsi, au début de l’année 2015, l’autre pan de l’article 6 de la « LCEN »
– l’article 6.II bis consacré à l’accès administratif aux traces et données de connexion
à Internet – sera alors profondément transformé et déplacé aux articles L 246-1 et suivants du Code de la sécurité intérieure. Derrière la complexité des rédactions et
des renvois à d’autres articles que ceux que le texte de la loi « Antiterrorisme » contient, se pose la question de la cohérence d’ensemble des dispositifs de surveillance des réseaux de communication électronique, d’identification des utilisateurs connectés et de blocage administratif et judiciaire des sites Internet
diffusant des contenus illicites. Au printemps 2014, après l’adoption de la loi « LPM»
et avant l’élaboration de la loi « Antiterrorisme », un des piliers européens de la surveillance électronique des réseaux a vacillé : la directive européenne sur la conservation de données de connexion (8) – qui détermine les moyens et durées d’identification des internautes dans le cadre des enquêtes judiciaires ou de la surveillance administrative, notamment en matière de terrorisme – a été déclarée invalide par la Cour de justice de l’Union européenne (CJUE) (9). Cette mise en sursis des textes en matière d’identification des internautes, adoptés notamment par la France, renforce le sentiment de fragilité des procédures de décision et de contrôle,
qui sont de moins en moins judiciaires et, au motif de la rapidité escomptée, de plus
en plus administratives. On peut également regretter le manque de concertation de
la France avec les autres pays européens alors qu’elle se fera, comme les autres, rattraper par cet arrêt de la CJUE.

Procédures administratives, peu judiciaires
C’est précisément sur ce point – l’absence de recours au juge judiciaire – que la décision de la CJUE est venue porter la critique. Or, les autorités administratives évoquées par le législateur français sont, soit non identifiées (10), soit incarnées par
un fonctionnaire unique placé auprès du Premier ministre, soit chargées de missions nouvelles sans rapport avec leur objet initial. Ainsi, la CNCIS (11) a été chargée par la
« LPM» de contrôler formellement la régularité des demandes d’accès administratif aux données de connexion et d’identification, alors que la Cnil aurait été plus naturellement compétente pour traiter de l’identification des utilisateurs des réseaux… Et la Cnil vient d’être chargée par la loi « Antiterrorisme » de contrôler les demandes de blocage des sites Internet, alors que la régulation des contenus diffusés en ligne est étrangère à sa mission de protection des données personnelles.
La lutte contre le terrorisme impose aux Etats démocratiques d’agir de manière coordonnée et efficace en se dotant de moyens de contrôle effectifs. Nous n’y sommes pas encore parvenus cette fois-ci. @