Iris
Imaginons un réseau internet solidaire
http://www.iris.sgdg.org/
Iris
Imaginons un réseau internet solidaire
http://www.iris.sgdg.org/
Sommaire
Préambule
I : Droit pénal général
II : Procédure pénale
III : Action internationale
IV : Vie privée et protection des données personnelles
V : Autorégulation des acteurs
VI : Régulation des réseaux et des services
VII : Conclusion
Annexes :
I : Présentation d'IRIS
II : Contenus sur Internet : droits et responsabilités
III : Proposition pour un mécanisme d'autorégulation sur Internet
IV : L'autorégulation : médiation ou arbitrage ?
V : Six mois de conseils juridiques aux utilisateurs d'Internet
VI : Étiquetage et filtrage : possibilités, dangers et perspectives
VII : Cryptographie : pourquoi faut-il libéraliser totalement la loi française
Ce document, augmenté de ses annexes I à VI, constitue le support de l'audition de Meryem Marzouki au nom de l'association IRIS (Imaginons un Réseau Internet Solidaire), sollicitée par le groupe « Étude Internet », de la section des Rapports et des Études du Conseil d'État, sous-groupe « Protection de l'individu », auquel mission a été confiée par le Premier ministre d'étudier les questions d'ordre juridique posées par le développement d'Internet. L'annexe VII représente le support de l'audition de Valérie Sédallian, en tant qu'expert devant le même groupe, le 31 octobre 1997, et porte plus spécifiquement sur la cryptographie (rapport préparé pour l'association IRIS).
Ce document représente les positions de l'association IRIS eu égard à ces questions, et propose un certain nombre de mesures pratiques, dont la mise en oeuvre peut être assez immédiate pour certaines, pour autant qu'une véritable volonté politique vienne confirmer les discours du gouvernement, notamment celui prononcé à Hourtin par le Premier ministre en août 1997. D'autres mesures concernent plutôt le moyen et long terme, mais bénéficieraient de l'expérience fournie par des mesures mises en application dans un futur proche à titre expérimental.
Dans l'optique de répondre au plus près des préoccupations du sous-groupe « protection de l'individu », ce document est structuré suivant le découpage proposé dans le questionnaire établi par le sous-groupe, qui sert de fil conducteur.
Certains points méritant, selon l'association IRIS, un développement particulier, font l'objet de documents joints en annexe, et référencés dans le document général.
Ce document a été élaboré pour IRIS par Philippe Allart (pallart@nornet.fr), François Archimbaud (afaparis@mail.dotcom.fr), Sébastien Canevet (sebastien@juriste.com), Alain Hurtig, Meryem Marzouki (meryem.marzouki@dial.oleane.com), Raphaël Mazoyer (raf@pobox.com), membres du bureau. Les annexes sont signées de leurs auteurs.
Internet n'est pas en soi un vecteur de nouvelles atteintes aux droits de la personne, ni même de nouveaux délits, hormis les délits de piratage informatique, déjà sanctionnés par une loi existante. En revanche, les atteintes aux droits de la personne peuvent prendre de nouvelles formes, ou plutôt des formes exacerbées par le fait qu'Internet permet l'expression publique à tous, citoyens ou collectifs, sans médiateur, avec des moyens et un coût très modestes. L'immédiateté de la transmission de l'information sur Internet est également un facteur d'amplification du phénomène. Ce sont plutôt les atteintes à la vie privée et à la confidentialité des données personnelles qui sont les plus à craindre.
Il n'y a donc pas lieu de légiférer spécifiquement pour Internet, mais sans doute de modifier la procédure pénale ainsi que l'organisation judiciaire, afin de tenir compte des caractéristiques du réseau, ainsi que de ses usages. Il y a surtout nécessité de former sérieusement les services de la police et de la justice à ces caractéristiques et à ces usages, afin d'éviter que des mesures arbitraires, des procédés infamants et, in fine, inefficaces ne se reproduisent (cf. affaire des deux fournisseurs Francenet et Worldnet, par exemple, toujours en attente de jugement depuis mai 1996).
Il y a néanmoins une question essentielle à clarifier : celle de la cascade de responsabilités dans la chaîne constituée de l'émetteur d'une information jusqu'au récepteur final de cette information. Cette chaîne comporte un certain nombre d'intermédiaires techniques, variable en fonction du service Internet impliqué. Ces intermédiaires assurent en particulier le transport et le stockage, en relais provisoire ou en hébergement permanent, d'informations. Ces fonctions ne sont que des fonctions techniques, le plus souvent automatisées, et portent sur des quantités d'informations très importantes.
En cas d'informations illégales, le seul responsable doit être l'auteur lui-même de l'émission, et non les intermédiaires, dont c'est le métier de transporter, stocker, et héberger de façon permanente l'information, encore moins le récepteur de cette information, même s'il la consulte par intervention active (consultation de sites Web impliquant le stockage temporaire de l'information sur son disque dur, ou lecture d'articles de forums, impliquant le chargement du contenu de ces articles sur le disque également).
Pour autant que l'information est émise par une tierce partie, sans collusion avérée avec l'intermédiaire, cet intermédiaire, fournisseur d'accès, de service, ou d'hébergement ne doit pas pouvoir être déclaré responsable ou coresponsable des infractions commises par ses clients, ou par toute personne utilisant ses machines dans la chaîne de distribution d'information selon le fonctionnement normal des protocoles du réseau Internet. Toute autre analyse inciterait l'intermédiaire à se transformer en censeur, ce qui impliquerait de soumettre la liberté d'expression à l'arbitraire d'une personne ou d'une structure, commerciale ou non. Un tel résultat porterait atteinte à l'état de droit.
Une transposition sans nuance des schémas de responsabilité prévus pour la presse et pour l'audiovisuel ne peut se concevoir sans dommages importants. En effet, ce serait faire abstraction de la caractéristique première d'Internet, qui est de permettre l'expression publique de chacun, sans médiateur, à destination de tous. Si les entreprises et organes de presse et de communication audiovisuelle classiques (radio, télévision) doivent rester soumis à la législation les concernant, qu'ils émettent sur Internet ou hors Internet, il n'en va pas de même des individus, associations ou organismes qui ne relèvent pas du secteur marchand, et qui n'auront jamais les mêmes moyens financiers, ni le même impact sur le public. Par ailleurs, le système de cascade de responsabilités en vigueur dans la législation sur la presse vise des intervenants ayant tous une relation au contenu, car disposant d'un pouvoir de décision sur la publication de ce contenu (responsabilité éditoriale). La relation entre intervenants est également différente, puisqu'elle est de l'ordre de la relation employeur-employé dans le cas de la presse, alors qu'il ne s'agit que d'une relation client-fournisseur dans le cas d'Internet. Pour ce qui concerne plus particulièrement la loi sur l'audiovisuel, il serait tout simplement impensable d'exiger une déclaration préalable pour toute page Web, la preuve en est l'absence de réponse des services compétents aux demandes qui leur ont été adressées à cet effet par certains auteurs de sites. Néanmoins, certaines dispositions de la loi de 1881 sur la presse pourraient avantageusement être applicables pour Internet, comme l'impossibilité de saisie, limitée à la collecte d'un nombre limitatif d'exemplaires de publications (ici, des copies), aux fins d'établissement de la preuve. En tout état de cause, il convient ici encore d'assimiler le stockage temporaire ou permanent d'informations par un intermédiaire au transport de ces informations, dans le cas d'Internet.
De plus amples développements sur l'analyse de la responsabilité sur Internet sont fournis en annexe II (« Contenus sur Internet : droits et responsabilités »).
La question du lien hypertexte, de même que celle du droit de réponse, ne soulèvent pas plus de nouveaux problèmes.
Le lien hypertexte est le fondement même du concept du World Wide Web. S'il n'est pas considéré uniquement comme une simple référence, c'est tout le concept et la viabilité de l'édition hypermédia qui sont remis en cause. Le lien hypertexte apparaît dans un document, qui constitue le contexte du lien. C'est de ce contexte, à l'exclusion de l'information accessible via le lien, que l'auteur du document est responsable. Lorsqu'un lien pointe sur un contenu illégal, il faut considérer si le contexte est lui-même illégal, ou si son objet est, par exemple, de dénoncer l'existence de contenus illégaux, ou de les réfuter. Un lien peut également pointer sur un contenu devenu illégal ultérieurement, à cause de la facilité de modification des pages Web, et de l'immense difficulté de connaître tous les liens pointant sur un document donné. L'auteur du lien ne doit pas en être tenu pour responsable, ce que vient de confirmer la jurisprudence allemande (affaire Angela Marquardt).
Le droit de réponse peut et doit utiliser le même canal que l'objet de la réponse. Il suffit d'obliger l'auteur de l'infraction à diffuser la réponse sur le canal en question, dans les mêmes conditions que le droit de réponse dans le cas de la presse.
La dernière question de la section « Droit pénal général » porte sur l'anonymat.
Il convient tout d'abord de préciser très clairement que l'anonymat doit être absolu lors de la consultation d'informations : cette question est d'ailleurs du ressort de la protection de la vie privée et des données personnelles. Un défaut d'anonymat lors de la consultation porterait gravement atteinte à ce droit des citoyens.
Dans le cas de l'émission de contenus, quelle que soit la pérennité de l'information (celle des articles de forum est différente de celle des pages Web, par exemple), la question est très complexe, et mérite d'être étudiée en profondeur. En effet, tout citoyen, ou organisation, est en droit de produire et d'émettre des informations publiquement sous couvert d'un anonymat légitime lorsqu'il l'estime nécessaire. La question se pose en cas d'information illégale, ou portant atteinte à une tierce partie (diffamation, par exemple), et il est également légitime de vouloir assurer l'identification de l'auteur de l'infraction dans un tel cas. Certaines solutions, avancées sans doute sans que la nécessaire réflexion préalable ait été conduite, préconisent le maintien de journaux de connexion (logs) par le fournisseur du service d'anonymisation, qui seraient fournis sur requête de l'autorité judiciaire. Une telle suggestion nécessite une grande prudence : sachant le peu de sécurité offert par le réseau Internet, et par les systèmes d'exploitation des machines (les ordinateurs du Pentagone sont aussi piratés !), on en déduit immédiatement que les ordinateurs sur lesquels sont conservés les journaux de connexion constitueront une cible idéale et facile, techniquement mais aussi en termes de moyens de pression morale ou financière, pour tous ceux qui auraient intérêt à identifier, sans aucune légitimité pour ce faire, l'auteur d'une information anonyme : on peut rappeler à ce titre que les gestionnaires de tels anonymiseurs ont été harcelés par l'église de scientologie (cas de l'anonymiseur finlandais anon.penet.fi), on peut également rappeler les difficultés éprouvées par des organisations comme Amnesty International pour mener à bien leurs missions, sans mettre en danger la vie d'êtres humains. Notons enfin que les gestionnaires de tels services d'anonymisation prennent souvent eux-mêmes des mesures pour éviter le pire, par exemple en limitant la taille des messages contenant des informations anonymes, en vue de rendre difficile la diffusion d'images pédophiles (la taille des fichiers binaires est importante). Il nous semble par conséquent nécessaire de subordonner toute prise de décision concernant l'anonymat pour l'émission d'informations à la disponibilité d'études sérieuses et complètes permettant d'examiner tous les aspects de la question, et de faire émerger des solutions alternatives. Une telle étude n'a à notre connaissance pas été conduite en France, ni même dans d'autres pays. L'une des priorités d'IRIS est de produire une telle étude, sans doute en collaboration avec ses partenaires internationaux qui incluent des organisations de défense des droits de l'homme et des libertés civiles, étude qui sera largement diffusée.
