Qu’est-ce que la neutralité du net ?

Dans son rapport de septembre 2010, l’ARCEP a indiqué qu’«un réseau est neutre lorsqu’il permet d’envoyer et de recevoir le contenu de son choix ^[1], d’utiliser tout type de services et d’applications, et de connecter tout type de matériel et de logiciels en bénéficiant d’une qualité de service suffisante et transparente.»

La neutralité du Net suppose «l’idée que les acteurs du réseau ne peuvent opérer aucune discrimination en fonction des émetteurs des contenus qui y sont diffusés, de leurs récepteurs et de la nature des contenus elle-même.»

Ce qui veut dire ?

* «Imaginez que, pour mieux réguler son trafic, la RATP réserve ses métros entre 17h30 et 19 heures aux seuls travailleurs. Les habitants qui voudraient emprunter le métro pour faire leurs courses ou rendre visite à des amis ne pourraient le faire que dans l’après-midi. La RATP irait à l’encontre de la « neutralité » de son réseau.

* Si le groupe Hachette décidait un jour que certains journaux politiques n’ont pas leur place dans ses kiosques, il irait, de même, à l’encontre de la neutralité du réseau de distribution de la presse.

* Enfin, si le service postal ouvrait le courrier pour décider de ce qui est prioritaire et ce qui n’est pas, il sortirait de sa nécessaire neutralité.» ^[2]

Les discriminations que vise à exclure la neutralité du Net

«La neutralité du Net fait d’Internet un réseau multidirectionnel et décentralisé, dont la gestion exclut toute discrimination à l’égard de la source, de la destination ou du contenu de l’information transmise. C’est cette liberté de transmission d’un bout à l’autre de l’architecture communicationnelle qui met tous les utilisateurs d’Internet sur un pied d’égalité, leur permettant de recevoir et de distribuer l’information de leur choix, et ce quel que soit leurs ressources financières ou leur statut social. La neutralité du Net fait également d’Internet un espace d’innovation «sans permis», dans lequel n’importe quelle petite entreprise peut librement distribuer de nouveaux services sur Internet, même lorsque ces derniers entrent en compétition avec des acteurs économiques établis.»^[3]

La neutralité du Net est donc un principe fondateur d’Internet qui exclut :

* Toute discrimination quant aux récepteurs : les opérateurs pourraient être tentés de développer des offres d’accès Internet garantissant un débit minimal, même en période de congestion du réseau. Cet accès ‘prioritaire’ se ferait au détriment de tous les autres. Cette discrimination peut également consister en un accès plus rapide aux réseaux, engendrant ainsi l’avènement d’un Internet à 2 vitesses.

* Toute discrimination quant aux émetteurs : les fournisseurs d’accès pourraient également favoriser tel ou tel site en offrant vers son contenu un accès plus rapide ou mieux référencé que chez le concurrent. Force est de constater que Google Vidéos offre en moyenne deux fois plus de liens vers Youtube (qu’il détient) que vers DailyMotion.

* Toute discrimination quant aux contenus : ces mêmes opérateurs pourraient décider de bloquer certains sites en fonction de leurs contenus ou tout au moins d’en limiter l’accès si ces derniers utilisent trop de bande passante.^[4]  Ou, pour reprendre l’exemple de Google, utiliser leur omniprésence sur le réseau afin de mettre en valeur artificiellement certaines informations (voir, à cette adresse, les travaux de Ben Edelman, professeur à l’université d’Harvard).

Pour Tim Berners-Lee, garantir la neutralité du Net permet de réguler le réseau comme un bien public :

«Sur un plan conceptuel, si le Web était destiné à devenir une ressource universelle, il devait se développer sans entraves. Techniquement, il suffisait d’un seul point de réglementation centralisée pour que ceci devienne rapidement un goulot d’étranglement limitant le développement du Web, et le Web n’aurait jamais pu se développer.»^[5]

La neutralité du net, objet de nombreux débats^[6]

Le 30 juin 2010, la Commission européenne lançait une consultation publique sur des questions liées à la neutralité de l’internet.^[7]
Il s’agissait de déterminer si les fournisseurs pouvaient être autorisés à adopter certaines pratiques en matière de gestion du trafic Internet (privilégier un certain type de trafic par rapport à un autre) ; si l’Union européenne devait garantir l’existence de conditions équitables sur le marché de l’Internet (imposer une régulation) ou si c’était au secteur concerné d’agir (régulation sectorielle ou autorégulation).

L’ARCEP (Autorité de régulation des communications électroniques) a organisé un colloque sur la neutralité des réseaux (Network Neutrality) en avril 2010. Les actes qui en résultent ont été publiés et sont disponibles en PDF. En effet, pour l’ARCEP, il était nécessaire de participer à la réflexion mondiale sur ce sujet complexe et dont les enjeux sont considérables.

Tandis qu’une proposition de loi avait été déposée par le PS,^[8] une députée UMP cherchait parallèlement à faire imposer aux opérateurs le respect des principes de neutralité des réseaux.^[9]

Pourquoi de telles réflexions ?

«Le débat se pose depuis que les opérateurs craignent une “saturation du réseau” : pour l’éviter tout en maintenant une ouverture complète du réseau, il faudrait investir (fibre optique, réseau 4G…). Une solution moins onéreuse pour les opérateurs consisterait à ‘gérer’ la pénurie : répartir la bande passante en fonction de critères discriminatoires.^[10] Cette alternative irait à l’encontre de cette fameuse neutralité».

D’autres développements peuvent justifier des dérogations à cette neutralité.^[11]

Toutefois, la Quadrature estime que déroger à la neutralité du Net reviendrait à porter atteinte à la libre concurrence, à l’innovation ainsi qu’à certaines libertés fondamentales.^[12]

Une réflexion internationale

La neutralité du Net est à l’étude non seulement au Royaume-Uni^[13] mais également aux Etats-Unis d’où viennent les principaux bouleversements de cette notion.

Une nouvelle donne

Si ce n’était un secret pour personne, l’ARCEP a indiqué le mois dernier que Google était en position dominante sur le marché de la publicité liée aux moteurs de recherche (on remarquera le nombre d’affaires croissant impliquant son service AdWords).^[14]

Sans compter que le moteur de recherche a pu être pointé du doigt pour avoir cherché à ‘oublier’ la neutralité du Net.^[15] et que l’opacité entretenue par ce dernier serait susceptible de porter atteinte à la concurrence et/ou à la neutralité du Net. C’est précisément sur cette éventualité que la Commission Européenne enquête.^[16] Notons que Google vient de prendre des mesures visant à améliorer la protection du droit d’auteur sur ses services de par un filtrage des résultats pointant sur des contenus illégaux.^[17]

De plus, pour la Quadrature du Net, il est clair que «de nombreux opérateurs de télécommunications souhaitent remettre en cause la neutralité du Net dans le but de développer des modèles économiques fondés sur une gestion discriminatoire du trafic Internet. Les fournisseurs de contenu et de services qui seraient en mesure de payer continueraient de bénéficier des pleines capacités du réseau, tandis que le reste d’Internet se verrait ralenti.

De même, des gouvernements chercheraient à mettre en place des techniques de filtrage du réseau en vue d’établir le contrôle dont ils jouissent sur les médias traditionnels.»  A en croire certains auteurs, force serait de constater que Wikileaks a amené les gouvernements à repenser les moyens de contrôle / filtrage qu’ils auraient sur le Web. ^[18]

Par ailleurs, le collectif estime que «la censure du Net progresse dangereusement, à mesure qu’un nombre croissant de gouvernements démocratiques proposent ou mettent en œuvre des mécanismes de filtrage (ou de blocage) de sites pour contrôler Internet.

Qu’il s’agisse de jeux en ligne, de contenus violents ou pédopornographiques, mais encore de propos diffamatoires ou de violations du droit d’auteur^[19] contre lesquels il est parfaitement inefficace, ce mode de régulation est profondément dangereux du point de vue des libertés fondamentales. Il participe d’une reprise en main politique d’Internet.

En effet, le blocage de sites Internet serait par nature imprécis (faisant courir le risque de “censure collatérale” de sites parfaitement licites), et mettrait ainsi en danger la liberté d’expression et de communication.»

L’entité postule pour la préservation de la neutralité du réseau, dans lequel aucun acteur ne devrait / pourrait décider unilatéralement de bloquer tel ou tel flux.

Enfin, il faut souligner l’adoption d’une loi relative à la neutralité du Net par la Commission fédérale des communications (FCC) il y a deux semaines.

Si le texte voté garantit à tous les citoyens américains un accès à Internet, il permet dans le même temps aux FAI d’offrir un service plus rapide aux usagers, moyennant un surplus financier. Cette loi les autorise à facturer leurs services aux consommateurs en fonction de leur usage en bande passante. En effet, si l’interdiction du filtrage des contenus légaux est posée en principe, cette nouvelle réglementation admet une facturation variable selon l’usage des consommateurs (cette surfacturation traduisant le droit reconnu aux FAI de réguler leurs réseaux pour éviter les risques de saturation) qu’il s’agisse de l’Internet fixe ou mobile.

Droit leur est également donné de facturer les éditeurs de contenus mais également les abonnés qui nécessitent une large bande passante (téléchargements et contenus en streaming).^[20]

Quid de la position de la France ?

Alors que la question de la neutralité des réseaux se veut de plus en plus présente sur la scène des débats internationaux, la position française semble s’affirmer clairement. Si des initiatives politiques (tant de gauche que de droite, comme nous l’avons évoqué ci-dessus) tendent à assurer le respect de la neutralité des réseaux par les opérateurs techniques, une tendance de fond est néanmoins perceptible depuis quelques années.

En effet, si le discours politique se positionne clairement en faveur de la défense des droits du citoyen, il s’accompagne invariablement de la notion de « contrôle nécessaire » du cyberespace, présenté comme un prérequis incontournable à la liberté et la protection de tout un chacun sur le Réseau des réseaux. Ce soucis inquisiteur n’a été que renforcé par les récentes révélations du site Wikileaks et ses conséquences internationales.

On peut illustrer cette position française par le discours présidentiel du 13 février 2009 sur la politique familiale, au palais de l’Elysée. Alors que le spectre de la pédopornographie plane, le Président déclare : ” Je souhaite que les fournisseurs d’accès bloquent les sites pédopornographiques et illégaux recensés sur une liste noire. J’ai le plus grand respect pour la liberté. Mais un site pédopornographique, ce n’est pas de la liberté. Et il n’y a aucune raison que les fournisseurs d’accès permettent l’accès à des sites pédopornographiques. »  « On peut parfaitement assurer la liberté, qui est tout à fait nécessaire, et en même temps assurer le devoir de protection des plus vulnérables. Je ne vois pas pourquoi les règles ne seraient pas les mêmes que les règles dans la société parce que ce serait Internet. Internet n’est pas hors de l’État de droit. Il ne faut pas laisser accessibles des sites pédopornographiques pour que des désaxés puissent entrer en contact avec des mineurs. Notre devoir, c’est de les protéger et d’aider les familles dans ce travail de protection“. Cette position trouve son écho chez plusieurs politiques au pouvoir, comme en témoigne ce récent discours d’Eric Besson.

Contrôler pour protéger ? L’intention est louable et on ne peut plus légitime, mais le moyen envisagé peut prêter à discussion. La mise en place de listes noires (ou « blacklists »), visant à fixer à l’avance la liste des sites internet ne devant plus être accessibles à l’internaute français, est en effet sujet à caution.

