IRIS Actions / Cybercrime /

IRIS
(Imaginons un réseau Internet solidaire)
294 rue de Charenton
75012 Paris
Tél/Fax : 0144749239
URL : http://www.iris.sgdg.org
Email : iris-contact@iris.sgdg.org

Communication de la Commission européenne :
« créer une société de l'information plus sûre en renforçant la sécurité des infrastructures de l'information et en luttant contre la cybercriminalité »

-+-

Contribution d'IRIS - 28 février 2001

Préambule

Ce document constitue la contribution de l'association Imaginons un réseau Internet solidaire (IRIS) à la consultation publique organisée par la Commission européenne (CE) et portant sur la Communication intitulée « créer une société de l'information plus sûre en renforçant la sécurité des infrastructures de l'information et en luttant contre la cybercriminalité » [1]. L'association participe sur cette base à l'audition publique organisée le 7 mars 2001 à Bruxelles par la CE.
Ce document a été élaboré pour IRIS par Meryem Marzouki (Meryem.Marzouki@iris.sgdg.org).

Introduction et commentaires généraux

Avec la publication de cette Communication, la CE intervient dans un contexte déjà marqué par d'autres initiatives, notamment celles du Conseil de l'Europe (projet de Convention sur la cybercriminalité [2]) et celles du G8 [3].
IRIS se félicite de la tonalité d'ensemble de cette Communication, comme de la démarche adoptée par la CE, notamment en terme de large consultation des acteurs impliqués.

En effet, cette communication n'est qu'une première étape de travail au niveau de l'Union européenne sur ce thème. Elle ne propose en particulier aucune mesure législative précise pour l'instant, mais pose les problèmes et surtout rappelle les principaux textes européens et internationaux garants des droits fondamentaux et des libertés, dont certains sont ignorés dans le projet du Conseil de l'Europe. Les initiatives subséquentes prévues par la Commission européenne s'articuleront, certes, avec les travaux du Conseil de l'Europe, mais on note d'ores et déjà dans cette première Communication une distance certaine par rapport à plusieurs aspects du projet de Convention.

En particulier, les points les plus préoccupants de ce projet [4], comme les interceptions du contenu des communications électroniques, la volonté de suppression de la double incrimination, ainsi que les atteintes possibles à la protection des données personnelles et au droit à l'anonymat, sont traités avec la plus grande prudence par la CE. De même, la nécessaire distinction entre infractions liées au contenu et atteintes à l'intégrité des données et des systèmes informatiques est affirmée. Cette tonalité de la Communication, accompagnée d'une volonté affichée de concertation, y compris avec les organisations de la société civile, nous semble positive, sans préjuger toutefois des évolutions futures possibles.

La suite de cette contribution d'IRIS à la consultation publique organisée par la CE précise les commentaires de l'association au sujet du champ d'application des mesures législatives envisagées, de la compétence des juridictions, des questions de droit procédural, ainsi que des mesures autres que législatives préconisées.

Champ d'application des mesures

La Communication définit la cybercriminalité dans un sens large, traitant des problèmes suivants : atteintes à la vie privée, infractions liées aux contenus diffusés sur Internet, infractions économiques, accès non autorisé et sabotage, et atteintes à la propriété intellectuelle. Cette vision étendue est justement l'un des principaux problèmes signalés dans le projet de Convention du Conseil de l'Europe. En effet, on ne peut pas considérer que l'abus sexuel des enfants et l'atteinte à la propriété intellectuelle, par exemple, sont sur un même plan de gravité, et justifient des mesures du même ordre.

Il est en revanche plus raisonnable de convenir de dispositions générales moins sécuritaires pour les enquêtes et procédures pénales, tout en ménageant la possibilité de mesures plus intrusives dans les seuls cas de gravité exceptionnelle comme la pédophilie, cas à énumérer et à encadrer strictement. Quant à l'harmonisation des législations, elle reste nécessaire pour certains crimes ou atteintes graves à la conscience universelle de l'humanité : la pédophilie, le racisme, en font partie à notre sens. C'est pourquoi ils doivent être reconnus comme tels, à un niveau international plus large, dans des textes traitant spécifiquement de ces problèmes, qu'ils surviennent en ligne ou hors ligne.