La création d'une force de police spécialisée pour la poursuite des infractions sur Internet, si elle est entendue comme une force de police spécialisée dans une certaine catégorie d'infractions (au sens où il existe une brigade financière, par exemple) n'est ni nécessaire, ni souhaitable : elle n'aurait d'ailleurs aucun sens, puisqu'il n'y a pas d'infractions spécifiques à Internet. En revanche, la formation technique spécialisée d'officiers de police est sans aucun doute utile, cela existe d'ailleurs déjà, au même titre qu'il existe des services de police technique. Elle doit être améliorée, et plus répandue, afin d'éviter des modes de perquisition et de saisie de matériel confinant au ridicule et au nuisible, comme cela s'est déjà vu en France. Une autre utilité de cette nécessaire formation concerne la collecte d'éléments de preuve, déjà très difficile à établir sur Internet, entre autres, mais non uniquement, à cause de la législation française sur la cryptographie qui empêche les transactions complètement sécurisées et authentifiées. Enfin, l'anonymat est souvent présenté comme un problème majeur, alors que dans la grande majorité des cas, il n'y a pas eu anonymisation totale, et il suffit d'une compréhension minimale de la lecture des en-têtes de messages ou articles pour en identifier l'auteur, ou, indirectement, pour déterminer le moyen efficace d'obtenir son identité par son fournisseur d'accès (notons que ces en-têtes sont accessibles à tous, dans le cas de messages publics, et au moins au(x) destinataire(s) dans le cas de messages privés).
Bien que le but de ce document ne soit pas de fournir des pistes pour développer les moyens de preuve sur Internet (bien trop réduits à l'heure actuelle), il est certain que la sécurité et l'authentification des transactions permettraient de circonscrire le problème, de même que l'obligation faite aux fournisseurs d'accès, de service et d'hébergement - au moins les sociétés commerciales - d'assurer des règles minimales de sécurité sur leurs ordinateurs : pour l'instant, bien peu sont en mesure de réellement garantir la sécurité de l'accès à leurs ordinateurs, ce qui induit qu'une tierce partie pourrait très bien s'introduire pour modifier à des fins malveillantes des contenus qui seraient alors attribués au client de ce fournisseur, « locataire » de l'espace ainsi piraté. Ces règles de sécurité, dont certaines sont assez simples à mettre en oeuvre, devraient faire partie de l'obligation de service, et leur respect ressort finalement de la déontologie du fournisseur : c'est également un critère de choix d'un fournisseur d'accès, et le ministère de l'Intérieur, à titre d'exemple, a fait de ce critère une condition imposée à son fournisseur d'accès (information recueillie lors d'un entretien avec des représentants du service de l'information et des relations publiques (SIRP) du ministère).
La question de l'adaptation des règles prévues en matière d'écoutes téléphoniques se pose effectivement, mais plutôt dans le cas où c'est l'employeur, ou encore le fournisseur d'accès, qui abuse de ses possibilités techniques, pour prendre indûment connaissance de fichiers privés. Pour ce qui concerne les écoutes administratives ou judiciaires, les règles prévues en matière d'écoutes téléphoniques nous semblent suffisantes, encore faut-il que ces règles soient correctement appliquées. Là encore, la solution réside dans une libéralisation totale du cryptage des données, afin d'éviter les abus ou malveillances.
C'est évidemment du côté de la procédure et de l'organisation judiciaire que les améliorations les plus importantes peuvent être apportées.
Ainsi qu'il a été déjà mentionné, il n'y a pas de délit spécifique à Internet, et le droit commun s'applique aux infractions commises à travers le réseau, comme ailleurs. La procédure judiciaire d'urgence existe déjà (référé), mais il faudrait l'adapter du point de vue du mode de saisine. En effet, l'immédiateté de la transmission d'informations sur le réseau, ainsi que son accès à tous pour la communication publique, implique que le mode de saisine de l'autorité judiciaire soit facilité, comme est facilitée la possibilité de commission d'infraction. S'il peut être facile de nuire, par exemple par la simple émission d'un article diffamatoire dans un forum de discussion, il serait logique, légitime, et équitable, qu'il soit également facile pour la personne lésée de faire valoir son bon droit, et d'obtenir réparation.
La réforme du fonctionnement de la justice fait l'objet de plusieurs débats, qui dépassent le simple cadre d'Internet. Il semble qu'il existe un consensus sur la nécessité d'une justice de proximité, une justice qui viendrait aux citoyens, pour ainsi dire, une justice plus accessible à tous, une justice plus moderne. On a pu voir des propositions de revalorisation du rôle du juge de paix, on a même vu une expérience de « juge de paix itinérant ».
Dans le cas d'Internet plus particulièrement, nous pourrions avoir cette proximité dans les faits : il suffirait que le juge soit sur Internet, puisse être saisi avec une rapidité en accord avec l'immédiateté du réseau, pour la créer. Les avocats pourraient être présents également sur le réseau. Il ne s'agit pas de retirer au processus judiciaire l'une de ses caractéristiques essentielles, la sérénité, mais d'aller plus loin dans la procédure d'urgence dont les règles sont déjà établies (référé), en modernisant le mode de saisine.
Internet serait à ce titre une excellente zone d'expérimentation de cette justice de proximité, pour les raisons, non limitatives, suivantes : la variété des possibilités d'infraction (il n'y a pas d'infractions spécifiques); la taille encore réduite de la population, population en revanche suffisamment diverse; la spécificité d'Internet : communication de chacun vers tous; la nouveauté d'Internet : autant il est difficile de conduire des expérimentations qui vont déranger toutes les lourdeurs installées (et donc être possiblement mal acceptées depuis le départ), autant il est intéressant de profiter de cette « nouveauté », de cet « espace vierge », pour y pratiquer des expérimentations qui peuvent se révéler intéressantes.
Un embryon d'expérimentation pourrait être réalisé par la mise en oeuvre d'un mécanisme tel que proposé et détaillé en annexe III de ce document (« proposition pour un mécanisme d'autorégulation sur Internet », notamment pour sa partie réception, examen et aiguillage des requêtes), ainsi que par l'extension du programme de médiation pénale, comme proposé en annexe IV de ce document (« l'autorégulation : médiation ou arbitrage ? »). Ces expérimentations permettraient de prendre la mesure de l'adéquation de telles procédures, et, si elles s'avéraient concluantes, pourraient être présentées aux parlementaires afin qu'ils puissent les discuter et, éventuellement, les utiliser comme fondements de modifications à la procédure pénale. S'il s'avérait que ces expérimentations n'étaient pas concluantes, elles n'auraient en tout état de cause pas pu nuire, étant donné que leur description (cf. annexes) n'implique à aucun moment qu'un jugement soit rendu dans des conditions différentes des conditions actuellement en vigueur.
Les membres du bureau d'IRIS sont actifs au niveau européen (notamment DG XIII, groupe de travail contenus illégaux et offensants sur Internet, présidé par M. Frans de Bruïne) et au niveau international (notamment OCDE, comité de la politique de l'information, de l'informatique, et de la communication - OCDE/DISTI/ICCP -, en tant que représentants d'une coalition internationale d'organisations pour le respect des libertés publiques sur Internet). Un document analysant les différentes initiatives par pays n'a pu être établi, vu le délai d'une semaine seulement depuis la demande d'audition, mais pourra être élaboré ultérieurement.
Il ressort de toutes les discussions que le meilleur moyen à mettre en oeuvre pour accélérer la rapidité des investigations au plan mondial est une réelle coopération des forces de police, comme des autorités judiciaires des différents pays. En particulier, la mise en place d'un point de contact électronique des autorités policières de chaque pays, d'usage réservé à ces autorités, serait une solution adéquate. En parallèle, le développement de mécanismes tels que celui décrit en annexe III serait souhaitable dans les pays concernés. Ces solutions de coopération internationale permettent à chaque pays de conserver sa souveraineté, et sont donc plus souhaitables que des tentatives de conventions internationales qui ne seraient certainement que peu respectées, voire non ratifiées : il existe trop de différences culturelles et sociales, se traduisant par des législations difficilement harmonisables. Il suffit pour s'en rendre pleinement compte de constater les différences entre la législation américaine et celles de la plupart des pays européens, or il n'est pas concevable, étant donné l'importance du rôle des États-Unis, surtout lorsqu'il s'agit d'Internet, qu'une telle convention internationale ne soit pas ratifiée par ce pays : ce serait condamner d'avance l'efficacité de cette convention.
Toutefois, pour les crimes comme les viols d'enfants, des conventions internationales se mettent en place (cf. convention de Stockholm). Il importe au plus haut point qu'elles soient respectées sans pour autant nuire aux libertés publiques et aux droits de l'homme.
Pour les infractions, de gravité bien moindre, un système proche de celui de la directive européenne « Télévision Sans Frontière » pourrait effectivement être une bonne solution, adaptable à Internet, permettant d'appliquer la loi du pays d'émission aux auteurs d'infractions : en effet, il est d'une part impensable d'appliquer la loi du pays de réception dans les cas où l'émetteur n'est pas en infraction par rapport à la législation de son pays de nationalité ou de résidence, et d'autre part les réserves que l'on pourrait avoir sur la directive TSF (qui a pour effet de bord d'imposer la culture et les choix de société des pays les plus riches et les plus puissants par le biais de la télévision) sont rendues très ténues par le fait que la diffusion via Internet n'a pas le même impact que la diffusion télévisuelle (sauf dans le cas des techniques push info).
Parmi les nouvelles formes d'atteintes aux droits de la personne mentionnées en section I, on trouve essentiellement les atteintes à la vie privée et à la protection des données personnelles. Les possibilités d'archiver et de traiter en masse des données personnelles sont immenses, et facilitées par le traitement informatique en réseau. De plus, les outils de navigation actuels permettent de dresser facilement des profils de consommateurs, par le biais des cookies, dont la victime ne soupçonne parfois même pas l'existence.
Les envois de courrier commerciaux non sollicités (spam) inondent à coût très réduit les boîtes aux lettres de plusieurs milliers de personnes par des messages publicitaires, en reportant une partie des coûts sur les destinataires. Ils ont en outre pour principal effet, en consommant de la bande passante, de compromettre le fonctionnement du réseau. Ces envois deviennent de plus en plus fréquents en France, bien qu'ils soient théoriquement en infraction avec la loi de janvier 1978, comme avec la directive européenne relative à la protection des données personnelles.