Pour mémoire on peut rappeler le malheureux exemple australien, victime en mars 2009 d’une indiscrétion du site « Wikileaks.org ». Il y était révélé la liste des 2395 sites internet bloqués par les FAI locaux sur injonction de l’ACMA^[21] dans le but de lutter contre la pédopornographie. De nombreux liens figurant sur « cette liste noire » n’auraient manifestement jamais dus s’y trouver, à l’instar du site d’une agence de voyage ou de celui d’un dentiste (pour le détail, voir à cette adresse).^[22] Certaines sources avancent jusqu’à 68% de sites bloqués par cette liste n’ayant rien à voir avec la lutte contre la pédopornographie. Fondé ou pas, ce chiffre est quoi qu’il en soit révélateur du malaise relatif à ce genre de pratiques.

Cet exemple illustre clairement la crainte des opposants des « cyber listes noires » : elles sont par nature non exhaustives, facilement contournables et au final fort peu efficaces. Quoi de plus simple en effet pour le gestionnaire d’une adresse illégale que d’en modifier légèrement les caractéristiques afin de contourner le filtre. Sans même évoquer la terrible tentation que les gouvernements pourraient avoir de glisser au sein de cette liste noire, noyés au milieu de milliers d’autres, quelques liens politiquement gênants pour les dirigeants en place.

Face à cette suspicion, cette présomption de culpabilité systématiquement rencontrée par les Etats désireux d’appliquer ces pratiques de filtrage, la publication de ces fameux documents pourrait apparaître comme un gage de bonne foi. A défaut d’être efficace, le système serait au moins transparent.

La position française est affirmée, au-delà du discours présidentiel, dans l’article 4 de la « loi d’orientation et de programmation pour la performance de la sécurité intérieure »^[23]. Cet article, adopté par le Sénat en seconde lecture, confirme la volonté française de lutter contre la pédopornographie par la mise en place d’une liste de sites interdits, bloqués par les fournisseurs d’accès. Cette liste serait élaborée et entretenue par l’office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (ou « OCLCTIC »), organe policier en charge des affaires de cybercriminalité. Les fournisseurs d’accès auront ensuite l’obligation de s’y soumettre par le blocage effectif des adresses concernées, selon des modalités techniques laissées à leur appréciation.

Liste a priori non publique, blocage administratif sans intervention de l’autorité judiciaire… autant d’éléments qui ne vont pas calmer les inquiétudes des défenseurs de la neutralité d’internet.

La position française face à l’Union Européenne.

La position française ne dénote cependant pas dans le contexte européen actuel, bien au contraire.

En effet, la lutte contre la pédopornographie fait l’objet de discussions approfondies au niveau de l’Union. Mêmes maux, même remède : là encore la solution de listes noires visant à bloquer l’accès aux sites diffusant des images illégales est préconisée.

Dans cette communication de la Commission Européenne en date du 29 mars 2010, on relèvera cette mesure phare : « Des dispositifs devraient être mis au point afin de bloquer l’accès aux sites web à caractère pédopornographique. ».

Dans la même logique, on peut également consulter ce rapport du 22 décembre 2010 de la commission^[24]. On peut y lire, concernant la lutte contre les atteintes au droit d’auteur sur internet, que la « Commission pourrait examiner comment impliquer plus étroitement les intermédiaires, compte tenu de leur position favorable pour contribuer à prévenir les infractions en ligne et à y mettre fin ».

Nous ne sommes plus dans le domaine de la lutte contre la pédopornographie, mais les solutions envisagées sont similaires : impliquer les intervenants techniques, à savoir les fournisseurs d’accès, afin de faire bloquer certains contenus jugés illégaux.

Pourtant les études diverses et variées se multiplient pour arriver à la même conclusion : le blocage des sites, des domaines ou des adresses IP est inefficace. Un exemple supplémentaire pour illustrer ce propos est cette étude du 28 septembre 2010 menée par le groupe de travail allemand « AK Zensur » concernant les sites bloqués par les autorités danoises et suédoises. Leurs conclusions sont sans appel : seuls 2% des sites concernés contenaient des images pédopornographiques. Les 98% restants étaient des sites effacés, non attribués ou, pour 3,6% d’entre eux, simplement légaux.

S’attaquer aux conséquences plutôt qu’aux sources du problème, à défaut d’être efficace, présente néanmoins l’avantage d’être plus simple à aborder pour les décideurs. Et on peut au moins  reconnaître aux « listes noires » l’avantage d’être intellectuellement satisfaisantes pour le néophyte.

Au final, que ce soit pour des raisons politiques, des intérêts financiers ou simplement technologiques, la notion de neutralité d’internet est fortement mise à mal, à un moment où l’accès à ce réseau est élevé au rang de droit fondamental, au même titre que l’accès à l’éducation, par le Parlement européen.^[25]

Le futur d'internet ?

Notes et références

1. Si certains types de données devaient être prioritaires pour des raisons techniques, le principe de neutralité vise à garantir qu’il n’y ait pas de discrimination (soit de distinction partiale) entre des flux de données de même nature
2. Exemples recueillis sur Rue 89
3. Dossier complet de la Quadrature du Net
4. ibidem
5. Tim Berners-Lee, Weaving the Web : The Original Design and Ultimate Destiny of the World Wide Web by Its Inventor, 1999, p. 99
6. http://www.lemonde.fr/technologies/article/2010/04/14/la-neutralite-du-net-en-debat_1333301_651865.html
7. Les réponses qui y ont été apportées sont toujours consultables ici
8. http://pro.01net.com/editorial/524852/le-ps-propose-une-loi-sur-la-neutralite-du-net/
9. http://www.numerama.com/magazine/17799-laure-de-la-raudiere-ump-veut-imposer-le-respect-de-la-neutralite-du-net.html
10. Ibidem
11. http://fr.wikipedia.org/wiki/Neutralité_du_réseau#D.C3.A9veloppements_mettant_en_cause_la_neutra
12. Pour des justifications politiques et socio-économiques de la neutralité du Net : Ibidem
13. http://www.ecrans.fr/La-neutralite-du-net-bientot,11354.html
14. http://www.liberation.fr/economie/01012307983-google-en-position-dominante-en-france
15. http://eco.rue89.com/2010/08/05/google-est-pret-a-oublier-la-neutralite-du-net-161127 et http://www.lemonde.fr/technologies/article/2010/08/13/neutralite-du-net-google-defend-son-accord-avec-verizon_1398757_651865.html
16. http://www.lemonde.fr/technologies/article/2011/01/05/l-enquete-de-la-commission-europeenne-contre-google-a-commence_1461118_651865.html
17. http://www.lepoint.fr/high-tech-internet/google-va-cacher-les-sites-pirates-lors-des-recherches-02-12-2010-1270211_47.php
18. http://www.mediapart.fr/club/blog/olivier-ertzscheid/131210/geopolitique-du-web
19. http://www.numerama.com/magazine/17764-la-commission-europeenne-ouvre-la-porte-au-filtrage-contre-le-piratage.html
20. Vers la fin de l’Internet en illimité et une priorisation du trafic ? : http://www.degroupnews.com/actualite/n5693-neutralite-internet-filtrage-usa-gouvernement.html
21. The Australian Communications and Media Authority – http://www.acma.gov.au
22. Wikileaks.org – http://mirror.wikileaks.info
23. Ou LOPPSI
24. Rapport  de la commission au parlement européen, au conseil, au comité économique et social européen et au comité des régions, relatif à l’application de la directive 2004/48/CE du Parlement européen et du Conseil du 29 avril 2004 relative au respect des droits de propriété intellectuelle
25. http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P6-TA-2009-0194&format=XML&language=FR

L’instantanéité et la facilité d’accès à l’information qu’Internet a rendu possible a bouleversé les habitudes de consommation de médias.

Le bouleversement d’internet sur la consommation de médias:

Du jour au lendemain, là où il fallait attendre le matin et la publication des quotidiens pour avoir accès à l’actualité, on s’est retrouvé dans une situation où l’information s’est mise à tomber de manière instantanée dans les ordinateurs.

L’avènement des smartphones et de l’internet mobile a accentué ce bouleversement en permettant l’accès direct aux contenus depuis les poches des lecteurs. Lecteurs qui, équipés d’un téléphone connecté, n’ont même plus besoin de rechercher l’information puisqu’ils peuvent être informés par notifications push des événements les plus importants.

Un bouleversement pour le modèle économique de la presse:

Ce bouleversement de l’accès à l’information s’est accompagné de deux phénomènes: l’habitude du consommateur à la gratuité de l’information et le désintérêt pour les journaux traditionnels fournissant du contenu déjà désuet au moment de leur parution.

Certaines techniques ont été employées pour faire en sorte que les journaux traditionnels conservent un certain attrait. “Lemonde.fr” par exemple a toujours proposé un modèle dans lequel une certaine catégorie d’informations est gratuite et libre d’accès le jour de sa parution tandis que le reste du contenu n’est accèssible que moyennant un certain prix compris dans l’abonnement.

“Lefigaro.fr ” leur a emboité le pas quelques années plus tard en proposant un système d’abonnés premium ayant accès à un contenu plus riche, à une sorte de réseau social de l’information sur lequel il est possible de commenter et débattre les sujets évoqués par le journal.

“Le Monde” a aussi, à l’instar de “Courrier International“, proposé un résumé d’article, accessible dans les quotidiens gratuits tels que “Métro” ou “20 Minutes” afin de démontrer aux lecteurs que les journaux traditionnels proposaient un contenu plus complet et des analyses de l’actualité introuvable sur le modèle gratuit.

Si ces différentes techniques ont permis à ces grands groupes de presse de se maintenir, les dégâts engendrés par le modèle du web ont malgré tout été ressentis par la plupart des groupes de presse traditionnels (LeMonde a dû changer de direction, FranceSoir a failli fermer ses portes à plusieurs reprises, LaTribune est dans une situation économique très délicate et, plus récemment, Bakshish a été contraint de sortir son tout dernier numéro).

La révolution annoncée de la presse avec les tablettes:

Mais avec l’arrivé des tablettes tactiles à l’image de l’iPad d’Apple, c’est un Eldorado qui a semblé se dessiner pour beaucoup de groupes de presse.

Nombreux sont les journaux à avoir décidé de tenter leur chance sur l’iPad d’abord, puis sur la Samsung Galaxy Tab, et bientôt sur les dizaines de tablettes présentées lors du CES de Las Vegas de janvier 2011.

Si l’idée de proposer un contenu payant sur ces tablettes est apparu comme la solution permettant de retrouver un modèle économique viable, la pratique s’est révélée quelque peu différente.

Beaucoup de journaux et de magazines soucieux de prendre part à la révolution annoncée se sont rués sur l’iPad mais se sont heurtés à de nombreux problèmes.

Les problèmes qui ont accompagné l’arrivée des journaux sur les tablettes:

C’est tout d’abord l’agacement des lecteurs qui s’est le plus fait ressentir: afin de faire connaître les tablettes tactiles et ainsi s’assurer que le maximum de personnes en acquièrent, nombreux sont les articles à être sortis faisant la publicité de ces nouveaux appareils. Ainsi, avant même la sortie de l’iPad en France, les commentaires des lecteurs accompagnant ces articles faisaient pour la plupart état de leur exaspération quant à la publication d’articles jugés inadéquats pour des journalistes dont le rôle est d’être impartial^[1].