En conséquence, IRIS soutient l'approche préconisée dans la Communication et visant à rapprocher, en dehors du cadre de la cybercriminalité, les législations nationales pour la répression des infractions liées à l'exploitation sexuelle des enfants et au trafic d'êtres humains d'une part, et pour la lutte contre le racisme et la xénophobie d'autre part, indépendamment du fait que ces infractions sont commises en ligne ou hors ligne (section 7.1. de la Communication).

Dans le cadre d'une telle approche, les mesures relatives à la cybercriminalité devraient donc concerner les questions de droit procédural et, s'agissant des questions de droit pénal positif, se limiter au traitement des infractions contre la confidentialité, l'intégrité et la disponibilité des données et systèmes informatiques.

Compétence des juridictions

Les travaux engagés avec la publication de la Communication devraient représenter l'occasion de résoudre, au moins au niveau de l'Union européenne dans un premier temps, une série de problèmes dont on ne voit que les prémices avec le jugement rendu en France le 20 novembre 2000 contre la société américaine Yahoo Inc. Il s'agit de s'atteler à la question de la compétence des juridictions en matière de contenus publiquement accessibles, sachant que ni les travaux du Conseil de l'Europe, ni la Directive de l'Union européenne sur le commerce électronique [5], ne permettent de résoudre ce problème crucial. En effet, dans l'affaire Yahoo, le tribunal s'est considéré compétent du simple fait que les contenus diffusés sur Internet par la société américaine étaient accessibles en France, alors que l'accessibilité partout dans le monde des contenus diffusés publiquement sur Internet est inhérente au réseau.

L'article 23 du projet de Convention du Conseil de l'Europe traite bien de la compétence des États relativement à une infraction mentionnée dans le projet. Toutefois, s'agissant d'un texte sur la procédure pénale internationale, il serait important de traiter de la compétence en matière de contenus publiquement accessibles de manière adaptée à la diffusion d'informations à travers le réseau Internet. Or le texte ne propose que des dispositions somme toute classiques de compétence pénale, moyennant des réserves possibles qui ne font que contourner les problèmes.

L'article premier de la Directive de l'Union européenne sur le commerce électronique précise que ce texte ne traite pas de la compétence des juridictions.

Une initiative originale et importante pourrait être de s'inspirer, en les adaptant, des dispositions contenues dans la Directive européenne « Télévision sans frontières » de 1997 [6], qui détermine la compétence de la juridiction principalement en fonction du lieu du siège social effectif de l'émetteur ou de celui où les décisions de la direction relatives à la programmation sont prises. Cette disposition pourrait être étendue et adaptée à tous les contenus sur Internet, en fonction soit du siège social soit du lieu de résidence ou de la nationalité de l'auteur du contenu diffusé. Une telle initiative, couplée à l'harmonisation des législations nationales pour des crimes et atteintes graves à la conscience universelle de l'humanité, permettrait d'éviter la juxtaposition de conceptions différentes de la circulation de l'information par l'adoption de systèmes de filtrage et le renforcement des frontières sur le réseau, comme le fait craindre le précédent du jugement français rendu contre la société américaine Yahoo Inc.

IRIS estime également nécessaire, à cette occasion, de revenir sur une disposition de la Directive de l'Union européenne sur le commerce électronique concernant la responsabilité des intermédiaires techniques. L'article 14 exonère en effet les intermédiaires techniques de responsabilité par rapport à des contenus illégaux qu'ils auraient hébergés à condition que, dès le moment où ils ont connaissance de la présence de ces contenus, ils agissent promptement pour les retirer ou en rendre l'accès impossible. Cette disposition est inacceptable en ce qu'elle substitue à l'autorité judiciaire la décision d'un organisme privé pour juger de la légalité d'un contenu. Cela constitue une grave atteinte aux libertés fondamentales, et en particulier à la liberté d'expression. La transposition de cette disposition en droit français a d'ailleurs été censurée par le Conseil constitutionnel [7].

Questions de droit procédural

En matière de droit procédural, la Communication traite des points suivants : interception des communications, conservation des données relatives au trafic, accès et utilisation anonymes, coopération concrète au niveau international, pouvoirs et compétences en matière de droit procédural, force probante des données informatiques.