L'absence de liberté de crypter en France (l'un des très rares pays au monde à ce point arriéré) contribue fortement aux possibilités d'atteinte à la vie privée et aux libertés publiques.
S'il faut légiférer, et appliquer plus sévèrement les réglementations en vigueur, c'est bien pour que cessent ces abus en France.
Il serait souhaitable que la loi impose, avant la diffusion sur le réseau de toute donnée personnelle, que la personne concernée soit informée et donne son consentement. Il serait également souhaitable que tout traitement (hormis les traitements comptables induits par la relation commerciale entre un particulier et une société commerciale) soit impossible sans le consentement explicite de la personne. Une traduction de telles mesures dans les contrats des fournisseurs d'accès serait sans doute nécessaire, afin d'obliger leurs clients sociétés commerciales à se conformer à ces dispositions; en tout état de cause, il s'agit là d'une question beaucoup trop importante pour qu'elle soit simplement traitée par autorégulation des acteurs. Par ailleurs, des pays comme les États-Unis ne disposant encore d'aucune réglementation à ce sujet, alors qu'ils sont la source des abus les plus importants, il serait également hautement souhaitable que le traitement de ces questions soit étendu au plan international.
Au sujet de la cryptographie, les dispositions de la loi sur la réglementation des télécommunications de juillet 1996 peuvent difficilement être considérées comme acceptables, et en aucune manière comme une réponse à la nécessaire protection de la vie privée sur le réseau. On trouvera en annexe VII un argumentaire détaillé en ce sens.
La « raison d'État » continue d'être invoquée pour justifier des atteintes aux libertés individuelles et collectives indignes d'une démocratie, sans que jamais on ait pu apporter le moindre début de justification pertinente. Le système des « tiers de confiance » n'apporte pas les garanties suffisantes contre l'ingérence de l'État dans les affaires privées, ingérences dont tout le monde a suffisamment eu connaissance dans le cadre des affaires d'écoutes téléphoniques administratives. De plus, les « tiers de confiance » seront autant de cibles privilégiées pour le piratage d'informations et les pressions de toutes sortes, notamment financières : l'espionnage industriel est aussi un risque important. Finalement, le système instauré par la loi de juillet 1996 ne semble satisfaisant que pour les organismes qui seront agréés - on ne sait sur quels critères - pour la gestion et la garde des clés, tant l'enjeu financier est grand pour ceux qui bénéficieront de cette véritable manne commerciale. Quant au chiffrement autorisé avec des clés de taille inférieure à 40 bits, c'est une mesure dont le ridicule est frappant, puisqu'elle revient à interdire purement et simplement le chiffrement, une telle clé étant désormais « cassable » en quelques minutes.
Enfin, il convient d'examiner si la loi de juillet 1996 est bien en conformité avec les textes européens, ratifiés par la France. Une communication européenne sur la cryptographie (http://www2.echo.lu/legal/fr/internet/actplan.html) permet de s'interroger à cet égard.
Seule une libéralisation totale de l'usage de la cryptographie en France permettra de résoudre tous ces problèmes.
L'annexe III (« Proposition pour un mécanisme d'autorégulation sur Internet »), l'annexe IV (« L'autorégulation : médiation ou arbitrage ? »), l'annexe V (« Six mois de conseils juridiques aux utilisateurs d'Internet ») et l'annexe VI (« Étiquetage et filtrage : possibilités, dangers et perspectives ») de ce document traitent dans le détail de toutes les questions posées dans cette section.
Les mécanismes de hot-line instaurés dans certains pays peuvent faire l'objet d'une partie spécifique dans un document supplémentaire sur la situation à l'étranger si nécessaire (déjà mentionné en section III). La hot-line mise en place au Royaume Uni est particulièrement à proscrire, ne serait-ce que parce qu'elle s'adresse au fournisseur d'accès pour supprimer des contenus, et non au fournisseur de contenu lui-même, et parce qu'elle vise à supprimer des contenus. Elle comporte également d'autres dispositions inacceptables, comme le blocage de groupes dans les forums de discussion (sur les blocages, cf. annexe VI). La hot-line mise en place aux Pays-Bas ne concerne que les images à caractère pédophile. Elle pose également des problèmes pour une transposition en France (suppression des contenus sans sanction de l'auteur de l'infraction, sauf en cas de récidive ou de refus de supprimer le contenu). Ceci pourra être détaillé dans un document spécifique (à noter que le fonctionnement de la hot-line des Pays-Bas a fait l'objet le 29 octobre 1997 de la présentation d'un rapport relatant une année d'existence devant le parlement de ce pays par le responsable de cette structure, Felipe Rodriquez, afin de décider des suites qui doivent y être apportées).
La question portant sur la création d'un organisme spécifique de régulation ne semble concerner que les services en ligne, dénomination généralement utilisée pour les services dits « à valeur ajoutée » (proposant des contenus sous leur responsabilité ou coresponsabilité éditoriale, en plus de l'accès à Internet), afin de les différencier des fournisseurs d'accès et d'hébergement. Il ne s'agit donc pas ici d'expression du citoyen ou de structures associatives, ni même d'organismes publics, mais bien de fournisseurs de contenus commerciaux.
Étant donné l'importance qu'il y a effectivement à distinguer clairement les contenus non marchands des contenus commerciaux, le traitement spécifique des services en ligne est sans doute pertinent. L'autorégulation sectorielle, respectant des règles déontologiques, dans la limite des lois régissant ces fournisseurs de contenus commerciaux (par exemple les lois sur la presse ou l'audiovisuel pour les organismes qui en dépendent) peut être une réponse dans ce cas, mais ne doit concerner que la fourniture de « service à valeur ajoutée », et non la fourniture d'accès ou d'hébergement simple à Internet : le problème est alors de bien distinguer les secteurs d'activités différents d'une même société commerciale.
Le statut du métier de fournisseur d'accès gagnerait à être clarifié, de même que l'analyse de la responsabilité (cf. section I). Toutefois, les inscrire dans un régime particulier de licence, ou les soumettre à des obligations comme la fourniture de logiciels de filtrage est une expérience qui a déjà été tentée par la loi de réglementation des télécommunications (« amendement Fillon »), avec le succès que l'on sait : il s'agit de ne pas refaire les mêmes erreurs.
Obliger les fournisseurs d'accès à la coopération avec la police reviendrait à les inciter à la délation. Par ailleurs, ce serait une énorme régression pour la France : à titre d'exemple, les hôteliers ne sont plus tenus de faire remplir des fiches de police par leurs clients depuis 1974 ! Même si le précédent gouvernement a réinstauré un tel système de fichage avec l'aide de commerçants pour ce qui concerne la vente de cartes téléphoniques utilisables avec des téléphones mobiles - ce qui n'est pas admissible -, par peur de l'anonymat total qui aurait sinon été permis, il n'est pas acceptable de considérer une telle possibilité de retour plus de 20 ans en arrière. En revanche, le founisseur d'accès doit répondre à des demandes d'information formulées par l'autorité judiciaire.
La dernière question est ainsi formulée : « Quelles suggestions avez-vous permettant de limiter la diffusion de contenus illégaux et préjudiciables sur Internet ».
En France (« amendement Fillon »), comme dans d'autres pays (États-Unis, Communication Decency Act), on a tenté d'y apporter autoritairement des réponses par voie législative. Dans les deux cas, les garants des droits constitutionnels des deux pays ont rejeté ces mesures. En Allemagne, une loi a été votée (loi sur l'information et la communication), qui entérine le transfert de la souveraineté de l'autorité judiciaire vers des sociétés commerciales, les fournisseurs d'accès, par une disposition qui les tient pour responsables des contenus hébergés dès lors qu'ils ont connaissance de l'aspect possiblement illégal de ces informations. Cette loi n'a malheureusement pas fait l'objet de contestation, mais elle fait des fournisseurs d'accès des censeurs en puissance, puisqu'ils n'hésiteront pas à supprimer des contenus dont ils ne sont pas les auteurs, de crainte de faire eux-mêmes l'objet de poursuites judiciaires.
On a ensuite tenté, en France (« Charte et Conseil de l'Internet » de la commission Beaussant) mais aussi ailleurs en Europe et dans le monde, de transférer à des commerçants cette souveraineté de l'autorité judiciaire, par des propositions d' « autorégulation » inadéquates, ne tenant aucun compte des droits des citoyens. Ces tentatives n'ont pas abouti.
Il est temps de se tourner vers d'autres solutions. Nous pensons que si la procédure pénale et l'organisation judiciaire sont adéquatement modifiées, afin de faciliter les sanctions contre les auteurs d'infraction, ce sera suffisamment dissuasif : c'est bien le rôle de la loi que de fixer les limites acceptables par la société, et celui des tribunaux de montrer que le franchissement de ces limites est sanctionné, afin de limiter les transgressions par dissuasion. C'est la seule voie, largement éprouvée dans un contexte hors Internet, qui permet de respecter l'état de droit.
C'est cette voie que nous souhaitons voir appliquer en France, afin de répondre aux nouvelles questions posées par Internet. Les modes d'expérimentation proposés dans ce document et ses annexes devraient permettre de s'en approcher.
IRIS (Imaginons un Réseau Internet Solidaire) est une association créée le 4 octobre 1997. Malgré le jeune âge de l'association, ses fondateurs ont une parfaite connaissance de tous les dossiers Internet « brûlants », puisqu'ils étaient ou sont encore membres de l'AUI (Association des utilisateurs d'Internet - http://www.aui.fr/) pour la plupart, et membres de CITADEL (Citoyens associés pour la défense des libertés - http://www.citadeleff.org/) pour certains. Plusieurs en étaient même les dirigeants, ou parmi les plus actifs.
D'après ses statuts, l'objet d'IRIS est de « favoriser la défense et l'élargissement des droits de chacun à la libre utilisation des réseaux électroniques, notamment en termes de production, de mise à disposition et de circulation des contenus, ainsi que toutes actions nécessaires à la réalisation de son objet ».
IRIS s'intéresse plus particulièrement aux aspects politiques et sociaux d'Internet, et entend être une force de proposition aussi bien au plan national qu'aux plans européen et international. Ses objectifs se déclinent pour l'instant en trois axes de réflexion et d'action, qui sont évidemment liés.
Le premier axe est l'affirmation de l'accès à Internet en tant que service public, afin de permettre à tous une connectivité permanente dans des conditions équivalentes. La privatisation du monopole, si elle est difficilement évitable, ne doit pas signifier la fin du service public, que l'État a le devoir de maintenir.
Le deuxième axe vise à garantir la liberté pour chacun d'être producteur de contenu sous sa propre responsabilité, ce qui signifie évidemment de garantir la circulation de ces contenus librement sur Internet, sans qu'aucun intermédiaire technique ou administratif s'arroge le droit de disposer de ces contenus sous quelque prétexte que ce soit, et sans qu'aucun frein à la liberté de crypter soit maintenu.