C’est en suite l’inadaptation au support qui a posé problème. Beaucoup de journaux qui voulaient être présents le plus rapidement possible se sont uniquement contentés de scanner la version physique de leurs éditions. Certaines applications étaient tellement buguées que le contenu y était tout simplement inaccessible.

Ce problème d’inadaptation a été pointé du doigt par les utilisateurs, par les observateurs qui n’ont pas manqué de signaler que proposer un scan de la version papier était absurde eu égard au fait que le contenu était accessible via le navigateur de la tablette, optimisé pour celle-ci, et surtout gratuitement, à l’inverse de la version scannée !

L’agacement a été tel, que Steve Jobs, CEO d’Apple Inc., le fabricant de l’iPad a pris part au débat en critiquant ouvertement l’application du New York Times qui a dû, de fait, revoir sa copie^[2].

Ce qui a sans doute représenté le problème principal est le système de paiement mis en place par Apple au sein de son AppStore. Celui-ci est n’est pas libre: il est de 0,79 centimes d’euros pour le premier prix, puis 1,59 euros pour le second, le tout comprenant toujours une commission de 30% pour Apple. Or, les journaux n’avaient pas du tout l’habitude de ces tarifs puisqu’un quotidien coûtait entre 1 euro et 1,50 euro, soit plus que le premier prix mais moins que le second^[3].

Malgré les négociations avec la firme de Cupertino, les groupes de presse n’ont pas réussi à obtenir une exception pour la vente de quotidiens. Les éditeurs se sont donc retrouvés face à un gros dilemme: perdre de l’argent par rapport au prix initial ou ne pas vendre de contenu électronique puisque plus cher que le contenu physique.

Certains, comme L’équipe ont tenté la seconde option avant de rebrousser chemin et préférer proposer une version moins chère que la version papier^[4].

D’autres ont décidé de s’opposer à cette politique et proposer un système de paiement en ligne, directement sur le site de l’éditeur, contre un identifiant et un mot de passe qu’il suffit de rentrer sur l’application téléchargée pour avoir accès au contenu. Ainsi, les éditeurs ont pu outrepasser la commission d’Apple et continuer à proposer une politique tarifaire semblable à leurs habitudes.

La réaction d’Apple: vers la mise en place d’un nouveau modèle de vente:

Cette technique, mise en place par de nombreux journaux, a permis au système de fonctionner plus ou moins pendant un temps. Mais c’était sans compter sur la réaction de la firme à la pomme qui, consciente de la manne qu’elle laissait filer, a décidé de mettre en place un nouveau système de paiement.

Cette nouvelle politique de paiement, dont on ne connait pas encore les tenants et les aboutissants, accompagne la création d’un journal spécialement dédié à la tablette, créé en collaboration entre Cupertino et Rupert Murdoch, et qui aura pour but d’être un exemple à suivre par les autres journaux^[5].

“The Daily”, sortira en même temps que l’iOS 4.3, prochaine mise à jour de l’OS de l’iPad, iPhone et iPod Touch et devrait utiliser pleinement les possibilités proposées par la tablette, un peu à l’image du journal The Project de Richard Branson (le fondateur de Virgin) qui a devancé la sortie de la version de Rupert Murdoch^[6].

Cette nouvelle politique tarifaire sera vraisemblablement la seule autorisée sur l’AppStore pour les journaux électroniques puisque le journal néerlandais Volksrant a dévoilé qu’Apple exerçait des pressions sur les groupes de presses pour qu’ils mettent fin au système d’abonnement aux journaux mis en place par la plupart, qui ne s’acquittent pas des 30% de commission de la pomme.^[7]

La mise à jour d’iOS étant désormais attendue pour le mois de Mars, les différents journaux vont peut être appliquer les nouvelles règles qu’Apple semble vouloir mettre en place et nous serons, dès lors, face à un modèle de vente différent de celui que nous connaissons aujourd’hui.

Ce qu’il faut espérer est que ce modèle soit synonyme de renouveau pour la presse et non de diktat de la part d’Apple qui doit continuer à se contenter d’être un simple distributeur avec sa boutique.

Si l’iPad semblait être au moment de sa sortie une aubaine pour la presse, il n’a pas encore prouvé tout son potentiel. Et l’attitude d’Apple au moment où de nombreux concurrents arrivent sur le marché est à double tranchant: soit cela fonctionne, soit les éditeurs quitteront la plateforme d’Apple pour de tourner vers des concurrents plus opensource comme Android de Google.

Il faudra suivre de près l’arrivée de “The Daily” pour savoir si le modèle sera enfin capable de rivaliser avec la presse papier de manière pérenne et sauver la presse traditionnelle.

Notes et références

1. lire LeFigaro.fr et les commentaires à suite
2. lire Mac4ever
3. Voir LeFigaro.fr
4. lire Mac4ever
5. lire 20 Minutes
6. lire FrenchWeb.fr
7. voir iGeneration.fr

Le comité

Le FTTH Council Europe est un comité industriel (140 entreprises) ayant pour vocation d’accélérer le déploiement des réseaux d’accès à haut débit par fibre optique, au profit du grand public et des entreprises.
Le Conseil assure la promotion de cette technologie, convaincu qu’en ouvrant la voie à tout un éventail de nouveaux services, le FTTH (Fiber To The Home / la fibre optique à domicile) sera synonyme d’avancées significatives en termes de qualité de vie, d’impact environnemental et de compétitivité.

Les données du rapport

Tout en soulignant une progression de 22 % du nombre d’abonnés au très haut débit en Europe depuis ces six derniers mois, l’étude révèle que dans la course au très haut débit, les disparités entre les États se creusent, engendrant ainsi une véritable fracture numérique entre ces derniers.

Le classement établi par le FTTH Concil Europe inclut les pays où plus d’ 1% des ménages ont souscrit à un abonnement à très haut débit via la fibre optique. Or, seuls 17 États européens figurent dans ce classement : en sont absent des États comme le Royaume-Uni, l’Allemagne et l’Espagne aussi surprenant que cela puisse paraître. Le trio de tête est composé de la Lituanie (20,96 % ; 284 400 abonnés), de la Suède (12,93 % ; 569 000 abonnés) et de la Norvège (12,03 % ; 240 689 abonnés).

L’état du très haut débit en France

Si l’on se réfère aux données de cette étude, le taux de pénétration de la fibre optique en France est de 1,46% au mois de juin 2010, ce qui représente un peu plus de 371 300 abonnements FTTH.

Le Président de la République, ayant exprimé sa volonté de voir l’ensemble de la population raccordée au très haut débit d’ici 2025 ( avec un objectif de 70% des foyers dans 10 ans), en a prévu le financement par le Grand Emprunt.^[1] D’autres mesures ont pu être proposées, à l’instar d’une taxe sur les forfaits Internet / mobiles et produits high-tech (TV, consoles).^[2][3]

Notes et références

1. http://www.numerama.com/magazine/14706-grand-emprunt-45-milliards-d-euros-consacres-a-l-economie-numerique.html
2. http://www.pcinpact.com/actu/news/60062-financer-fibre-optique-taxes-fai-operateurs-mobiles.htm
3. Source de l’illustration : http://www.cite-sciences.fr/innovanews/tag/tres-haut-debit/

Dans les faits, trois salariés se sont fait licencier après avoir critiqués leurs supérieurs hiérarchiques par des propos tenus sur le site Facebook, propos transmis à la direction par un autre salarié qui avait effectué une copie desdits messages. Il semblerait, en effet, que le premier ait posté sur son profil un statut dont le message indiquait « un club des néfastes », ce à quoi deux autres salariés répondaient : « bienvenue au club ». L’employeur a invoqué à l’appui d’un tel licenciement  « l’incitation à la rébellion et au dénigrement de l’entreprise ». Deux des trois salariés ont contestés leurs licenciements devant le Conseil des Prud’hommes dont les juges n’ont su se départager la première fois, renvoyant leur décision à une date ultérieure, sous la présidence d’un magistrat du tribunal d’instance qui jouera le rôle du juge départiteur.

Dans l’état actuel de nos législations, un salarié a le droit au respect de sa vie privé et un fait tiré de sa vie privé ne peut faire l’objet d’une sanction telle que le licenciement; cependant, un tel fait pourrait être sanctionné par l’employeur s’il s’avérait en lien avec l’activité de l’entreprise et s’il venait à causer un trouble objectif à l’entreprise^[1]. Afin de déterminer l’objectivité d’un tel trouble, la jurisprudence s’appuie sur des critères tels que les caractéristiques et la finalité propre de l’entreprise ainsi que sur la nature des fonctions exercées par le salarié dans l’entreprise.

Par ailleurs, le salarié conserve également le secret de sa correspondance privée, et ce, même durant son temps de travail, à l’exception de circonstances exceptionnelles, strictement encadrées : l’employeur ne pourra consulter cette correspondance que si le salarié est présent ou s’il a été dûment appelé^[2].

Le problème est légèrement plus complexe qu’il n’y parait : si des propos tirés de messages privés ne peuvent constituer, a priori, une faute pouvant justifier un licenciement, il n’en est peut-être pas de même pour des messages qui apparaissent sur le « mur » du profil Facebook d’une personne, et qui sont visibles par le public au moins de façon restreinte (seuls les « amis » Facebook d’une personne sont sensés avoir accès à un tel mur, sauf paramétrage différent du compte Facebok).

La question est donc de savoir si de tels messages, accessibles par un public restreint, peuvent constituer une faute justifiant un licenciement, lorsque ceux-ci inciteraient « à la rébellion et au dénigrement de l’entreprise ».

Il faut préciser qu’une personne s’étant constitué un compte/profil Facebook peut paramétrer les différentes options de confidentialités comme il le souhaite. Il peut donc, à ce titre, paramétrer la visibilité de son profil et choisir les personnes ou groupe de personnes qui pourront accéder à sa page ainsi qu’aux messages qu’il y postera. Il y a donc un contrôle de l’émetteur de tels messages vers les destinataires. Au vu de ses éléments, on peut se demander si l’on est encore dans le cadre d’une correspondance privée ou si l’on excède cet encadrement, ce qui pourrait initier un fondement aux justifications qui appuient le licenciement. En outre, on peut s’interroger sur le fait de savoir si critiquer ses employeurs avec des collègues de travail peut fonder un motif légitime de licenciement.

Nous avons bien là, l’illustration de nouveaux comportements engendrés par les sites internet du genre réseau social, suscitant des discussions qui devront être éclairées très prochainement par les juges. Et si nous sommes encore dans l’attente d’une réponse à un tel problème^[3], il y a de bonnes raisons de croire que nous sommes face à un licenciement abusif.

Notes et références

1. Arrêts de la Chambre sociale de la Cour de cassation du 16 Décembre 1997, N° de pourvoi : 95-41326 et du 16 Décembre 1998, N° de pourvoi 96-43540
2. Arrêt de la Chambre sociale de la Cour de cassation du 2 Octobre 2001, N° de pourvoi : 99-42942
3. Si nous attendons la réponse du Conseil des Prud’hommes sous la présidence d’un magistrat du tribunal d’instance avec le rôle de juge départiteur, une tentative de réponse a été apporté par l’avocat Vincent Dufief sur son blog

On connait les milles-et-uns reproches que l’on peut adresser à la loi HADOPI 1, parmi un univers de questions techniques, juridiques et même d’opportunité.

Mais parmi ces éléments reste une question centrale : dans quelle mesure une adresse IP (collectée sur un réseau peer to peer) peut-elle être rattachée au titulaire de l’abonnement à Internet ?