Tout en saluant la prudence de la Commission, qui ne manque pas de rappeler, pour chaque point, les nécessités de protection des libertés fondamentales, ainsi que les principes de finalité et de proportionnalité des mesures à adopter, IRIS réitère les exigences que l'association partage avec ses partenaires de la coalition internationale GILC (Global Internet Liberty Campaign), formulées et justifiées dans les deux lettres adressées par les membres de GILC au Conseil de l'Europe [4] :

- Généraliser le processus de libéralisation totale de la cryptographie.

- Fixer des limites claires aux pouvoirs accordés dans des situations où les libertés civiles sont menacées. En particulier, limiter l'usage de techniques intrusives aux cas de crimes, respecter l'interdiction de l'auto-incrimination et garantir d'autres droits inaliénables, comme le droit à la confidentialité et à la liberté d'expression.

- Fixer une contrainte uniforme et suffisante préalablement à la collecte des données de trafic, en tant que technique intrusive.

- Limiter les pouvoirs d'interception et les dispositifs de collecte de données de telle sorte que l'intrusion soit absolument limitée. Assurer que si des moyens techniques sont utilisés, ces moyens séparent le trafic des utilisateurs précis sous investigation, ne collectent que les données légalement autorisées, interdisent l'altération, et respectent la frontière évolutive entre données de contenu et données de trafic. Si cela ne peut être garanti par un audit indépendant, ces techniques doivent être considérées comme illégales et aucun accès à des données, aucun partage, ne peuvent avoir lieu.

- Renoncer à instaurer l'exigence d'interception des communications via Internet et par satellite, d'autant que ces réseaux en sont encore au stade du développement et de la configuration.

- Instaurer des protections explicites pour distinguer la rétention de la conservation des données, y compris les données de trafic. Établir une limite maximale aux techniques d'investigation acceptables. Établir une limite maximale au temps de conservation des donnés et, dans tous les cas, soumettre la fourniture de ces données à la seule requête de l'autorité udiciaire.

- Exiger, pour toute procédure, un encadrement strict par l'autorité judiciaire, seule garantie de protection des droits fondamentaux et d'un traitement équitable.

- Maintenir absolument l'exigence de double infraction, comme préalable à l'entraide internationale, notamment pour la saisie et la téléperquisition.

Mesures autres que législatives

La Communication préconise également des mesures autres que législatives, dont certaines, comme le forum, sont déjà décidées.

IRIS se félicite que la CE se propose de conduire des études sur l'ampleur réelle de la cybercriminalité, reconnaissant de ce fait que l'étendue du phénomène reste inconnue, malgré les déclarations souvent alarmantes de certains États membres ou organisations internationales, visant à justifier des mesures beaucoup trop répressives.

IRIS salue également la reconnaissance par la CE des avantages apportés en matière de sécurité des infrastructures par l'utilisation de logiciels libres, dont le code source est connu, ainsi que de la nécessité de favoriser la recherche publique pour l'amélioration de cette sécurité.

L'amélioration du partage d'informations est à encourager, pour autant qu'il respecte strictement la protection de la vie privée et des données personnelles. De même, la formation spécialisée est une nécessité.

IRIS s'oppose en revanche à l'existence ou au développement de lignes directes pour recevoir les plaintes d'utilisateurs d'Internet, par exemple en matière de contenus illicites, lorsque ces lignes sont gérées par des organismes privés.Trop d'exemples montrent que ces organismes ne se contentent pas de transmettre ces plaintes aux autorités policières ou judiciaires, mais s'arrogent le droit d'agir sur les contenus incriminés, souvent au détriment des droits les plus élémentaires de leurs auteurs [8]. De telles lignes d'urgence peuvent très bien être gérées directement par les autorités policières ou judicaires, comme c'est d'ailleurs le cas dans certains États membres.

Enfin, la création d'un forum européen pour l'échange entre différents acteurs constitue une excellente initiative, pour autant que les organisations de défense des libertés civiles et les associations d'utilisateurs y soient correctement représentées et écoutées.

Conclusion

Ainsi qu'IRIS l'a indiqué dans ses commentaires généraux sur la Communication de la CE, l'association se félicite de la tonalité d'ensemble de cette Communication, comme de la démarche adoptée par la CE, notamment en terme de large consultation des acteurs impliqués. En particulier, on peut espérer que la création du forum européen améliorera la transparence des décisions et la prise en compte de tous les points de vues, notamment ceux des organisations de défense des libertés civiles, trop souvent ignorés.