Le troisième axe est d'assurer la pérennité de secteurs non-marchands sur Internet, à l'heure où il ne semble plus être question que de développer le commerce électronique et les services en ligne.
Les citoyens, les associations, comme les fournisseurs d'accès indépendants ont tous leur rôle à jouer dans ce processus, ensemble : la dichotomie ne se situe pas entre eux, mais entre eux et les grands groupes, le plus souvent multinationaux, qui, s'appropriant le marché des services en ligne, deviennent en même temps producteurs de contenus visant à faire des citoyens de simples consommateurs, comme cela se produit avec la presse, la radio et la télévision : cela ne doit pas se produire avec Internet, qui, par son architecture, offre la seule chance de se réapproprier une parole citoyenne libre.
Internet n'est pas un média de masse, de même qu'il ne se limite pas au secteur marchand. Ce sont des citoyens qui s'y expriment et qui en sont les acteurs majeurs.
La communication, l'information, l'expression de la citoyenneté, l'échange et la solidarité sont des richesses qu'Internet permet de développer de façon exceptionnelle. Internet doit donc être accessible à tous, dans le respect des libertés individuelles et des libertés publiques.
Ce qui est illégal hors Internet est également illégal sur Internet. Mais il est aussi important de rappeler que toute tentative de contrôler Internet plus sévèrement que d'autres moyens de communication serait vouée à l'échec.
Toute tentative d'instaurer un contrôle non respectueux des droits des citoyens ne peut qu'être vouée à l'échec également, et deux expériences nous l'ont prouvé : la première lorsqu'en juillet 1996 le Conseil constitutionnel de la République française a rejeté l'article 15 de la loi sur les télécommunications, et la seconde quand en juin 1997 la Cour Suprême des États-Unis a déclaré inconstitutionnelles les dispositions contestées du Communication Decency Act.
Dans les deux cas, des organisations non gouvernementales ont jugé nécessaire de rappeler que, sur Internet comme ailleurs, les principes fondamentaux de liberté d'expression et de protection de la vie privée doivent être respectés.
Ces principes sont inscrits dans la plupart des Constitutions dont nos pays se sont dotés, mais aussi dans la Déclaration universelle des droits de l'homme, dans la Convention européenne des droits de l'homme, comme dans d'autres textes internationaux.
Ce sont donc ces principes qui, appliqués à Internet, doivent guider l'élaboration de la réflexion aux niveaux nationaux comme aux niveaux européen et international.
Ces principes se traduisent en des droits minimaux revendiqués par les citoyens sur Internet : Internet présente la spécificité d'être un réseau ouvert et coopératif, de nature fondamentalement symétrique et décentralisée. Ainsi, un acteur d'Internet peut être amené à jouer indifféremment les rôles de producteur d'information, de consommateur d'information, ou encore de relais d'information entre deux acteurs. Par conséquent, les principes soulignés doivent être interprétés et traduits en comportement ou conduites appropriées dans chaque cas :
Droit à l'expression :
Tout acteur est en droit de produire des informations et de les mettre à disposition de l'ensemble des acteurs, sous sa propre responsabilité et dans le respect des conventions régissant l'expression publique.
Droit à l'information :
Tout acteur ayant atteint l'âge légal de la majorité a droit d'accès à tous les espaces publics d'Internet. Les mineurs d'âge exercent leur droit d'accès sous la responsabilité de leur tuteur légal.
Droit à la communication :
Tout acteur est en droit de produire des informations et de les mettre à disposition d'un acteur ou groupe d'acteur identifié. Ces informations sont protégées par le secret de la correspondance privée.
Droit à l'anonymat :
Tout acteur est en droit de produire des informations sous couvert d'un anonymat légitime lorsqu'il l'estime nécessaire.
Droit à la confidentialité :
Tout acteur est en droit d'interdire ou de restreindre l'accès à des informations privées. Le droit d'utiliser librement des mesures et produits efficaces destinés à garantir l'authentification, la confidentialité et l'intégrité des communications doit lui être reconnu. Ce droit est par ailleurs intimement lié au droit à l'anonymat.
Droit au respect de la vie privée :
Tout acteur peut s'opposer à la collecte des données nominatives, démographiques ou commerciales, à d'autres fins que le bon fonctionnement technique et l'exécution d'une prestation contractuelle. Les acteurs doivent s'engager à ne pas collecter des données personnelles à l'insu des personnes concernées, à ne pas utiliser ces données à d'autres buts que ceux indiqués, et à ne pas les communiquer à des tiers, sauf accord exprès. Tout acteur a le droit de refuser les sollicitations non désirées ou constituant un abus.
Ces droits minimaux ne sont que la transcription des principes de liberté d'expression, d'information, de communication et de respect de la vie privée. Ils ne sauraient s'appliquer sans leur contrepartie naturelle, qui implique que tout acteur doit assumer ses responsabilités face à la société, dans le respect des législations nationales et internationales.
Responsabilités quant aux contenus émis publiquement :
Pour le respect des droits des citoyens comme pour la préservation de l'activité des acteurs économiques majeurs que représentent les fournisseurs d'accès et de services à Internet, il est crucial de séparer les responsabilités des fournisseurs d'accès et de services de celle des fournisseurs de contenu.
Ainsi, la production des informations et leur mise à disposition publique doivent se faire sous la responsabilité pleine et entière du fournisseur de contenu.
Internet est une infrastructure de communication ouverte à tous, dont les services sont utilisés par des citoyens comme par des organismes non gouvernementaux ou institutionnels, ou encore par des sociétés commerciales. À ce titre, on ne peut y adapter des mécanismes faisant uniquement référence à la déontologie de certaines professions, et le citoyen s'exprimant sur Internet ne saurait être soumis à de telles règles, et ne saurait être limité dans son expression publique que par la législation, respectueuse de ses droits constitutionnels.
Certaines visions de l'autorégulation présentent un danger d'assimilation de la responsabilité pénale du fournisseur de contenu à celle du fournisseur d'accès et de services, danger qui pourrait conduire à une perte de souveraineté de l'autorité judiciaire en faveur des professionnels commerciaux. Il est primordial de se garder de ce danger qui porterait atteinte à l'état de droit.
En effet, des décisions qui consisteraient à faire assumer à des fournisseurs d'accès, de services, et d'hébergement la responsabilité d'un contenu lorsque sa teneur a été portée à sa connaissance mettraient le fournisseur d'accès et de services en position de juge et de censeur, alors que son rôle se limite au transport et à la mise à disposition automatique d'informations fournies par un fournisseur de contenus.
Il faut reconnaître au fournisseur d'accès et de services son incapacité à juger du caractère délictueux ou nocif d'une information lorsqu'elle est fournie par une tierce partie.
Il est crucial que l'appréciation du caractère illégal ou nocif d'une information reste du seul ressort de l'autorité judiciaire, dont c'est le rôle social.
Il est nécessaire d'éviter que des émotions conjoncturelles fortement médiatisées puissent porter atteinte aux principes fondateurs de nos sociétés, principes fondamentaux pour la protection des droits de l'homme et des libertés publiques.
Nos sociétés savent se réunir et s'unir pour lutter contre les crimes les plus graves portant atteinte à notre dignité à tous, comme cela a été le cas à Stockholm pour la lutte contre l'exploitation sexuelle des mineurs. Il s'agit de se donner les moyens pratiques de renforcer la collaboration judiciaire internationale, sans porter atteinte à la souveraineté des États ni aux droits des citoyens.
Meryem Marzouki
Les objectifs du MAI sont de deux ordres :
1. Répondre à une demande de l'opinion afin de lutter contre les contenus illégaux sur Internet. Cette demande, bien qu'amplifiée par les médias et les politiques, tant en France qu'en Europe ou dans le reste du monde, est existante et sans aucun doute légitime.
2. Permettre une meilleure compréhension des usages d'Internet, surtout par la société civile et les tribunaux. L'ambition du MAI est de contribuer à faire évoluer le droit positif sans qu'il soit forcément nécessaire de légiférer spécifiquement pour Internet. Pour ce faire, le MAI a l'objectif de :
Pour répondre à ces objectifs, la définition du MAI est fondée sur les principes suivants :
1. Seul le juge judiciaire est habilité à dire le droit, dans le respect de la Constitution. En particulier, le MAI rejette tout concept de « contenu manifestement illégal », dont l'appréciation serait confiée à un fournisseur Internet ou à une commission administrative. Il ne saurait donc y avoir d'« autorégulation » en matière de contenus illégaux, puisqu'une telle notion reviendrait à instaurer une « police et une justice privée ».
2. La communication publique sur Internet ne saurait être plus restreinte que sur d'autres médias. En particulier, le contrôle préventif avant décision judiciaire n'a pas lieu d'y être instauré, et la suppression d'un contenu ou de l'accès public à un contenu sur Internet peut s'apparenter à une saisie, qui ne peut être opérée que dans des conditions très sévèrement réglementées par la législation française, afin de préserver la liberté d'expression, inscrite dans notre Constitution comme dans les textes européens et internationaux. Ceci n'exclut pas la répression des infractions commises, par la sanction infligée à leurs auteurs. Ces infractions sont déjà énumérées, limitativement, par le législateur.
3. La spécificité d'Internet, en particulier la rapidité de la diffusion des contenus, ainsi que la possibilité pour chacun de s'exprimer publiquement, impose toutefois de permettre une réponse judiciaire rapide, et de sanctionner les abus qui pourraient survenir dans l'utilisation publique du média. Afin de remédier à la lenteur souvent invoquée à propos de la procédure pénale, ainsi qu'à la difficulté éventuelle de saisine, le MAI permet d'adresser les plaintes directement et rapidement à un magistrat, qui pourra indiquer à l'auteur d'une requête les moyens pratiques de saisir l'autorité judiciaire, en cas de nécessité.
4. Le fournisseur Internet, qu'il soit fournisseur d'accès, de services, ou d'hébergement, assure un service technique et automatique de mise à disposition publique de contenus sur Internet. En conséquence, il n'a pas droit de regard, ni de responsabilité à assumer sur la teneur de ces contenus lorsqu'il n'en est pas le fournisseur, cette responsabilité relevant uniquement du fournisseur de contenu. En revanche, le fournisseur Internet doit se mettre au service de la justice afin de fournir toute information pertinente à l'autorité judiciaire dans le cadre de ses enquêtes de recherche de responsabilités.
5. Étant donné d'une part que dans l'état actuel de la législation française, un fournisseur Internet hébergeant, voire transportant, des contenus illégaux, pourrait être considéré par une interprétation de justice comme coresponsable, à un titre ou un autre, avec le fournisseur de ce contenu, de cette infraction; étant donné d'autre part que c'est bien en souhaitant que cette éventualité soit retenue que certains plaignants s'adressent de préférence au fournisseur Internet, plutôt qu'au fournisseur de contenu ou à la justice directement, afin que le fournisseur Internet préfère supprimer le contenu ou l'accès au contenu plutôt que de courir un risque qui pourrait s'avérer important; la meilleure solution pour satisfaire toutes les parties revient à supprimer ce risque pour le fournisseur Internet, pour autant qu'il reste dans son seul rôle d'hébergement et de transport de contenus.