La meilleure façon d’y répondre, selon la loi HADOPI, est encore de ne pas se poser la question, c’est-à-dire d’y répondre par la présomption que derrière une adresse IP se cache toujours un abonné. Au plus parle-t-on de « moyens de sécurisation » de la connexion (dont les spécifications ne sont pas parues au Journal officiel), signe qu’il y aurait bien une défaillance technique….

L’adresse IP, une donnée personnelle ? Peut-être pas aujourd’hui…

Lorsqu’elle s’y attaque, la loi peut toutefois répondre que l’adresse IP est une donnée à caractère personnel^[1] :

« Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. »

Pour la CNIL, l’adresse IP est bien sûr une donnée à caractère personnel, en ce qu’elle « permet d’identifier indirectement la personne physique titulaire d’un abonnement à Internet »^[2]. Elle en est cela soutenue par quelques décisions d’instance^[3].

Le problème de cette qualification protectrice de la vie privée, c’est que les poursuites contre des « pirates » ont toutes été rejetées. En effet, l’adresse IP n’est une « preuve » recevable que si les autorités de poursuite^[4] peuvent fournir une autorisation de la Commission nationale Informatique et Libertés pour les bases de données qui ont été mises en place pour détecter les pirates sur les réseaux peer to peeer.

Cela n’a jamais été le cas : ces fichiers de surveillance automatisée avaient été établis en toute illégalité, et les « pirates » pouvaient donc continuer à télécharger tranquillement.

C’est sans doute la raison pour laquelle d’autres juridictions ont considéré au contraire que l’adresse IP n’était pas une donnée à caractère personnel, pour mieux accueillir les plaintes en contrefaçon^[5], aidées en cela par un changement de pratique des agents assermentés. En effet, plutôt que d’enregistrer l’IP dans une base de données qui n’avait pas reçu d’autorisation, ces mêmes agents notent maintenant l’adresse IP directement sur le procès-verbal, sans faire intervenir aucun traitement automatisé de données.

Pas de traitement automatisé, donc pas d’autorisation nécessaire de la CNIL, donc procédure (a priori) valable.

Si on considère que l’adresse IP n’est pas une donnée personnelle, on ne peut pas décemment déduire de l’adresse IP l’identité de la personne ; constater la présence de l’adresse IP en train de télécharger un contenu permettait seulement de constater la matérialité de l’infraction^[6], la question de l’identification étant laissée au fournisseur d’accès à Internet qui a attribué cette adresse IP a un de ses abonnés^[7].

C’est cela qui fut validé par la Cour de cassation, par deux arrêts de la Chambre criminelle^[8]. La Cour d’appel de Paris n’a pas opposé de résistance^[9].

L’adresse IP, une donnée identifiant la personne ? Certainement pas demain !

Tout cela, c’était avant les lois HADOPI 1 et 2.

Ce qui change avec ces lois, c’est la légalisation de fichiers de surveillance automatisée des réseaux peer to peer, automatisant le recueil et l’examen des adresses IP, afin de systématiser l’identification des auteurs des faits constatés et de simplifier leur sanction.

À tel point que plutôt que de réprimer le téléchargement illégal (c’est-à-dire la contrefaçon), on a préféré créer un manquement de la personne titulaire de l’accès à « l’obligation de veiller à ce que cet accès ne fasse pas l’objet d’une utilisation [à des fins de contrefaçon] », non sanctionné pénalement. À moins, toutefois, que la commission de protection des droits de l’HADOPI n’ait adressé une recommandation à l’abonné, faisant preuve d’une « négligence caractérisée »^[10].

À n’en pas douter, la simplification est au rendez-vous !… Mais à force de simplifier, ce qui était solide ne repose plus que sur des pieds d’argile !

Notamment, il avait été invoqué lors du débat de ces lois au Parlement qu’une adresse IP était aisément falsifiable.

La première méthode, c’est le VPN (Virtual Private Network, réseau privé virtuel), qui permet à l’abonné d’utiliser sa connexion Internet pour se connecter à un serveur (tunnel), à partir duquel l’abonné échangera des données : l’adresse IP qui sera diffusée publiquement sera donc l’adresse IP du serveur distant, et non celle fournie par son fournisseur d’accès à Internet.

La seconde réside en « l’injection » d’adresses IP dans un téléchargement. C’est ce qu’un code poétiquement baptisé « Seedfuck » propose : générer aléatoirement (ou non) des adresses IP et faire croire à tout observateur sur le réseau peer to peer (comme un agent assermenté) que cette adresse IP échange des données, ce qui amènerait le collège de la protection des droits de la HADOPI à intervenir.

L’idée est qu’en multipliant le nombre d’adresses IP à examiner, la HADOPI verrait exploser ses coûts de fonctionnement, en même temps qu’un ralentissement de son activité, et surtout, devrait faire face à la sanction de personnes innocentes, qui n’auraient pas téléchargé, mais dont un fournisseur d’accès pourrait néanmoins attester qu’il a attribué cette adresse à un de ses agonnés au moment du téléchargement simulé.

On a cherché à convaincre que la sanction de cette pratique pourrait se faire sur le fondement de l’article 434-23 alinéa 1 du Code pénal, qui dispose :

« Le fait de prendre le nom d’un tiers, dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales, est puni de cinq ans d’emprisonnement et de 75 000 € d’amende. »

Ce délit nécessite d’abord pour être constitué la prise du nom d’un tiers réellement existant^[11]. Le principe d’interprétation stricte de la loi pénale^[12], interdit que l’on puisse tordre la règle jusqu’à considérer que l’adresse IP serait une caractéristique du nom, alors même que l’on souhaite assurer la plus grande prévisibilité dans l’application de la règle. Inutile donc d’essayer de lire « donnée à caractère personnel » là où figure, simplement, « nom », une notion qui signifie spontanément quelque chose à tout le monde.

En revanche, cette disposition est technologiquement neutre : si la prise du nom s’effectue par une adresse de courrier électronique^[13] ou sur des réseaux sociaux (Facebook ou Twitter), le délit d’usurpation d’identité peut naturellement trouver à s’appliquer. Finalement, en l’état actuel du droit, et pour aussi condamnable que puisse être l’effet du « Seedfuck » il me semble que les victimes de ces pratiques n’auraient donc aucun recours en droit pénal.

Cela ne sera peut-être qu’un bref répit pour les pirates ! En effet, le projet de loi d’orientation et de programmation pour la performance (dit « LOPPSI 2 ») propose justement la création d’un nouvel article 226-16-1 au Code pénal, qui disposerait (après son adoption en 1ère lecture par l’Assemblée Nationale le 16 février 2010) :

«Le fait de faire usage, sur un réseau de communications électroniques, de l’identité d’un tiers ou de données de toute nature permettant de l’identifier, en vue de troubler la tranquillité de cette personne ou d’autrui, est puni d’un an d’emprisonnement et de 15 000 € d’amende.

« Est puni de la même peine le fait de faire usage, sur un réseau de communications électroniques, de l’identité d’un tiers ou de données de toute nature permettant de l’identifier, en vue de porter atteinte à son honneur ou à sa considération. »

Si bien sûr cette nouvelle infraction a été conçue sur mesure pour l’usurpation sur Internet, sa rédaction est imprécise : qu’entend-t-on par « des données de toute nature permettant de l’identifier » ? S’agit-il simplement du pseudo, qui permet une identification sur de nombreux sites, ou cela va-t-il jusqu’à l’adresse IP ? Qui doit pouvoir identifier la personne : tous les internautes, seulement l’administrateur du site ? Seul le fournisseur d’accès à Internet, en tout cas, peut identifier personnellement son abonné avec son adresse IP.

On notera également qu’il ne s’agit plus de faire entrainer le risque de poursuites pénales à un tiers, mais seulement d’en troubler la tranquillité ou de porter atteinte à son honneur ou à sa considération. Difficile d’invoquer le harcèlement tout en riposte graduée de la HADOPI pour caractériser le trouble à la tranquillité ; difficile également d’invoquer une atteinte à l’honneur ou à la considération résultant de l’envoi de recommandations par correspondance privée.

Pour revenir sur la question de fond, on peut douter que l’HADOPI subisse le moindre effet de ce stratagème. Ce sont les agents assermentés aux services des sociétés de perception et de répartition des droits qui iront collecter les adresses IP sur les réseaux peer to peer : un récent rapport de la Commission permanente de contrôle des sociétés de perception et de répartition des droits auprès de la Cour des comptes a montré qu’elles avaient les moyens de recourir à des solutions techniques performantes.

Le problème, naturellement, se trouve du côté des « faux positifs », qui se verraient accusés à tort de téléchargement. Malgré les difficultés de preuve, ils ne seraient pas cependant pas démunis et pourraient recourir à l’utilisation de la « super base de données » des hébergeurs de l’article L. 34-1 II du Code des postes et communications électroniques, déjà mise à disposition de la HADOPI, qui contiendra les véritables informations relatives à l’usage de la connexion par l’abonné… à moins que le Wi-Fi domestique ne soit piraté !

Encore faudrait-il prendre « Seedfuck » pour ce qu’il est : un proof of concept, c’est-à-dire une preuve par l’exemple que l’on peut falsifier les adresses IP dans un réseau peer to peer… Rien de plus, rien de moins.

*

*                   *

MISE À JOUR : Éric Freyssinet, actuellement chargé des projets cybercriminalité à la Direction Générale de la Gendarmerie Nationale, me signale par Twitter que j’ai oublié un article 24 undecies du projet de loi LOPSSI 2 qui crée, dans sa version adoptée par l’Assemblée Nationale en première lecture, un article 434-23-1 qui dispose :

Le fait de faire usage de l’identité d’un tiers, ou de données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération est puni d’un an d’emprisonnement et de 15 000 € d’amende.

Cette nouvelle incrimination a été créée par voie d’amendement pour élargir les hypothèses d’usurpation d’identité au trouble à la tranquillité et à l’atteinte à l’honneur ou à la considération, alors que l’actuelle incrimination posée à l’article 434-23 restreint l’usurpation aux simples hypothèses dans lesquelles l’identité de la victime serait utilisée pour diriger contre elle des poursuites pénales. Elle serait également valable sur Internet puisque sont comprises les “données” permettant d’identifier la victime.

Néanmoins, dans la mesure où il s’agit d’une combinaison différente des mêmes éléments constitutifs commentés plus haut, cette incrimination n’a qu’un apport  limité. La seule différence réside dans le fait qu’une “confusion” est possible entre usurpation dans l’univers physiques et usurpation dans l’univers numérique, sans doute pour mieux sanctionner l’ensemble, mais en restant limité aux hypothèses finalement les moins graves. Néanmoins, ce projet d’article me parait mieux rédigé et plus opportun pour les autorités de poursuite que l’éventuel futur article 226-16-1…

A lire également

• Excellente rétrospective d’Olivier Laurelli sur ReadWriteWeb France.