L'initiative de la CE est particulièrement opportune, à l'heure où en France, par exemple, un projet de loi sur la société de l'information est en cours de finalisation et où les informations diffusées par la presse sur ce projet sont à ce titre particulièrement préoccupantes [9]

Références

- [1] Commission européenne. Communication en vue de « créer une société de l'information plus sûre en renforçant la sécurité des infrastructures de l'information et en luttant contre la cybercriminalité ». Texte accessible en différentes langues à : http://europa.eu.int/ISPO/eif/InternetPoliciesSite/Crime/crime1.html.
- [2] IRIS. Dossier cybercriminalité. Régulièrement mis à jour. http://www.iris.sgdg.org/actions/cybercrime
- [3] Privacy International. Dossier cybercriminalité. http://www.privacyinternational.org/issues/cybercrime
- [4] GILC. Lettres adressées au Conseil de l'Europe à propos du projet de Convention sur la cybercriminalité. Version 22-2. 18 octobre 2000. http://www.iris.sgdg.org/info-debat/gilc-coe-fr-1000.html. Version 24-2. 12 décembre 2000. http://www.iris.sgdg.org/actions/cybercrime/gilc-coe-fr-1200.html
- [5] Union Européenne. Directive « Commerce électronique », adoptée le 8 juin 2000 (2000/31/CE). Publication au JOCE le 17 juillet 2000 sous le numéro300L0031. http://europa.eu.int/eur-lex/fr/lif/dat/2000/fr_300L0031.html
- [6] Union Européenne. Directive « Télévision sans frontières », adoptée le 30 juin 1997 (97/36/EC). Publication au JOCE le 30 juillet 1997 sous le numéro 397L0036. http://europa.eu.int/eur-lex/fr/lif/dat/1997/fr_397L0036.html
- [7] IRIS. Dossier loi sur la liberté de communication (France). http://www.iris.sgdg.org/actions/loi-comm
- [8] IRIS. « Pour une alternative démocratique à la corégulation d'Internet : Proposition de création d'une mission interministérielle pour la citoyenneté et l'accès au droit sur Internet  ». Rapport (cf. en particulier Annexe 2 : Revue des systèmes de hot-line existants). Avril 2000. http://http://www.iris.sgdg.org/documents/rapport-coreg/rapport-coreg.html
- [9] IRIS. Dossier loi sur la société de l'information (France). http://www.iris.sgdg.org/actions/lsi

Annexe : présentation d'IRIS

IRIS (Imaginons un réseau Internet solidaire : http://www.iris.sgdg.org) est une association française à but non lucratif créée en octobre 1997. Meryem Marzouki en est la présidente.

L'objet d'IRIS est la défense des libertés individuelles et des libertés publiques sur Internet, la promotion de l'accès à Internet en tant que service public, et la promotion des usages non marchands du réseau.

En France, IRIS est membre de l'intercollectif DELIS (Droits et libertés face à l'informatisation de la société : http://www.delis.sgdg.org), et du R@S (Réseau associatif et syndical : http://www.ras.eu.org). Au plan international, IRIS est membre de la coalition GILC (Global Internet Liberty Campaign : http://www.gilc.org).

L'association est active aux plans national (participation régulière à des auditions et consultations institutionnelles, sensibilisation du milieu associatif et syndical aux enjeux politiques, économiques et sociaux d'Internet : publication de rapports et analyses, initiative des Assises de l'Internet non marchand et solidaire, ...), européen (participation à des groupes de travail de la Commission européenne sur les contenus illégaux et offensants sur Internet et sur la résolution alternative de conflits) et international (organisation d'un forum sur la place du citoyen dans le commerce électronique, en liaison avec le forum de l'OCDE, interventions auprès du Conseil de l'Europe et de l'Unesco, notamment dans le cadre de la coalition GILC, etc.). Pour plus de renseignements, voir l'agenda d'IRIS (http://www.iris.sgdg.org/info-debat/agenda01.html)

Février 2001 - webmestre@iris.sgdg.org