6. Le MAI sera entouré de toutes les précautions nécessaires à en prévenir toute utilisation abusive ou malveillante. Un soin particulier sera apporté à la protection des données nominatives. Il est tenu au secret.
7. Le MAI ne s'autosaisit jamais, et n'est activé qu'à réception d'une requête.
Afin de satisfaire les objectifs qui lui sont assignés, dans le respect des principes ci-dessus définis, le MAI assure quatre rôles :
1.Un rôle de « tampon » en cas de contenu faisant l'objet d'une requête possiblement menaçante envers le fournisseur Internet l'hébergeant.
2.Un rôle de médiateur en cas de litiges privés, mettant en cause deux parties.
3. Un rôle d'expert auprès des tribunaux.
4. Un rôle de pédagogue pour tous.
Le MAI est activé selon un ou plusieurs de ces quatre rôles par le magistrat responsable de son fonctionnement dans les conditions suivantes :
1. Une requête est reçue par le MAI, destinataire de toutes les requêtes relatives à un contenu sur Internet qui pourraient être adressées à un fournisseur d'accès, de services ou d'hébergement dépendant des juridictions françaises. Ces requêtes peuvent provenir de France ou de l'étranger, et peuvent concerner un contenu émis à partir du territoire français ou de l'étranger.
2. La recevabilité de la requête est examinée. Une requête peut être recevable, transmissible, ou non recevable.
3. Une requête recevable est traitée par aiguillage du MAI vers l'un ou plusieurs des trois rôles de tampon, médiateur, ou expert, dont les fonctionnements respectifs sont explicités plus loin.
4. Le traitement de la requête et son résultat font l'objet d'un rapport, public mais non nominatif, par le MAI dans son rôle de pédagogue.
Ces trois tâches sont effectuées sous le contrôle du magistrat responsable du MAI.
Pour être recevable, une requête devra :
Pour être transmissible, une requête devra être non recevable uniquement car elle concerne une information émise par un ressortissant étranger, résidant à l'étranger, à condition qu'un équivalent connu du MAI existe dans le pays étranger de résidence ou de nationalité de l'émetteur de l'information.
Lorsqu'une requête est transmissible, le MAI se borne à la transmettre à son équivalent étranger concerné. Si la requête est recevable, le MAI s'oriente vers le mode de fonctionnement adéquat.
Ce mode de fonctionnement a pour objectif de débarrasser de tout risque de coresponsabilité le fournisseur Internet en étant, ou s'en sentant, possiblement menacé par une requête. Le but principal de ce mode de fonctionnement du MAI est donc d'éviter tout contrôle préventif, voire toute suppression de contenu, ou d'accès à un contenu, non requise par une décision judiciaire.
Dans ce mode de fonctionnement, le contenu hébergé auparavant par le fournisseur Internet devient hébergé par le MAI lui-même sur ses propres matériels. Il est remplacé sur les matériels du fournisseur Internet par un lien vers le MAI, afin d'en permettre l'accès.
Le fonctionnement en mode tampon dure le temps nécessaire à ce qu'un jugement soit rendu par l'autorité judiciaire sur le contenu ayant fait l'objet d'une requête. Si ce jugement n'ordonne pas la suppression du contenu, ce contenu redevient hébergé par le fournisseur Internet.
Afin de limiter les abus ou malveillances, le fonctionnement en mode tampon du MAI doit obligatoirement être justifié par une procédure judiciaire classique à l'encontre du fournisseur du contenu ayant fait l'objet de la requête. Cette procédure judiciaire doit être entamée par le demandeur de la requête, estant dans les conditions habituelles, éventuellement aidé d'indications pratiques du MAI. Si le demandeur refuse d'entamer une procédure judiciaire, le contenu demeure chez le fournisseur Internet, qui pourra solliciter le témoignage du MAI en cas de procédure judiciaire entamée ultérieurement, sur la base de la même requête, directement contre lui par le demandeur de la requête, afin d'éviter l'utilisation abusive ou malveillante du MAI.
Le fonctionnement en mode médiateur ne consiste pas à rendre un jugement, ni un avis, ni une recommandation quelconques. Le rôle du médiateur est d'expliquer aux parties si l'une crée un préjudice à l'autre, et dans quelle mesure. Il doit être capable de proposer des arrangements amiables satisfaisants pour les deux parties. Les parties ne peuvent être que privées, personnes physiques ou morales. La médiation nécessite comme préalable que les parties acceptent le processus de médiation. Cela ne préjuge pas de la réussite ou de l'échec de la médiation, chaque partie restant libre de s'en remettre à la justice, au cas où une solution satisfaisant les deux parties n'a pu être trouvée. On trouvera plus de détails sur le fonctionnement en mode médiateur en annexe IV (« L'autorégulation : médiation ou arbitrage ? »).
Le fonctionnement en mode expert a pour objectif d'aider les tribunaux dans l'instruction et le jugement d'affaires qui leur sont soumises. Un juge désireux de consulter un expert peut trouver auprès du MAI les conseils techniques, ou toute autre explication pertinente sur les usages et le fonctionnement d'Internet. Les experts du MAI peuvent également être sollicités par tout organisme, public ou privé, pour les aider à se faire une opinion ou à prendre une décision. En particulier, les utilisateurs individuels pourront solliciter les conseils du MAI en mode « expert », afin d'obtenir une information précise et fiable sur leurs droits et obligations concernant le statut et les conséquences juridiques de leur activité de fourniture de contenus. Une telle expérience a été conduite à titre bénévole en France, on en trouvera un compte rendu détaillé en annexe V (« Six mois de conseils juridiques aux utilisateurs d'Internet).
Le fonctionnement en mode pédagogue permet de rassembler et de mettre à disposition du public différentes ressources pédagogiquement pertinentes, sur le site Web du MAI. Ces ressources incluent, mais ne sont pas limitées à, des FAQ juridiques, le rappel de la jurisprudence sur Internet, des informations techniques sur le fonctionnement et les usages d'Internet, etc. En particulier, le fonctionnement en mode pédagogue propose des comptes rendus de toutes les requêtes dont le MAI a été saisi, ainsi que de leur traitement et des résultats auxquels elles ont abouti. Ces comptes rendus ne comportent aucune information nominative, ni plus généralement d'information permettant d'identifier les protagonistes.
Le site Web du MAI comprend par ailleurs les informations administratives suivantes : le texte définissant son principe, ses objectifs, son rôle et son fonctionnement; les conditions de recevabilité et de transmissibilité d'une requête; l'identification de ses équivalents étrangers auxquels des requêtes sont transmissibles; un formulaire-type de requête; les coordonnées relatives à tous les moyens possibles de lui adresser une requête.
Sébastien Canevet
Depuis 1996, l'Internet francophone a connu un extraordinaire développement. Cette rapide évolution ne s'est pas faite sans l'apparition de conflits liés à l'existence et à l'utilisation du réseau. Les diverses tentatives visant à organiser juridiquement la résolution de ces différends n'ont pas encore abouti à des réalisations concrètes. Il paraît donc important de clarifier les conditions juridiques de mise en oeuvre de cette autorégulation. L'objet de cette brève étude est de tracer quelques pistes et de préparer une analyse plus approfondie de la question.
L'autorégulation doit pouvoir trouver son fondement juridique dans une démarche purement volontaire, contractuelle, des parties. Trois mécanismes juridiques différents sont envisageables. Ce sont, par ordre croissant de contrainte pour les parties, la conciliation, la médiation et l'arbitrage.
Cette trilogie juridique paraît cependant un peu complexe. De plus, la différence entre la conciliation et la médiation est fort ténue en fait (sinon en droit) et la pratique démontre que l'on passe insensiblement de l'une à l'autre. Le choix des mécanismes juridiques pouvant servir de fondement à la mise en place de cette autorégulation paraît donc se réduire à l'alternative suivante : la conciliation-médiation d'une part et l'arbitrage d'autre part.
L'arbitrage nous semble receler certains dangers. En effet, par son caractère décisoire, il peut conduire l'organisme chargé de l'autorégulation à se substituer au système judiciaire. C'est pourquoi il nous paraît opportun de l'écarter, au profit de la médiation qui, seule, permet aux parties de choisir les conditions dans lesquelles leur litige peut être amené à se résoudre. De plus, le recours à l'arbitrage est parfois limité par le droit positif [1].
Le choix de la médiation apparaît sécurisant à la fois pour l'utilisateur individuel et pour l'utilisateur marchand ou institutionnel, qui pourra ainsi à tout moment et au cas par cas choisir de ne pas continuer à s'engager dans le processus de médiation. Ce caractère purement volontaire peut sembler exagérément peu contraignant pour les différents acteurs. Il nous paraît cependant, en fait sinon en droit, un moyen à la fois sûr et sécurisant d'aboutir à une solution acceptable par tous dans la majorité des conflits.
Jusqu'à présent, les initiatives françaises ont toutes essayé de prendre les choses « par le haut ». Elles ont cherché à proposer (imposer?) un système auquel les acteurs d'Internet peuvent ensuite adhérer. Ces initiatives ont toutes rencontré beaucoup de résistance et aucune n'a encore vu le jour. La présente initiative vise plutôt à prendre les choses « par le bas », c'est-à-dire à proposer un service aux utilisateurs, celui de les aider à résoudre un problème donné se posant sur Internet, sans demander une quelconque adhésion préalable. Dans cette optique, le recours à la médiation peut être le fait de n'importe quel utilisateur.
1. Dès la mise en place de l'organisme de médiation, la saisine est possible par toute personne physique ou morale.
2. Le médiateur peut entendre toute personne dont l'audition lui paraît utile, sous réserve de son accord.
3. Le médiateur peut constater par écrit l'accord ou le désaccord survenu entre les parties.
4. Les parties peuvent exprimer la volonté qu'il soit demandé au juge de donner force exécutoire à l'acte exprimant leur accord.
5. Le médiateur est tenu à l'obligation du secret.
6. Il publie un rapport sur les cas dont il est saisi, ainsi que la suite qui a été donnée à la démarche effectuée.
Le système proposé ici pour les litiges privés pourrait s'inscrire dans le programme de médiation pénale actuellement mis en oeuvre par le ministère de la Justice. Il s'agit d'éviter de recourir au juge pénal pour les petites infractions. Dans ces affaires, le Parquet a la possibilité de renvoyer l'affaire à l'organe de médiation plutôt que de déclencher la poursuite. Cette procédure, rapide et légère, est parfaitement adaptable à Internet mais nécessite l'intervention des pouvoirs publics pour l'étendre au secteur pénal.