Notes et références

1. Loi n°78-17 du 6 janvier 1978 modifiée, article 2
2. CNIL, Délib. n°2006-294, 21 décembre 2006, Délibération autorisant la mise en œuvre par l’Association de Lutte contre la Piraterie Audiovisuelle LPA d’un traitement de données à caractère personnel ayant pour finalité principale la recherche des auteurs de contrefaçons audiovisuelles
3. TGI Bobigny, 14 décembre 2006, Legalis.net : « l’adresse IP constitue une donnée à caractère personnel en ce qu’elle permet d’identifier une personne en indiquant sans doute possible un ordinateur précis » ; TGI Saint-Brieuc, 6 septembre 2007, Juriscom.net : analogie avec le numéro de téléphone ; TGI Paris, ord. réf., 24 décembre 2007, Legalis.net
4. En réalité les agents assermentés des sociétés de perception et de répartition des droits : SACEM, SDRM, SCCP…
5. TGI Montauban, 9 mars 2007, Legalis.net ; CA Paris, 27 avril 2007, Legalis.net ; CA Paris, 15 mai 2007, Legalis.net : « cette série de chiffre en effet ne constitue en rien une donnée indirectement nominative relative à la personne dans la mesure où elle ne se rapporte qu’à une machine, et non à l’individu qui utilise l’ordinateur pour se livrer à la contrefaçon »
6. Simple rappel, en réalité, de l’article L. 331-2 du Code de la propriété intellectuelle
7. V. CA Paris, 1er février 2010, Legalis.net
8. Cass. Crim., 13 janvier 2009, pourvoi n°08-84088 ; Cass. Crim., 16 juin 2009, pourvoi n°08-88560
9. CA Paris, 1er février 2010, Legalis.net
10. Code de la propriété intellectuelle, article L. 335-7-1
11. Cass. Crim., 13 mai 1991, pourvoi n°90-86419
12. Code pénal, article 111-4
13. Comme dans Cass. Crim., 20 janvier 2009, Legalis.net, sur renvoi après cassation par Cass. Crim. 30 mai 2007, Legalis.net

Ainsi, comment des analystes externes à une entreprise peuvent-ils s’informer sur les capacités techniques d’une entreprise, sur ses projets en cours ou à venir, sans jamais orienter quelconque investigation vers les systèmes informatiques de cette même entreprise ? Plusieurs pistes sont envisageables.

Une première méthode consiste, pour l’analyste, à ausculter les offres d’emploi émises par l’entreprise ciblée. Ces offres recèlent une double information : tout d’abord, les domaines de compétence sur laquelle l’entreprise accroit ses activités, ensuite, les caractéristiques même des services que l’entreprise développe, révélées par les compétences exigées dans les offres d’emploi.

Une seconde méthode consiste à analyser l’évolution des contrats et conditions générales de vente produites par l’entreprise. Ces contrats sont révélateurs de nombreuses informations, y compris, et surtout, des faiblesses potentielles de l’entreprise, ces contrats servant notamment à écarter des risques commerciaux avec les clients, fournisseurs et partenaires.

Cette analyse potentielle est grandement facilitée par l’obligation légale formulée à l’article L441-6 du Code de commerce : « Tout producteur, prestataire de services, grossiste ou importateur est tenu de communiquer ses conditions générales de vente à tout acheteur de produits ou tout demandeur de prestations de services qui en fait la demande pour une activité professionnelle ».

Une troisième pratique porte à détailler l’ensemble des CV des employés et ex-employés travaillant, ou ayant travaillé, au sein de l’entreprise ciblée. L’information diffusée au travers des CV des employés est difficilement contrôlable pour l’employeur. En effet, la constitution du CV est purement le fait de l’employé, et non celui de l’entreprise. Conséquence immédiate : de nombreux employés n’hésitent pas à enrichir et détailler les compétences et projets réalisés au sein de leur entreprise, laissant également fuir des informations cruciales sur les activités internes de la société ou sur ses équipements.

Une quatrième méthode s’appuie sur l’analyse des références publiées par les sous-traitants et partenaires, en lien avec la société auscultée. Ces références se résument bien souvent à l’utilisation d’un logo, et de la mention du nom de la société, mais elles peuvent aussi prendre l’apparence « d’études de cas », qui sont généralement riches en information techniques et commerciales.

La fuite de ces informations n’est pas le fait de faiblesses inhérentes aux systèmes informatiques des entreprises.

La sécurité de l’information est organisationnelle, et elle peut s’appuyer sur des techniques issues de la sécurité informatique pour renforcer son efficacité. Une société peut mettre en œuvre des outils d’analyse du web, à la recherche de mots clefs qui feraient ressortir un signal d’alarme si un certain contenu dépasse le nombre de mots-clefs sensibles autorisés, de la même manière que les systèmes de détection d’intrusion rapportent les contenus malveillants et potentiellement dangereux.

De même, les procédures organisationnelles relatives à l’utilisation des ressources informatiques, visant à renforcer la sécurité des systèmes d’information, pourraient aussi s’adapter au domaine du contrôle de l’information : sensibilisation des salariés, mise en garde quant au contenu diffusé, et l’adhésion à des chartes sont des outils potentiels pour réduire le risque des fuites d’information.

La maîtrise de l’information publique ou grise est donc un enjeu pour les grandes entreprises. C’est pourquoi, à l’instar des sociétés spécialisées dans l’externalisation de la protection informatique, émergent des sociétés spécialisées dans l’externalisation de l’analyse de l’information publique ou semi-publique, dont les services sont proches de celles proposant un contrôle de l’e-reputation.

Ces prestations de services sont toutefois mal comprises des grandes entreprises, notamment du fait que leur valeur ajoutée n’est pas clairement définie. Nous sommes plus proches, ici, des services d’assurance que de services de création de valeur ou  innovants.

La cybercriminalité désigne à la fois les attaques de tout type sur les systèmes informatiques (virus, tentatives d’intrusion…), la diffusion de contenus illégaux (racisme, pédophilie…), l’usurpation d’identité numérique, l’escroquerie en ligne, le cyber-blanchiment d’argent, la question des atteintes aux droits de la propriété intellectuelle… Les cyber-attaques peuvent avoir trois types de conséquences : des conséquences économiques, la perturbation d’infrastructures essentielles et des menaces pour la sécurité nationale des Etats.

Ce nouveau type de menace implique évidemment de nombreux acteurs qui ont un rôle à jouer sur la gouvernance de l’Internet : On y trouve les Etats, le secteur privé et la société civile.

Ces derniers doivent alors élaborer et appliquer dans le cadre de leurs rôles respectifs, des principes/normes/règles/programmes communs destinés à assurer et à garantir une « meilleure » utilisation d’internet, notamment en terme de sécurité. Ces acteurs ont très vite senti la nécessité de mener une action internationale, collective et concertée et de prendre des mesures harmonisées pour mener à bien cette bataille contre ce nouveau fléau menaçant le cyberespace.

faut cependant attendre 2001 pour que véritablement apparaisse la première idée d’un « ordre universel sur le cyberespace ». Cet idéal à atteindre a été lancé par la World Federation of Scientists et désignait par « ordre universel sur le cyberespace » un concept prioritaire pour gérer l’ère numérique et maîtriser les diverses menaces, allant de la cybercriminalité à la cyberguerre. Mais quel organisme international accepterait de coordonner des actions en la matière ? Ce sont les Nations Unies qui ont accepté cette lourde tache, notamment à travers de nombreuses initiatives telle que l’organisation de sommets mondiaux sur la société de l’information, et la mise en place de travaux concernant la cybercriminalité en coordination avec de nombreux organismes (l’UIT, Conseil de l’Europe…).

Ce mouvement insufflé par les Nations Unies mène donc activement, depuis 2001, sa mission à bien.

I. Des SMSI à la Convention Cybercrime

A. Solutions théoriques définies par le SMSI et lignes de conduites à suivre

Dès les années 80, une action concertée de la communauté internationale et des mesures harmonisées mises en place par de nombreux Etats pour gérer la criminalité internationale ont été envisagées.

En 2001, la World Federation of Scientists avança la première l’idée d’un « ordre universel sur le cyberespace ». Depuis, cette idée a fait son chemin avec la publication de l’Institut des Nations Unies pour la formation et la recherche (UNITAR). L’une des recommandations de la World Federation of Scientists souligne, en effet, qu’en raison de son caractère universel, le système des Nations Unies devrait diriger les activités intergouvernementales sur le fonctionnement et la protection du cyberespace.

Par chance, l’ONU semble décider à jouer un rôle majeur, puisque elle a confié à l’UIT (Union Internationale de Télécommunications), qui constitue son institution spécialisée en la matière, l’ensemble des questions inhérentes à la gouvernance de l’Internet et de certaines problématiques telles que la cybercriminalité ou encore la gestion des technologies de l’information et de la communication.

Le forum né de cette symbiose entre UIT et ONU a été appelé Sommet Mondial de la Société de l’Information (SMSI) et s’est déroulé en deux phases. La première, s’est tenue à Genève du 10 au 12 décembre 2003 et  avait pour but d’adopter une déclaration de principe et un plan d’action. La seconde, à Tunis en novembre 2005, visait à approfondir les thèmes liés au développement et à effectuer une première évaluation des actions mises en œuvre depuis le Sommet de Genève ; ces deux textes principaux étaient l’Engagement et l’Agenda de Tunis.

En vertu des articles 35 et 36 de la Déclaration issue du SMSI de Genève, «…Une culture globale de la cybersécurité doit être encouragée, développée et mise en oeuvre en coopération avec tous les partenaires et tous les organismes internationaux compétents… », «…Il est nécessaire d’éviter que les ressources et les technologies de l’information soient utilisées à des fins criminelles ou terroristes, tout en respectant les droits de l’homme… ».

Pourtant, c’est l’Agenda de Tunis issue du SMSI de 2005 qui insiste plus particulièrement sur la question de la cybersécurité à plusieurs reprises dans son texte  :

« …nous nous engageons à assurer la stabilité et la sécurité de l’Internet en tant que ressource mondiale et à garantir la nécessaire légitimité de sa gouvernance, sur la base de la participation pleine et entière de toutes les parties prenantes… » (art.31),

« …Nous cherchons à instaurer un climat de confiance et de sécurité pour l’utilisation des TIC…Nous réaffirmons qu’une culture mondiale de la cybersécurité doit être encouragée, développée et mise en oeuvre en collaboration avec toutes les parties prenantes comme défini par l’Assemblée générale des Nations Unies dans sa Résolution 57/239… » (art.35),

« …Nous affirmons que les mesures prises pour garantir la stabilité et la sécurité de l’Internet et pour lutter contre la cybercriminalité et le spam doivent respecter la vie privée et la liberté d’expression… » (art.42),

« …Nous affirmons qu’il est nécessaire de trouver un terrain d’entente sur les questions se rapportant à la sécurité de l’Internet et d’accroître la coopération… » (art.45)…

L’Agenda de Tunis a également lancé l’idée de l’organisation d’un Forum sur la Gouvernance de l’Internet (Internet Government Forum -IGF) dont la mission vise à traiter « …des questions de politique publique relatives aux principaux éléments de la gouvernance de l’Internet afin de contribuer à la viabilité, à la robustesse, à la sécurité, à la stabilité et au développement de l’Internet… » (art.72).

Le premier IGF s’est mise en place à Athènes du 30 octobre au 2 novembre 2006. Les questions de la sécurité, l’authentification et d’identification ont été discutées durant ce forum. De plus, le rôle de l’utilisateur et le besoin d’une coopération internationale pour une gouvernance plus efficace en matière de sécurité ont été de nouveau mis en exergue.