1. Le cybertribunal québécois : http://www.cybertribunal.org - en français (arbitrage et médiation).
2. Le Virtual Magistrate : http://vmaq.vcilp.org (arbitrage).
3. L'Ombuds Online Office : http://www.ombuds.org (procédure de médiation).
Notes
1. Par exemple, le droit français interdit la clause compromissoire (l'acceptation préalable de recourir à un arbitre en cas de conflit) aux particuliers (article 2061 du code civil) et l'article 2060 en son alinéa 1er dispose qu' « On ne peut compromettre sur les questions d'état ou de capacité des personnes, sur celles relatives au divorce et à la séparation de corps ou sur les contestations intéressant les collectivités publiques et les établissements publics et plus généralement dans toutes les matières qui intéressent l'ordre public ».
Sébastien Canevet
L'objectif premier de cette action était de fournir aux utilisateurs un moyen simple et convivial d'obtenir une information précise et fiable sur leurs droits et obligations concernant le statut et les conséquences juridiques de leurs activités. Une seconde finalité, complémentaire de la première, fut d'expérimenter un système qui pourrait servir de base de réflexion à une future autorégulation.
La mise en place de cette expérience s'est faite au sein de l'association Citadel. Techniquement, un formulaire était mis à la disposition de l'ensemble des utilisateurs sur un site Web, afin qu'ils puissent soumettre leurs questions et/ou l'adresse de leur page Web, la réponse leur étant fournie par courrier électronique. Une liste de questions-réponses (FAQ) était également proposée aux utilisateurs, afin de leur fournir une réponse immédiate aux questions les plus fréquentes. Les moyens matériels utilisés étaient donc modestes, le principal investissement étant un travail de recherche et de réflexion.
Ces conseils juridiques étaient proposés bénévolement aux utilisateurs d'Internet. Il était toujours précisé qu'ils devaient être considérés comme de simples « conseils d'amis », sans aucune portée officielle et sans que leur destinataire puisse s'en prévaloir à l'occasion d'un conflit éventuel. Afin que cette facilité proposée aux utilisateurs ne fût pas détournée de son objectif initial, par exemple par un adversaire éventuel désireux de se renseigner sur la légalité de la page Web d'un tiers, toute réponse n'était envoyée qu'après avoir vérifié que l'auteur de la question était aussi celui de la page Web. Cette limite a néanmoins été rapidement dépassée, car les questions posées ont largement débordé la simple question de la légalité des pages Web. La confidentialité des questions et des réponses qui leur étaient apportées était garantie aux utilisateurs, sous réserve des lois en vigueur.
Le service a été lancé en décembre 1996, mais un problème technique a entraîné la perte d'une partie des données. Les chiffres présentés ici portent donc sur la période janvier-juin 1997.
Janvier : 13
Février : 24
Mars : 31
Avril : 42
Mai : 34
Juin : 37
Soit un total de : 181 demandes [1].
La majeure partie des demandes reçues portait sur la légalité des sites Web, mais, contrairement à ce qui était attendu, certaines d'entre elles portaient sur d'autres problèmes juridiques.
131 demandes portaient sur l'utilisation d' uvres protégées, se répartissant comme suit :
Utilisation de textes : 67
Utilisation de marques et logos : 29
Utilisation d'images : 22
Utilisation de compositions musicales : 13
Sous ce titre sont rassemblées des demandes (au nombre de 19) dans lesquelles un simple avis était inopérant, les auteurs étant déjà au courant de leurs droits. Il s'agissait en fait de demandes implicites de médiation ou d'arbitrage. Un refus leur a été opposé.
Revendication « d'idées » : 11
Revendication de textes et/ou images : 5
Revendication de noms de sites : 2
Revendication de nom de domaine (pour une association) : 1
Moeurs (sites à vocation érotique) : 4
Publicité réglementée (alcool, tabac) : 3
Stupéfiants : 2
Confidentialité des données et secret professionnel : 3
Droit du travail (confidentialité des courriers reçus sur le lieu de travail) : 3
Droit à l'image (web cams ) : 2
Mode de preuve : 7
Autres (demandes de précision sur le déroulement d'une procédure) : 4
Enfin, les demandes résiduelles n'appelaient pas de réponse juridique à proprement parler. Généralement, un renvoi à la Netiquette était la seule réponse utile. Elles ne sont donc pas développées ici.
Sur la page d'accueil de ce service, il était précisé qu'il était réservé aux particuliers. Malgré cette précaution, plusieurs demandes émanant du milieu professionnel sont parvenues : 14 sur 181 demandes. Les réponses fournies aux professionnels étaient en général plus brèves que celles adressées aux particuliers. Elles se bornaient à rappeler le principe juridique en cause et recommandaient de s'adresser à un professionnel du droit pour de plus amples précisions. Il faut remarquer qu'à plusieurs reprises les correspondants professionnels se sont inquiétés de l'aveu d'incompétence de leur conseil habituel. Ils ont alors été orientés vers des professionnels et des ouvrages spécialisés. En ce qui concerne les particuliers, et pour autant que l'on puisse en juger (le formulaire ne demandait pas de préciser en quelle qualité agissait le demandeur), la grande majorité de ces 167 demandes provenait de particuliers au sens strict du terme. Seules 18 semblaient provenir d'associations, soit à peine 1% de l'ensemble.
Il était précisé, tant sur le formulaire que dans les réponses, que ce service était fourni à titre de simple renseignement, de « conseil d'ami » et qu'il ne devait en aucun cas être pris pour un service officiel. Ces précautions avaient pour but d'éviter que cette initiative ne soit confondue avec un service public ou privé et ne puisse être qualifiée d'exercice illégal d'une profession juridique. Si ce type de service venait à être repris au sein d'une instance quelconque, il serait souhaitable que son statut soit clarifié.
Tout au long de cette expérience, il a semblé que les utilisateurs avaient une connaissance intuitive du permis et de l'interdit, sauf en matière de droit d'auteur. La croyance assez généralement exprimée est qu'un texte, un logo une photo n'est protégé que s'il est accompagné d'une mention qui le précise (copyright). Encore cette remarque ne concerne-t-elle que ceux qui se sont suffisamment interrogés pour recourir au présent système de conseil.
L'accueil qui est fait est généralement très favorable, mais on regrette le comportement de véritable client de la plupart des personnes qui ont recouru à ce service. Le caractère bénévole du travail effectué et des réponses apportées n'a pas réellement été perçu comme tel.
Notes
1 Malgré la facilité offerte par le formulaire pour soumettre les demandes, près d'un tiers des utilisateurs a préféré envoyer directement sa demande par courrier électronique.
François Archimbaud
Les dispositifs de contrôle parental des contenus prévus par la loi du 30 juillet 1996 résultent du seul article de l' « amendement Fillon » non censuré par le Conseil constitutionnel, mais l'annulation des deux autres articles de l'amendement a ôté toute possibilité de sanction pénale pour les contrevenants.
Ces dispositifs étant d'origine américaine, leur utilisation en France est souvent difficile (logiciels en anglais, critères inadaptés à notre culture).
Par ailleurs, les dispositifs de filtrage et d'étiquetage posent plusieurs problèmes, qu'il convient d'examiner sérieusement, afin d'éviter tout choix hâtif, qui pourrait se révéler plus porteur de danger supplémentaire que de remède.
On distingue deux types de filtrage : la solution PICS, conçue pour être utilisée de manière universelle et collective (par l'intermédiaire de proxies), et les logiciels propriétaires conçus pour une utilisation individuelle (logiciels commerciaux ou intégrés dans des navigateurs Web).
Ces systèmes ne nous semblent pas offrir aujourd'hui des garanties suffisantes :
1. Pour un filtrage efficace des contenus préjudiciables aux mineurs.
2. Pour le respect du libre choix de l'utilisateur et la protection des données personnelles.
3. Pour le respect de l'aspect multiculturel d'Internet.
4. Pour la préservation de la richesse de ses contenus.
L'utilisation de PICS est fondée sur l'étiquetage d'une part et le filtrage d'autre part.
Si l'étiquetage est réalisé par des gouvernements ou des organismes publics, cela revient à rétablir une censure d'État a priori qui n'est plus de mise pour aucun autre moyen d'expression. S'il est réalisé par des services d'évaluation déclarés indépendants, la procédure n'est viable que si suffisamment d'organismes de ce type existent pour assurer une réelle pluralité d'opinion, or le travail à effectuer est si lourd financièrement et techniquement (coût de la main d'oeuvre nécessaire à l'évaluation des sites, et serveurs capables de recevoir des millions de demandes par jour) qu'on assistera à une concentration aussi forte que celle qui existe pour les moteurs de recherche. Enfin, les minorités linguistiques et culturelles devront se soumettre aux critères des organismes dominants, c'est-à-dire essentiellement américains (cf. critères installés par défaut sur Internet Explorer de Microsoft ou sur le Navigator de Netscape). La troisième possibilité d'étiquetage est réalisée par auto-évaluation. Dans ce cas, l'auto-évaluation selon des critères imposés est une démarche contraire à la création artistique et à l'expression individuelle. Elle est inefficace si aucune sanction n'est prévue pour ceux qui auto-évaluent mal leurs sites, et liberticide si cette auto évaluation devient obligatoire sous peine de poursuites légales. Par ailleurs, pour certains éditeurs de contenu dont les sites comportent des centaines de pages qui évoluent sans cesse, elle représentera un investissement matériel trop lourd pour leur viabilité. Enfin, l'auto-évaluation ne peut vraiment s'imposer que si le vocabulaire d'évaluation se standardise au niveau mondial, d'où risque une nouvelle fois de se retrouver avec un Internet nivelé par la culture dominante. On notera pour finir que certains types de contenus ne peuvent pas par nature être étiquetés de manière pertinente : médias d'information, contenus artistiques, sites personnels, forum, IRC, etc.
Le filtrage présente un danger d'utilisation totalitaire : techniquement, PICS permet l'utilisation de proxies au niveau des points d'accès nationaux ou au niveau des différents fournisseurs d'accès, et le recours à un filtrage massif et généralisé s'éloignerait de façon radicale de la conception d'un Internet ouvert, et plus généralement de la liberté d'expression dans un pays démocratique où la loi s'applique a posteriori (lorsqu'il y a violation de cette loi) et non a priori. Le deuxième danger concerne le risque de constitution de fichiers de données personnelles : PICS, au même titre que les autres systèmes de filtrage, permet des atteintes dangereuses à l'égard de la vie privée en facilitant le fichage des informations personnelles et l'établissement de profils d'utilisateurs. Le risque inhérent à de tels fichiers est facile à imaginer : utilisation commerciale non sollicitée (marketing direct, recrutement), délation et chantage (envers les visiteurs de certains sites ou envers les fournisseurs de contenu eux-mêmes), fichage des employés au sein des entreprises.
Deux arguments principaux s'opposent de surcroît à une réelle efficacité de PICS, aujourd'hui et dans le futur :
Le premier argument est que la masse d'information est trop importante pour être classifiée. En effet, le ralentissement causé par l'interrogation de bases de données gigantesques avant d'accéder à un site ne facilitera pas la démocratisation d'un réseau déjà à la limite de l'engorgement. Le nombre de sites présents sur Internet ne cessant de croître à une vitesse phénoménale, la possibilité d'évaluer un nombre significatif de sites ne sera donc jamais effective. Le principal bureau d'évaluation actuel, fortement soutenu par l'industrie et les pouvoirs publics américains, RSACi, n'a pu évaluer à ce jour qu'environ 50000 sites sur les millions qui existent déjà, malgré un encouragement pressant à l'auto-évaluation des fournisseurs de contenu. La mise à jour de l'évaluation de sites - dont l'évolution rapide est favorisée par la nature du réseau - agrandit les risques d'erreurs et de bavures dans le travail de classification. Face à cette situation il ne reste à l'utilisateur de PICS qu'à empêcher l'accès à tous les sites non évalués (presque tous les sites français - même institutionnels - à l'heure actuelle) ou au contraire à laisser l'accès libre à tous les sites non évalués. Dans les deux cas, PICS devient un instrument inefficace.
Le deuxième argument est le risque d'alignement sur les valeurs morales américaines. Pour arriver à un nombre significatif de sites évalués, il faut recourir à l'auto-évaluation. Même si les acteurs acceptent en masse cette auto-évaluation, il leur sera impossible de classifier leurs contenus en adoptant des vocabulaires adaptés aux innombrables bureaux d'évaluation nécessaires pour refléter la diversité morale et culturelle des utilisateurs. Pour rester accessibles à la majorité des utilisateurs, les fournisseurs de contenu seront obligés de s'aligner sur les critères proposés par les plus grands bureaux de classement, essentiellement et pour longtemps américains, au détriment de critères adaptés à notre spécificité culturelle. La mise en place d'un bureau de classification français suffisamment efficace et influent pour être adopté par l'ensemble des utilisateurs francophones est à peu près aussi réaliste aujourd'hui que d'espérer remplacer Microsoft par une start-up française.
Quoique n'offrant pas encore les garanties de transparence nécessaires, ils offrent un moyen relativement efficace de filtrage de contenus préjudiciables aux mineurs. Proposant des solutions individuelles et pouvant s'adapter facilement aux désirs des utilisateurs, ces logiciels ne mettent pas en péril la diversité culturelle et la liberté d'expression qui caractérisent Internet.
Le principe de l'utilisation de listes noires ou de listes blanches réside aujourd'hui dans l'utilisation de listings privés : il est difficile de déterminer la pertinence des listes dressées.
Les listes noires ne permettent pas d'assurer la transparence des listes ni de connaître la philosophie sous-jacente à leur constitution. Des bavures se sont déjà produites pour des sites consacrés au SIDA ou à la condition féminine. De plus, l'étiquette infamante ainsi accolée à certains sites sur des critères opaques et l'impossibilité de recours légal pour ces sites constituent un danger de censure privée auquel il est nécessaire d'opposer des garde-fous. Enfin, les listes noires sont d'une efficacité toute relative, liée à la difficulté de maintenir des listes à jour.
Les listes blanches constituent en revanche un système souple et transparent, actuellement le plus satisfaisant pour un utilisateur individuel souhaitant protéger des enfants d'un accès à des contenus préjudiciables à leur égard. Il n'a pas vocation à l'universalité mais convient bien également à une utilisation à l'école et dans l'entreprise. Les sites étant sélectionnés pour leur qualité, ces listes pourront être publiées et éviteront les mises à l'index camouflées permises par PICS ou le système de listes noires. La mise à jour des listes blanches est facilitée par l'intérêt que les créateurs de sites auront à se signaler spontanément aux éditeurs de listes blanches, puisqu'il s'agira d'une classification positive et non d'une mise à l'index. Enfin, c'est le système le plus efficace et le mieux adapté aux besoins français, puisque l'établissement de listes blanches pour empêcher l'accès à des contenus préjudiciables pour la jeunesse est de loin plus réaliste que l'adoption du système PICS ou l'utilisation de listes noires. Ne nécessitant pas une évaluation exhaustive des contenus immenses et sans cesse renouvelés présents sur le réseau (et en majorité anglo-saxons), il convient bien au travail que pourraient effectuer des organisations françaises pour promouvoir des contenus francophones à haute valeur ajoutée.
Les possibilités de blocage d'accès à un site ou à un forum sont le plus souvent des leurres. On peut toujours contourner le blocage d'un site Web en accédant à un site miroir (cas du livre du Dr Gubler) ou d'un forum par l'accès à un autre serveur de News. Certains logiciels permettent le filtrage sur des mots interdits donnés par l'utilisateur ou bien filtrent systématiquement tous les fichiers binaires. Un autre type de filtrage commence à faire son apparition : le filtrage d'images de nus basé sur des techniques de calcul de ressemblance entre photos. On peut craindre que des images artistiques ou médicales soient ainsi assimilées à des images pornographiques. Toutefois, aucun de ces systèmes ne permet de classer un tant soit peu sérieusement des contenus complexes (cf. base de données sur le cinéma intégrant certains films érotiques ou site de lutte contre l'exploitation des enfants, etc.). Seule une censure des points d'accès au niveau d'un État (intranet du type Singapour, non envisageable pour une démocratie) peut permettre un filtrage presque à 100 % efficace sur des sites répertoriés. Ces techniques aveugles conduisent donc à une censure malhabile, dangereuse, et n'ont plus aucun rapport avec le filtrage nécessaire de contenus préjudiciables aux mineurs.
Il ne faudrait pas que les investissements considérables (financiers et politiques) drainés par PICS mènent à accorder une confiance aveugle dans une technique qui pose plus de problèmes qu'elle n'en résout.
Nous recommandons d'abord l'adoption volontaire par les fournisseurs de contenus de mesures simples et disponibles qui permettent de se passer de systèmes techniques lourds et coûteux à mettre en oeuvre : message d'avertissement sur la page d'accueil prévenant que le site contient des éléments susceptibles de heurter certaines sensibilités, déclarations sur l'honneur de majorité, systèmes gratuits ou payants d'identification.
Toute solution globale de filtrage de contenus devrait offrir les garanties minimales suivantes :
Nous préconisons l'encouragement d'organismes (institutions, associations), ou d'initiatives individuelles) favorisant la mise en place de structures de recommandation plutôt que de classification, sur une base de « discrimination positive » (cf. les listes blanches).
Ces organismes identifiés pourront proposer leurs recommandations, du type listes blanches, à tous les utilisateurs désirant un guide pour accéder au foisonnement et à la richesse des contenus accessibles sur Internet, sans pour autant mettre en péril la liberté de choix, et la liberté d'expression dans le respect de la loi, de l'ensemble des utilisateurs du réseau.
Enfin, la meilleure des préventions nous semble demeurer l'éducation des enfants par leurs parents et par l'école, éducation qu'aucun système de filtrage, aussi performant soit-il, ne saurait remplacer.
Notes
1 Ce document s'appuie, entre autres, sur une étude réalisée par Jean-Michel André (AUI) et François Archimbaud.
Valérie Sédallian (sedallian@argia.fr)
La cryptographie ou chiffrement est le processus de transcription d'une information intelligible en une information inintelligible par l'application de conventions secrètes dont l'effet est réversible. La loi française définit les prestations de cryptologie comme : « toutes prestations visant à transformer à l'aide de conventions secrètes des informations ou signaux clairs en information ou signaux inintelligibles pour des tiers, ou à réaliser l'opération inverse, grâce à des moyens, matériels ou logiciels conçus à cet effet »[1].
Les signatures numériques et le chiffrement en constituent deux applications importantes. Les signatures numériques permettent de prouver l'origine des données (authentification) et de vérifier si les données ont été altérées (intégrité). Le chiffrement peut aider à maintenir la confidentialité des données et des communications.
Il existe deux grands types de cryptographie :
Les méthodes de cryptage à clés asymétriques reposent sur des calculs mathématiques sophistiqués utilisant des nombres premiers (nombres qui ne sont divisibles que par 1 et par eux-mêmes) gérés par des algorithmes (suite d'opérations nécessaires à l'accomplissement d'une opération). Il est facile de multiplier deux nombres premiers par exemple 127 et 997 et de trouver 126 619. Mais il est plus difficile de factoriser c'est-à-dire de retrouver 127 et 997 à partir de 126 619. C'est sur ce principe mathématique que repose la cryptographie asymétrique.
Le premier système de cryptographie à clé publique a été proposé en 1978 par Ronald Rivest, Adi Shamir et Leonard Adleman, trois chercheurs du MIT, une université américaine, qui ont donné leur nom au système baptisé RSA. C'est sur cette méthode RSA que sont fondés de nombreux logiciels de chiffrement et la plupart des logiciels de paiement sécurisé comme ceux de Netscape et de Digicash.
Pour vérifier l'intégrité du message transmis, le caractère exact et complet des données envoyées, on utilise une fonction mathématique qui associe une valeur calculée au message. Lorsque le destinataire reçoit le message, il calcule sa propre valeur et la compare avec celle qui lui a été envoyée : si les deux valeurs sont identiques, on est assuré que les documents n'ont pas été modifiés.
La combinaison de procédés d'authentification de l'expéditeur et de vérification de l'intégrité de son message permet la création de véritables signatures électroniques qui s'avèrent en pratique plus difficilement falsifiables que nos procédés de paraphes et signatures manuscrites.
La technique informatique permet d'élaborer des outils générant des clés et utilisant les systèmes de cryptographie de manière transparente pour l'utilisateur.
Le plus célèbre des procédés de cryptage, et un des plus sûrs d'après les spécialistes, devenu un standard de fait sur Internet où il est facile de se le procurer, est le logiciel PGP, basé sur le système RSA, inventé par l'américain Phil Zimmermann [2]. Pour que le système soit fiable, il est d'autant plus nécessaire que les clés de cryptage utilisées soient suffisamment sûres, que les falsifications et atteintes ne sont pas physiquement décelables. Avec les méthodes de codage actuelles, la sûreté d'une clé dépend de sa longueur. Mais plus la clé est longue, plus la transaction ou la communication va être lente, en raison du temps nécessaire au logiciel pour faire les calculs. Ce qui est gagné en sécurité est donc perdu en rapidité et en convivialité. Pour décrypter un document sans posséder la clé, il est nécessaire de disposer d'ordinateurs capables d'effectuer un très grand nombre d'opérations par seconde. La fiabilité d'un système dépend de la puissance de calcul nécessaire à mettre en oeuvre pour casser le code. La dépense nécessaire pour casser le code doit être disproportionnée à la valeur de l'information protégée. Aujourd'hui, une clé d'une longueur de 1024 bits nécessiterait plusieurs milliards d'années de calcul d'ordinateur pour être cassée. Cependant, ce système dépend de l'état de la technique qui évolue très rapidement. Un algorithme jugé incassable aujourd'hui ne le sera peut-être plus dans quelques années. Même si le code est incassable, la conception du logiciel peut présenter des failles qui peuvent être exploitées pour trouver les messages chiffrés sans avoir à faire des calculs massifs.