En novembre 2007, la 2^ème IGF s’est tenue à Rio de Janeiro. La discussion principale concernait l’aspect législatif de la problématique de la sécurité sur Internet. La conclusion a été la suivante : Les législations nationales sont assez prévoyantes en matière d’infractions commises sur Internet mais elles ne doivent pas aller néanmoins jusqu’à une « hyper-réglementation »; l’importance d’une coopération internationale constituait une fois de plus un sujet capital et elle a été examinée lors de ce Forum sous l’angle des entraves rencontrées à son application (notamment des questions financières, adaptation des juges et de la police à l’environnement numérique et au cyberespace etc…).

Les deux derniers Forums prévus ont eu lieu du 3 au 6 décembre 2008 en Inde et du 15 au 18 novembre 2009 en Egypte.

Le dernier forum qui s’est tenu en Egypte à Sharm el Sheik s’attachait plus spécifiquement à trouver un consensus sur la protection et la sécurité de l’enfant sur internet, la pénalisation de la vente en ligne de médicaments contrefaits ou encore à renforcer la protection et le respect des droits de l’homme et de la démocratie sur Internet.

En outre, le Conseil de l’Europe s’est efforcé d’obtenir l’adhésion d’Etats qui ne sont pas membres de l’Organisation à des conventions internationales telles que la Convention sur la cybercriminalité, la Convention sur la protection des enfants contre l’exploitation et les abus sexuels ou encore la Convention pour la prévention du terrorisme.

En tout état de cause, ce dernier forum a eu un mérite. La Commission Européenne a en effet accueilli favorablement une étape essentielle vers un internet véritablement mondial à travers l’annonce de l’introduction des «noms de domaine internationalisés». Jusqu’à présent, les noms de domaines internet n’étaient entièrement ou partiellement composés que de caractères latins (A à Z). L’ICANN (Internet Corporation for Assigned Names and Numbers), organisme qui gère le répertoire principal de l’internet, a annoncé qu’une procédure accélérée serait mise en place aujourd’hui pour que les domaines nationaux de premier niveau («.eu» dans l’adresse «europa.eu» par exemple) puissent contenir des caractères non latins. Cela signifie que certains Européens, notamment les Grecs, les Bulgares et les Chypriotes, pourront dorénavant visualiser les noms de domaine dans leurs propres alphabets. Cela représente une avancée importante en faveur du multilinguisme.

Malgré tout, ne risque-t-on pas d’assister comme le soulignent certaines critiques à une « balkanisation », une fragmentation de la Toile pouvant  mise à profit par les Etats non démocratiques en profitant d’un espace fermé ?

Une nouvelle convention contre la contrefaçon de produits médicaux et crimes similaires est en train d’être préparée en mettant l’accent sur la protection de la santé publique. Elle devrait être ouverte à la signature en 2010 lors du 5ème IGF qui se tiendra en Lituanie à Vilnius du 14 au 17 septembre 2010.

L’Union internationale des télécommunications (UIT) mérite une attention particulière dans ce processus, non seulement en tant qu’organisateur du Sommet mondial sur la société de l’information mais aussi en tant que principal dépositaire multilatéral des questions de cybersécurité. L’approche multipartite nécessaire pour s’attaquer aux problèmes de cybersécurité est ancrée dans ses traditions puisqu’il est un pôle de convergence mondial où se retrouvent pouvoirs publics/secteur privé. En adoptant récemment le Global Cybersecurity Agenda – qui vise à réduire la cybercriminalité dans un délai de deux ans – et en mettant en ligne le Portail cybersécurité (Cybersecurity Gateway), l’UIT remplit remarquablement son rôle de direction pour les questions de cybersécurité et pour la mise en œuvre du SMSI. Elle a tout le potentiel pour devenir la principale instance globale d’information sur ces activités. D’autres institutions participent à l’organisation des SMSI : La Commission de la science et de la technique au service du développement ou encore le Groupe des Nations Unies sur la société de l’information.

Enfin, le multipartisme de ces Sommets et Forums demeurant leur « caractéristique » principale, c’est pour cette raison qu’il faut aussi évoquer les acteurs de la Société de l’Information, en dehors de l’ONU, que sont les participants des SMSI et  IFG :

• Gouvernements (plus de 150 représentants de gouvernement, y compris plus de 40 chefs d’Etat ou de Gouvernement, ont pris la parole dans le cadre de la deuxième phase du SMSI à Tunis).
• Société civile (syndicats, médias, créateurs et acteurs culturels, pouvoirs publics locaux et municipaux, ONG, représentant des peuples autochtones, des personnes handicapées,  de différents groupes tel que le groupe sur les droits de l’homme, groupe sur la gouvernance de l’Internet, etc.).
• (Groupe de coordination des interlocuteurs commerciaux (CCBI), présidé par la Chambre de commerce internationale (CCI).
• Organisations Internationaux diverses (ex. Conseil de l’Europe, OIF, Ligue Arabe).

B. Les applications concrètes dans la lutte contre la cybercriminalité.

L’ensemble des textes issus des 2 SMSI et les 4 IGF illustrent, malgré l’absence de valeur juridique contraignante, la « bonne volonté » des acteurs de la gouvernance de l’Internet. Pour l’instant, le seul accord international dédié à la lutte contre la cybercriminalité informatique véritablement « contraignant » et efficace sur le plan international est la Convention sur la Cybercriminalité du Conseil de l’Europe adoptée en 2001 avec son Protocole Additionnel de 2003 relatif à l’incrimination d’actes de nature raciste et xénophobe commis par le biais des systèmes informatiques.

La Convention est le fruit de 4 années de travail d’un Comité d’experts du Conseil de l’Europe, auxquels étaient associés des experts des Etats-Unis, du Canada, du Japon et d’autres Etats non-membres du Conseil de l’Europe (ex. Afrique du Sud) dite « Comité d’experts sur la criminalité dans le cyberespace ».

La Convention a finalement été ouverte à la signature à Bucarest le 23 novembre 2001 et a été signée le 30 septembre 2004 par 30 Etats du Conseil de l’Europe  ainsi que par 4 pays non européens. Les trois axes de réglementation qu’elle préconise sont :

1. l’harmonisation des législations nationales concernant la définition des infractions sur Internet ;
2. la définition de moyens d’enquêtes et des poursuites pénales adaptées à la mondialisation des réseaux ;
3. la mise en place d’un régime rapide et efficace de coopération internationale.

Selon le texte de la Convention les infractions commises par le biais de l’Internet peuvent être répertoriées dans 4 grandes catégories : 1) les infractions contre la confidentialité, l’intégrité et la disponibilité des données et système (accès illégal, interception illégale, atteinte à l’intégrité de données, atteinte à l’intégrité du système, abus de dispositifs), 2) les infractions informatiques (falsification et fraude informatique), 3) les infractions se rapportant au contenu (actes de reproduction, diffusion, possession de pornographie enfantine), 4) les atteintes à la propriété intellectuelle et aux droits connexes (distribution a grande échelle de copies illégales d’œuvres protégées, etc.).

Le point fort de la Convention réside dans le fait  qu’elle prévoit des mesures concrètes destinées à être intégrées obligatoirement dans les législations nationales, comme la collecte en temps réel et la conservation des données relatives  au trafic nécessaire pour connaître la source et la destination, les compétences des juridictions concernées, l’entraide aux investigations et l’extradition. La clef de voûte des mesures de la coopération internationale étant la mise en place d’un réseau de points de contact disponibles 24h/24 et 7j/7 afin de faciliter les enquêtes internationales et la prise de mesures immédiates.   (en France : c’est l’OCLCTIC qui constitue le maillon de ce réseau).

Au 1er février 2010, la Convention a été ratifiée par 25 des 47 Etats membres du Conseil de l’Europe et seul les Etats-Unis appartiennent aux Etats non membres du Conseil de l’Europe l’ayant ratifié. Néanmoins, malgré le faible taux de ratification, le fait que des Etats non-membres du Conseil de l’Europe (Canada, Costa Rica, Japon, Mexico, Afrique du Sud) aient aussi signé la Convention atteste clairement de sa valeur juridique ; une fois entrée en vigueur dans tous ces Etats,  la Convention sur la cybercriminalité va mettre en place des règles de jeu commun au niveau international pour la gestion des cybermenaces.

Le Conseil de l’Europe du 10 au 11 mars 2009 a tenu à Strasbourg une Conférence sur le sujet de la « Coopération contre la Cybercriminalité », focalisée plus particulièrement sur la coopération entre les services de répression et les fournisseurs de services, la traçabilité de l’argent sale sur Internet, l’identification de nouvelles menaces de la cybercriminalité, l’état et l’effectivité de la législation dans le domaine de la cybercriminalité ainsi que sur l’effectivité de la coopération internationale des points de contact « 24/7 ».

Mais s’il est vrai que de nombreuses actions théoriques et concrètes ont débouché sur l’éclosion d’un véritable « cadre international » dans la lutte contre la cybercriminalité, il n’en demeure pas moins qu’il reste beaucoup à faire concrètement sur ce sujet.

II. Les solutions envisagées pour une meilleure gouvernance de l’Internet en matière de Cybercriminalité

A. Les limites théoriques et pratiques rencontrées dans la lutte contre la cybercriminalité

Les limites rencontrées sont de plusieurs ordres :

D’une part, on note en effet des insuffisances importantes dans le cadre du travail élaboré sous l’égide de l’UIT et des textes résultant des SMSI.

En effet, la première insuffisance porte nécessairement sur la valeur contraignante des déclarations et de l’ensemble des textes élaborés dans le cadre des SMSI : A quoi servent les déclarations prises lors de ces SMSI/forums mondiaux dès lors qu’elles n’ont aucune valeur juridique contraignante ?

On ne peut en effet que regretter l’impact limité de ces textes au final, tempéré il est vrai par leur valeur politique et médiatique sur la scène internationale. Mais est-ce suffisant pour permettre une application concrète et surtout, imposer des sanctions en cas de violation des principes dégagés par ces textes ?

On peut aussi regretter le fait que ces SMSI ou les forums mondiaux sur la gouvernance de l’internet qui se sont tenus par la suite (Athènes en 2006, Brésil en 2007, Inde en 2008) n’aient aucun pouvoir décisionnel.

Même la Chine, réputée pour être très protectionniste sur la Toile,  s’est montrée critique lors de sa venue à la 4ème IGF se déroulant en Egypte sur le rôle non contraignant des décisions prises par le forum et insistait sur la mise en place d’une organisation multilatérale de l’Internet sur le modèle de l’O0rganisation des Nations Unies.

Il faut aussi souligner le poids important des américains aussi bien au sein des rares institutions « internationales » en matière de gouvernance de l’Internet, tel que l’ICANN ou encore dans la cadre des SMSI ou des forums mondiaux sur la gouvernance de l’Internet.

En effet, ces derniers sont plus soucieux de défendre leurs propres intérêts que des trouver des solutions concrètes et concertées avec ses partenaires en matière de cybercriminalité.

Plusieurs exemples illustrent ainsi tout à fait cette forme déguisée de protectionnisme :

• Alors qu’ils avaient approuvé en 2001 la Convention et ses protocoles additionnels réglementant la cybercriminalité, les États-Unis se sont opposés le 15 novembre 2002 à un avenant condamnant les actes à motivation raciste et xénophobe. Ce protocole visait à criminaliser la diffusion de matériel raciste et xénophobe par le biais de systèmes informatiques, ainsi que les menaces et l’insulte à motivation raciste et xénophobe, la négation, la minimisation grossière, l’approbation ou la justification du génocide ou des crimes contre l’humanité. Les Etats-Unis ont refusé de signer ce protocole dans la mesure où ses dispositions violent le sacro-saint principe de la liberté d’expression consacré par le 1er amendement de la Constitution américaine
• Il existe un paradoxe : Malgré la volonté farouche affichée par Washington depuis 2001 de combattre le terrorisme, que ce soit sur le terrain ou sur la toile, force est de constater l’existence de nombreux sites de groupes terroristes hébergés aux Etats-Unis (qui bien que protégés par le principe du « freedom of speech » n’en sont pas moins surveillés étroitement) : c’est le cas de sites soutenus par le Hamas ou des FARC.

D’autre part, il est nécessaire de souligner les difficultés pesant sur les acteurs de la gouvernance de l’Internet qui visent à mettre en place un véritable cadre international harmonisé de lutte contre la cybercriminalité.

En effet, la fracture numérique est telle qu’il est impossible d’imposer les mêmes critères permettant à tous les Etats de cette planète de voir « l’instauration d’un climat de confiance et de sécurité pour l’utilisation des TIC » promis lors de la déclaration du SMSI à Tunis en 2005.

Ainsi, avant que ce principe soit effectif, n’est-il pas nécessaire sinon indispensable de permettre à tous les continents (Afrique, Amérique du Sud…) de disposer d’infrastructures et de réseaux internet performants ? Une coopération entre pays développés et pays sous-développés est nécessaire en terme d’investissement en matière de formation, d’aides techniques, mise en place d’un réseau d’entraide entre autorités policières etc…pour endiguer, entre autre, les trop nombreuses failles exploitées par les organisations criminelles installant leurs serveurs (cyber blanchiment d’argent, fraude bancaire…) dans des pays ou la réglementation en matière de cybercriminalité est mince ou n’existe pas (Russie, pays de l’est, Corée, pays africains…)

Enfin, des raisons d’ordre géopolitique, sociologique, historique ont aussi un impact négatif sur la mise en place d’un véritable cadre harmonisé de lutte contre la cybercriminalité (Exemple : réticence naturelle des Etats africains à adopter des règles, principes, programmes, conventions synonymes d’une nouvelle forme de « colonisation » cybernétique imposée par les Etats occidentaux).

B. La nécessité d’élaborer des règles de droit international

Face au constat rencontré dans notre première sous-partie, on est amené à penser que la meilleure solution pour lutter efficacement contre la cybercriminalité repose sur la mise en place d’un régime international, résultant d’une coopération de tous les gouvernements nationaux sans exception, œuvrant ensemble dans l’élaboration d’une politique de cybersécurité qui se voudrait « uniforme ».

On remarque en effet que les institutions ou organisation régionales qui ont œuvré dans ce sens n’ont pas recueilli l’adhésion de la majorité des Etats de la planète : Exemple du conseil de l’Europe avec la convention Cybercrime. Beaucoup de chemin reste donc à parcourir et en attendant, les « cybercriminels » en profitent en exploitant les failles et lacunes des législations nationales et régionales, incapables de mettre en place des cadres juridiques intéropérables…

Seule l’élaboration de règles de droit international sur la cybercriminalité, menée par une institution/organisation internationale serait susceptible d’entrainer un relatif consensus de la majorité des Etats.

Cependant, cette solution qui doit déboucher sur une forme de Convention/traité internationale ayant une valeur juridique contraignante auxquelles auraient participé tous les Etats soulève des questions dont nous n’avons pas la réponse :

Comment permettre alors à plus de 200/250 pays de trouver un consensus sur la qualification de la notion de cyberattaques ? Comment aboutir rapidement à une concertation qui déboucherait sur l’élaboration d’un cadre juridique définissant les actions cybernétiques légitimes et illégales des Etats et des acteurs non étatiques ?

De plus cette concertation entre Etats n’auraient aucune efficacité si d’autres acteurs, tels que les entreprises, n’y participent pas, pour pallier entre autre à l’absence des applications ou systèmes logiciels vulnérables offrant des services de base aux internautes (cybersanté, administration publique en ligne, commerce électronique…), sécurisant ainsi l’accès à la société de l’information.

Le constat est similaire en matière d’absence de structures organisationnelles adaptées (système d’authentification des internautes, certification numérique…)

En tout état de cause, seule une véritable concertation entre tous les acteurs de la gouvernance de l’Internet pourrait permettre une uniformisation des actions à mener face à la cybercriminalité.

Mais on voit bien que ce processus sera long, difficile et pose des nombreuses questions dont il est très difficiles d’apporter des réponses : quelle institution/organisation va coordonner les débats ? Qui va les contrôler ? Comment des centaines d’acteurs vont pouvoir aboutir ensemble à des objectifs concertés et communs en matière de cybercriminalité ?

Enfin, il ne faut pas oublier l’impact des utilisateurs « directs » que sont les internautes.

En matière de cybersécurité, une meilleure sensibilisation de ces derniers est indispensable et aura une répercussion notable dans le recul de la cybercriminalité.

Ainsi, des enfants surfant sur le net dans un cybercafé doivent savoir ne serait ce que de façon rudimentaires, comment ils peuvent profiter des TIC en toute sécurité, tout en évitant certains de leurs dangers (existence de « prédateurs » sur le cyberespace, ne pas divulguer ses données personnelles…).

Bibligraphie

Ouvrages

• Christiane Feral-Schuhl, « Cyberdroit », Dalloz, 2006
• Claude Birraux, Henri Revol, « Audition publique sur la gouvernance de l’Internet du 8 décembre 2005 », Assemblée nationale, Sénat, Office parlementaire d’évaluation des choix scientifiques et technologiques, 2005

Rapports

• Maura Conway (chargé de cours à la School of Law and Government de l’université de Dublin) « Le terrorisme et la gouvernance de l’Internet : les questions cruciales »
• Henning Wegener (ambassadeur, ancien diplomate allemand et Président du groupe permanant de surveillance sur la sécurité de l’information de la World Federation of Scientist) « Qui se charge de maîtriser les dangers du cyberespace ? »
• Programme mondial cybersécurité (Global Cybersecurity Agenda) de l’UIT

Liens

• http://www.intgovforum.org/index.htm
• www.coe.int/internetgovernance
• http://www.itu.int/wsis/index-fr.html
• http://www.coe.int/t/dg1/legalcooperation/economiccrime/cybercrime/
• http://www.diplomatie.gouv.fr/fr/actions-france_830/internet-ntic_1038/gouvernance-regulation_4674/cybercriminalite_11824.html
• http://www.iehei.org/bibliotheque/cybercriminalite.htm
• http://www.telecom.gouv.fr/actualites/3-avril-2008-cooperation-contre-cybercriminalite-1623.html

Que les juges fassent leurs enquêtes de moralité sur Internet, que les écrits soient informatiques, que les comportements des justiciables soient de plus en plus liés aux nouvelles technologies… Tout cela est une réalité.

Mais peut-on se fier sans discernement à l’avis de l’expert ? La numérisation de nos activités n’est-elle pas sans risque pour le justiciable et les acteurs des services de la justice ?

Aussi paradoxal que cela puisse paraitre, l’écrit électronique ne peut être simplement ramené à l’écrit papier. Le raisonnement juridique qui doit découler de l’appréhension des preuves écrites électroniques n’est incontestablement pas le même que celui que nous adoptons régulièrement, d’où le risque d’une insécurité juridique dans le traitement des contentieux.

Un premier volet, juridique et doctrinal, s’attache donc à décortiquer le raisonnement du juge dans son interprétation de la loi, et dans son appréhension des preuves écrites électroniques. Celle-ci est soumise à controverse puisque, selon les raisonnements adoptés, une preuve électronique aura, ou non, toute sa force probante.

Par ailleurs, la preuve écrite électronique est telle que de nouveaux risques émergent. Des risques renforcés par la nature même de l’écrit : falsification des preuves, blanchiment, usurpation d’identité, interprétations de mauvaise foi… Tout cela est grandement facilité par l’émergence des nouvelles technologies, qui font fi de toute considération juridique, et l’obsolescence des technologies plus anciennes, peu fiables voire non sécurisées.

Le deuxième volet de ce rapport présente les faiblesses des principales preuves électroniques aujourd’hui introduites devant les tribunaux : document texte, e-mail, SMS, et relevés d’appel. Toutes ces pièces électroniques sont faibles et vulnérables. Le risque que le juge rende, de bonne foi mais à tort, une décision injuste est, aujourd’hui, plus que réel.

Nous verrons, en détails, par quelles manipulations volontaires les parties d’un procès peuvent faire trainer les procédures, étouffer la partie adverse, renverser la charge de la preuve, ou produire injustement des effets juridiques.

Cette étude comprend :

• une analyse juridique sur le traitement de la preuve écrite électronique,
• une analyse technique sur les procédés de falsification des preuves (documents, e-mails, SMS…),
• des scénarios de mise en situation de manipulation des preuves devant les juridictions.

Télécharger le rapport au format PDF.

Il va s’agir d’un acteur très sérieux pour Bouygues Telecom, qui se dit toutefois « préparés » selon les termes d’Olivier Roussat, directeur général de Bouygues Telecom.

En effet, arrivés sur le marché de la téléphonie mobile en 1994, après France Telecom et SFR, ils ont réussis à s’imposer face à une concurrence bien ancrée et comptent aujourd’hui plus de 10 066 000 de clients au 30 septembre 2009 (soit près de 20% des abonnés mobiles en France). Leur stratégie était claire et simple : proposer des prix plus qu’attractifs à une population principalement étudiante, et ne cesser d’innover. C’est ainsi que Bouygues Telecom a été le premier à proposer le service des SMS (gratuit à l’origine entre les abonnés Bouygues jusqu’en 1997), la gratuité du répondeur, la présentation du numéro, et le fameux forfait Millenium en 1999^[2].

Quant à Free, ayant une stratégie similaire en tant que fournisseur d’accès à Internet, Bouygues a en effet intérêt à œuvrer d’arrache-pieds pour que sa clientèle (qui sera donc principalement la proie de Free) ne change d’opérateur.

Suite à un lobbying très actif de Bouygues Telecom auprès du Président de la République, ce n’est pas sans embûches que cet appel d’offres s’est déroulé.

En effet, en février 2009, le prix de cette licence avait été fixée à 206 millions d’euros, puis augmenté à 240 millions en juin selon les recommandations de la Commission des Participations et des Transferts (CPT) saisie par le Gouvernement pour être de ce fait « inattaquables » (selon les termes de M. Luc Chatel^[3] ) sur l’établissement du prix. Bouygues a déjà déposé deux recours au Conseil d’État, jugeant l’octroi de cette quatrième licence anticoncurrentielle, et France Telecom menace de saisir la Commission Européenne. Mais cette dernière s’est déjà dite favorable à l’entrée en France d’un quatrième opérateur mobile, alors que Nicolas Sarkozy avait énoncé la veille qu’il était :

« assez sceptique et réservé sur le choix d’un quatrième opérateur mobile, le prix le plus bas n’étant pas forcément le meilleur. »

Le vendredi 18 décembre 2009, date historique, l’ARCEP s’est prononcée sur la candidature de Free mobile^[4]. Le fournisseur parmi les moins endettés d’Europe est entré dans la danse.

Les opérateurs existants ne semblent pas disposés à partager leur part du gâteau, et se concentrent d’ores et déjà sur la limitation de puissance des antennes relais, qui constituent un facteur crucial dans le déploiement du réseau de Free. Ainsi, Bouygues a annoncé^[5] qu’ils étaient « prêts à [s']engager à ne pas dépasser le seuil de 6 volts par mètre dans les lieux de vie », ce qui permettrait par effet boule de neige de forcer indirectement Free mobile à faire de même, et donc canaliserait sa croissance. En dehors du respect nécessaire des règles de concurrence, tous les moyens seront bons pour encadrer ou ternir l’image de Free.  C’est ainsi que M. Roussat avait déclaré, dans ce même entretien, que depuis l’appel à candidatures « Bouygues Telecom a gelé toutes ses embauches » car « obligé de se préparer à l’arrivée de Free en réduisant ses coûts fixes ». Et si ce n’était pas tout simplement la crise économique qui avait gelé les emplois ? Bref Free n’a qu’à bien se tenir !

Notes et références

1. M.-C. RENAULT et E. RENAULT, «Xavier Niel : «L’arrivée de Free va créer 10 000 emplois»», Le Figaro, 2009
2. Voir historique Bouygues Telecom
3. L. CHATEL, Emission sur Radio Classique, 29 avril 2009
4. ARCEP, Communiqué de presse, 18 décembre 2009
5. M.-C. RENAULT, « Bouygues est prêt à agir sur les antennes relais », Le Figaro, 07.12.09

L’identité numérique est composée de tous les éléments qui nous concernent sur internet : il peut s’agir de signatures électroniques, de pseudonymes utilisés sur des forums, de commentaires et avis publiés sur des sites commerçants, de photos sur Facebook, de curriculum vitae en ligne, etc… Toutes ces bribes d’information caractérisent l’internaute puisque ses habitudes, ses goûts, sa situation personnelle ou professionnelle sont facilement décelables. Certains sites peu scrupuleux se servent d’ailleurs de notre identité numérique pour nous proposer dans leurs publicités des produits adaptés à notre mode de consommation, Internet ne demandant qu’à livrer l’identité numérique que nous avons, parfois sans le vouloir, un peu trop dévoilée. Blogs, paiements en ligne, réseaux sociaux, sites de partage de vidéos, tels sont les grands créateurs de notre identité numérique. Quand bien même vous feriez en sorte de ne pas exhiber votre vie privée, sachez que votre adresse IP, celle-là même qui vous permet de surfer sur internet, fait partie de vos coordonnées numériques. Des coordonnées facilement récupérables, tout comme votre adresse e-mail ou encore votre numéro de portable. L’identité numérique est ainsi omniprésente, son étendue n’a de frontières que celles d’Internet : si vos informations se propagent à la vitesse de l’éclair, qu’en sera-t-il d’éventuelles rumeurs ou de fausses allégations à votre sujet ? Alors que l’identité civile est donnée à la naissance par l’Etat, l’identité numérique nécessite désormais une gestion dès le berceau…

Ci-dessus le shéma des différents « visages » de votre identité numérique : coordonnées, avis, culture…
Source : fredcavazza.net

De l’existence d’une morale virtuelle

Tout comme il existe une éthique des affaires, une éthique environnementale ou encore déontologique, on ne peut ignorer l’apparition d’une éthique de l’informatique, sorte de morale virtuelle applicable aux internautes et par eux sur l’ensemble du Web.  Exemple le plus frappant, l’application de la « netiquette », l’ensemble des règles de savoir vivre que les utilisateurs de forums ou encore les diffuseurs de mailing list doivent respecter. Cette charte virtuelle prévue par la majorité des sites définit en effet les règles de politesse et de respect auxquelles les internautes sont soumis, tant dans la forme que dans le fond des messages publiés, et sous peine de se voir sanctionné par les administrateurs ou webmasters. Plutôt rassurant donc, les messages  pouvant nuire à la réputation virtuelle et à l’identité numérique d’une personne ne sont généralement pas tolérés et sont rapidement supprimés dans les groupes de discussion, grâce à une forme d’autocontrôle des utilisateurs et une vigilance accrue des responsables. En effet, si le droit français n’a pas complètement encadré l’identité numérique, il n’en reste pas moins que des lois comme celle de 1881 sur les délits de presse sont tout à fait applicables aux nouveaux moyens de communication, la diffamation et les injures pouvant en effet être sanctionnées pénalement dès lors qu’elles sont commises sur Internet. L’écran-bouclier qui offrait une supposée protection aux personnes mal intentionnées a tendance à se fissurer…

Les limites légales au choix et à l’utilisation d’un pseudo

Les pseudonymes remontent à la nuit des temps et l’on pense souvent, à tort, que les personnes les plus concernées sont les journalistes, artistes ou écrivains. Mais avec le développement d’Internet, c’est une communauté entière d’utilisateurs qui s’est vue offrir la possibilité de publier toutes sortes de textes et pensées sous un « pseudo ». Celui-ci permet en effet de se connecter sur des forums, des chats ou des blogs en gardant un certain anonymat. Qu’il s’agisse d’un prénom orthographié différemment, d’une expression amusante, ou d’un sobriquet suivi d’un numéro de département type « Zouzou92 », le pseudo fait partie intégrante de notre identité numérique. Pourtant, dans la vie réelle comme sur Internet, l’utilisation d’un pseudonyme n’est pas véritablement encadrée légalement. Néanmoins, la seule limite posée par la jurisprudence concerne le comportement frauduleux : celui qui utilisera un pseudonyme et portera atteinte aux droits des tiers pourra se voir sanctionné. Autre limite, le contrôle opéré par les webmasters sur les pseudos lors de l’inscription sur les sites. On relève souvent, dans les chartes des forums et chats, des passages prévoyant l’interdiction de pseudos violant le droit des marques ou de la propriété intellectuelle, ou à caractère violent, voire raciste. Enfin, les conflits entre noms de domaine et pseudonymes sont nombreux et se résolvent bien souvent par des procédures alternatives de règlement des litiges : plutôt que d’assigner en justice une personne ayant frauduleusement utilisé un pseudonyme lors de l’enregistrement d’un nom de domaine, le titulaire de droits pourra recourir à des procédures devant des organismes spéciaux tels que l’OMPI, l’Organisation Mondiale de la Propriété Intellectuelle, ou encore l’AFNIC, l’Association Française pour le Nommage Internet en Coopération.

Un droit à l’anonymat sur internet ?

Beaucoup d’internautes revendiquent un droit à l’anonymat sur la toile. Et pour cause, comme nous avons pu le constater, il est dorénavant enfantin de tracer quelqu’un sur la toile pour déterminer son identité numérique. Protégé par l’article 9 du Code Civil dans le cadre du droit au respect de la vie privée, le droit à l’anonymat est également visé par des lois telles que la Loi Informatique et Libertés du 6 janvier 1978. Néanmoins, si la reconnaissance d’un tel droit permet d’écarter d’éventuels systèmes de surveillance de type Big Brother, elle peut faciliter la commission d’actes criminels sur le réseau en protégeant les pirates et autres « criminautes » malveillants.  On observe ainsi aujourd’hui une tendance à l’identification systématique, les FAI ayant d’ailleurs pu se voir imposer par un décret du 24 mars 2006 l’obligation de conserver toutes les données de connexion des internautes dans un délai d’un an. La solution ne serait-elle pas de trouver un équilibre entre la conservation de l’anonymat face aux inconnus et la nécessaire identification dans le cadre de la sécurité publique ? Belle utopie…

Ce célèbre dessin de Peter Steiner publié dans le journal New Yorker en 1993 mettait l’accent sur l’anonymat offert à l’époque par Internet. Les choses ont bien changé…

Et si l’on gérait votre réputation numérique…

L’existence de l’identité numérique étant définitivement reconnue, des entreprises vous proposent désormais de gérer votre web-réputation ! Ce secteur d’activité se développe depuis environ deux ans, et la plupart des services fournis concernent la surveillance et l’effacement des traces laissées sur Internet, partant du constat selon lequel l’identité numérique d’un individu est créée par lui, mais également par ce que les autres disent de lui. Le site américain ReputationDefender ou l’anglais Garlik sont donc considérés comme des sentinelles capables de rechercher l’état de votre réputation virtuelle et de l’améliorer, en demandant par exemple aux sites d’effacer des contenus négatifs sur vous. D’autres concepts comme les fournisseurs d’identité OpenID ont également vu le jour, et vous permettent de ne vous inscrire et vous connecter sur plusieurs sites qu’avec une seule identité. Au lieu de créer un nouveau compte sur chaque nouveau site, l’internaute crée un identifiant unique chez un fournisseur OpenID. Il pourra alors se connecter directement avec son OpenID sur les sites concernés. Autrement dit, votre idée est gérée et centralisée par une société privée. Nous voilà rassurés…

Une loi contre l’usurpation de l’identité numérique

Phénomène prenant de plus en plus d’ampleur, l’usurpation d’identité numérique ne fait toujours pas aujourd’hui l’objet d’un texte spécifique et les dispositions existantes restent incomplètes. L’article 434-23 du Code pénal prévoit en effet le délit d’usurpation d’identité, mais d’autres actes incriminés doivent être réalisés pour que cette disposition s’applique. Pour cette raison, le projet de loi LOPPSI 2, qui sera discuté à l’automne 2009, pourrait modifier l’article 222-16-1 du Code Pénal en ces termes : ” Le fait d’utiliser, de manière réitérée, sur un réseau de communication électronique l’identité d’un tiers ou des données qui lui sont personnelles, en vue de troubler la tranquilité de cette personne ou d’autrui, est puni d’un an d’emprisonnement et de 15 000 euros d’amende. Est puni de la même peine [la réalisation de ces actes] en vue de porter atteinte à son honneur ou à sa considération“. Cette volonté politique de protéger l’identité numérique a d’ailleurs été dévoilée dans le plan « France Numérique 2012 », bien que l’identité numérique ne fasse pas partie de l’identité juridique de l’individu. Le réveil tardif du législateur montre combien la France est à la traîne en matière de lutte contre l’usurpation d’identité numérique. Les Etats Unis punissent par exemple ce délit depuis 2005. Plus strict encore, le Maroc, qui a condamné un individu à 3 ans d’emprisonnement pour avoir créé le profil Facebook du frère du Roi Mohammed VI à son insu ! Pour la petite histoire, l’usurpateur a été gracié un mois après son incarcération. Tant qu’il ne s’agit pas d’une libération virtuelle…

La France souhaite rattraper son retard en matière de protection de l’identité numérique, et ce en pénalisant son usurpation.
Source : nsae.fr

Protégez-vous contre vous-même !

Si vous souhaitez protéger vous-même votre identité numérique, sachez que la tâche est lourde, mais pourtant réalisable. Pour commencer, installez un bon antivirus et un pare-feu performant sur tous vos ordinateurs, vous réduirez ainsi de 99% les risques d’usurpation d’identité numérique. Ensuite, si vous avez pour habitude de publier vos impressions sur divers produits ou sur des forums, utilisez toujours le même pseudonyme, et faites en sorte qu’il soit facilement identifiable. Par ailleurs, n’hésitez pas à contacter les sites hébergeant des contenus nuisibles à votre image virtuelle, voire à demander à Google de désindexer ces sites du moteur de recherche. Vous pouvez également enregistrer en .fr et en .com votre nom de domaine avec vos vrais noms et prénoms, quand bien même vous n’auriez pas encore de site à proposer. Enfin, pour les utilisateurs de Facebook, vérifiez régulièrement la publication de photos de vous et les commentaires que vos contacts pourraient laisser sur votre profil. Un mot d’ordre : restez vigilants !

Caroline LAVERDET, juriste en Droit des Nouvelles Technologies