Dans le contexte d'une société où les échanges d'informations numériques se développent, il est indispensable de pouvoir bénéficier de systèmes sécurisés pour protéger les données à caractère personnel ou confidentiel, assurer la sécurité des transactions financières et commerciales, passer des contrats en l'absence de support papier. Les technologies cryptographiques sont, de nos jours, reconnues comme étant des outils essentiels de la sécurité et de la confiance dans les communications électroniques. Elles vont être amenées à jouer un rôle croissant en matière de protection contre la fraude informatique, de sécurité des données, de protection de la confidentialité des correspondances, de protection du secret professionnel, de commerce électronique. Les besoins légitimes en cryptographie des utilisateurs ont été reconnus indirectement par la loi du 26 juillet 1996, qui fait référence à la protection des informations et au développement des communications et des transactions sécurisées.
Si l'on crypte les messages et les fichiers avec des moyens puissants, le contenu des informations devient indéchiffrable pour tous, y compris par l'Etat. Or l'Etat et la justice veulent pouvoir intercepter les communications échangées et accéder au contenu des fichiers dans les cas prévus par la loi, dans le cadre de la lutte contre la délinquance, le crime et pour assurer la sûreté de l'Etat. Procédé d'origine militaire, la cryptographie est considérée comme un enjeu de sécurité intérieure et extérieure par un certain nombre de gouvernements.
En France, les moyens de cryptologie ont été classés jusqu'à la loi du 29 décembre 1990 sur la réglementation des télécommunications parmi les matériels de guerre. La réglementation actuelle, même si elle a été assouplie par la loi du 26 juillet 1996 reste lourde avec une surveillance étroite de l'Etat sur tout utilisateur d'un procédé de chiffrement. La fourniture, l'exportation, l'importation et même l'utilisation de méthodes de cryptage sont réglementées par l'article 28 de la loi du 29 décembre 1990 sur la réglementation des télécommunications, modifiée par l'article 17 de la loi du 26 juillet 1996. Selon les cas d'utilisation envisagés, il est nécessaire d'obtenir une autorisation préalable ou de déposer un dossier de déclaration. La loi du 26 juillet 1996 a introduit des cas où l'utilisation de procédés de cryptographie est libre. Il s'agit toutefois d'une « liberté » très encadrée. Les décrets d'application de la loi du 26 juillet 1996 n'avaient toujours pas été publiés à la fin du mois d'octobre 1997.
Elle est nécessaire pour la fourniture, l'exportation, l'importation de pays n'appartenant pas à l'Union européenne et même la simple utilisation de moyens de cryptographie permettant d'assurer des fonctions de confidentialité. Les conditions dans lesquelles sont accordées les autorisations sont fixées par décret d'application. Les dossiers sont instruits par le Service central de la sécurité des systèmes d'information, SCSSI. Les conditions auxquelles sont accordées les autorisations sont fondées sur des critères non publics.
En pratique, il faut que le système soit « cassable » par le SCSSI ou que la remise des clés privées puisse être réalisée en cas de besoin. L'utilisateur ne doit pas pouvoir générer ses propres clés. Certains logiciels que l'on peut se procurer sur Internet tel le célèbre PGP ne sont ainsi pas autorisés.
Elle est nécessaire pour l'exportation, la fourniture, l'importation de pays n'appartenant pas à l'Union européenne de procédés qui ne permettent pas d'assurer des fonctions de confidentialité : authentification et intégrité des données, signature électronique.
Le logiciel utilisé ne doit pas assurer de fonctions de confidentialité. Par exemple, PGP ne peut pas être autorisé, même à des fins d'authentification, car il peut assurer également des fonctions des confidentialité.
Les sanctions prévues par le texte sont les suivantes :
A noter que l'article 434-4 du Code pénal punit déjà d'une peine de trois ans d'emprisonnement et de 300 000 francs d'amende, le fait, en vue de faire obstacle à la manifestation de la vérité, c'est-à-dire en vue de faire obstacle à l'action de la justice, « de détruire, soustraire, receler ou altérer un document public ou privé ou un objet de nature à faciliter la découverte d'un crime ou d'un délit, la recherche des preuves ou la condamnation des coupables ».
A ces sanctions, s'ajoutent celles prévues par le Code des douanes en matière d'importation et d'exportation illégale.
La France est le seul pays de l'Union européenne à disposer d'une telle législation restreignant sur son sol le libre usage de la cryptographie. Bien qu'il y ait des débats dans d'autres États membres, seul le Royaume Uni a pour le moment lancé une consultation publique sur la réglementation des tiers de confiance pour la fourniture de services de chiffrement [3] (mais pas pour l'usage du chiffrement). La situation au plan international est relativement similaire. Pour ce qui est des pays de l'OCDE, à part les contrôles à l'exportation, il n'y a dans l'ensemble pas de réglementation intérieure. Aux USA - où il n'existe pas à ce jour de réglementation - il y a un intense débat entre les instances gouvernementales, telles que le FBI, qui souhaitent voir adopter une réglementation qui restreindrait le libre usage de la cryptographie en imposant un système de « key-escrow » obligatoire et les citoyens et entreprises américaines qui s'opposent à une restriction de leur liberté en la matière. La mise en place d'une infrastructure de ce type pose des problèmes à la fois techniques (voir ci-dessous) et constitutionnels (en matière de liberté d'expression, du droit à la vie privée et de protection contre les fouilles, perquisitions et saisies abusives) [4].
Aucun des projets de loi visant à réduire la liberté de crypter n'a aboutit à ce jour.
Si les contrôles internes sont rares, en revanche, les contrôles à l'exportation des produits de cryptographie sont nombreux.
Un groupe de 28 pays applique des contrôles à l'exportation sur les produits de chiffrement sur la base de l'Arrangement de Wassenaar sur les contrôles à l'exportation pour les armes conventionnelles et les biens et technologies à double usage (19.12.1995) [5] remplaçant la liste du COCOM [6].
Un règlement européen en date du 19 décembre 1994 [7] a institué des normes communes au niveau communautaire en ce qui concerne le contrôle à l'exportation des biens dits « à double usage », c'est-à-dire susceptibles d'application civile et militaire. Cette réglementation concerne les produits de chiffrement. Conformément à l'article 19 du Règlement, les États membres doivent mettre en oeuvre une procédure d'octroi de licence pour une période transitoire en ce qui concerne le commerce intra-communautaire de certains produits sensibles, par exception au principe de libre circulation. Pour le moment, cela concerne également les produits de chiffrement. Cela signifie que le règlement oblige les États membres à imposer non seulement des contrôles à l'exportation (c'est à dire des contrôles sur les biens quittant le territoire communautaire) sur les produits à double usage, mais également des contrôles intra-communautaires sur les produits cryptographiques expédiés d'un État membre vers un autre.
Aux Etats-Unis, les biens dits « sensibles » font également l'objet de restrictions à l'exportation, qui trouvent leur source dans l'Export Administration Act. Avant le 15 novembre 1996, les produits de cryptographie étaient classés dans la catégorie des munitions et leur exportation nécessitait l'autorisation du Département d'état (State department) et de la National Security Agency (NSA), conformément aux règles prévues par l'ITAR, International Traffic In Arm Regulation, pris sur le fondement de l'Arm Export Control Act. Le 15 novembre 1996, le gouvernement américain a publié un « Executive Order » EO, concernant l'exportation de produits de cryptographie [8]. Les produits de cryptographie énumérés dans la catégorie XIII de la Munitions List et relevant de la compétence du State Department, ont été transférés dans la « Commerce Control List », ce qui signifie qu'ils relèvent désormais de la compétence du Commerce Department, qui attribue les licences d'exportations. Les produits de chiffrement à des fins militaires restent dans la Munitions List. Le département du commerce attribue les licences d'exportation. Mais les départements de la Justice, de l'Etat, de la Défense, de l'Energie, les agences du contrôle des armes et du désarmement ont un droit de regard (review) sur les licences accordées. En pratique, la politique américaine n'a pas été assouplie du fait de ce transfert de compétences. Il convient de signaler que plusieurs procès en inconstitutionnalité des lois restreignant la libre exportation des procédés de cryptographie sont en cours [9].
La loi du 26 juillet 1996 a introduit dans la loi française le système dit des tiers de confiance. La France est le premier pays au monde a avoir adopté une telle loi. Le système est présenté par ses promoteurs, et notamment le SCSSI, comme étant un compromis satisfaisant entre les besoins des utilisateurs et les besoins de l'Etat. En réalité, ce système des tiers de confiance soulève de nombreuses questions techniques, juridiques et politiques. On peut regretter que ces questions n'aient pas été débattues publiquement et examinées attentivement avant que la loi ne soit adoptée, comme cela se fait dans d'autres pays. L'OCDE, dans ses lignes directrices régissant la politique de la cryptographie [10], recommande d'ailleurs que les gouvernements évaluent avec soin les avantages mais aussi les risques d'utilisation abusive, le surcoût des éventuelles infrastructures de soutien requises, les risques de défaillance technique, et les autres postes de dépenses lorsqu'ils envisagent le recours à un tel système.
Plusieurs rapports et documents officiels étrangers soulignent les inconvénients du recours à une infrastructure de tiers de confiance. On peut citer notamment :
Dans cette communication qui vient d'être rendue publique, la Commission européenne considère que les divergences dans les approches légales et technique en matière de cryptographie constituent un obstacle au marché unique et un obstacle au développement de nouvelles activités économiques liées au commerce électronique. La Commission européenne souhaite adopter des mesures visant à assurer la liberté de circulation des technologies de cryptage. Dans ce document, elle analyse soigneusement les inconvénients des systèmes de tiers de confiance et des législations restrictives en matière de cryptographie, étant rappelé que la France est le seul pays de l'Union à disposer d'une législation de ce type. La lecture de ce document et les arguments avancés par la Commission laissent penser que la réglementation française pourrait s'avérer contraire à la législation communautaire. La Commission va examiner si des restrictions nationales peuvent être totalement ou partiellement justifiées, en particulier au vue des dispositions du Traité en matière de libre circulation et des dispositions de la Directive communautaire sur la protection des données. La Commission conclut : les schémas d'accès par clé sont considérés par les agences chargés de l'exécution des lois comme une solution possible pour faire face à des questions telles que les messages chiffrés. Toutefois, ces schémas et les TC qui leur sont associés soulèvent un certain nombre de questions essentielles, qui doivent être traitées attentivement avant qu'ils ne soient introduits. La discussion en cours sur les différentes initiatives législatives aux USA est un exemple illustrant la controverse que cela implique. Les points critiques sont la vulnérabilité, la vie privée, les coûts et l'efficacité.
Un système de cryptographie dans lequel les clés ne sont pas entièrement gérées par l'utilisateur est intrinsèquement moins sûr qu'un système où elles le sont puisque le contrôle de la confidentialité échappe à l'utilisateur.
Les tiers de confiance vont être chargés de gérer pour le compte d'autrui les clés de chiffrement, et vont donc avoir accès potentiellement à de nombreuses données confidentielles.
Le système de séquestre peut devenir une cible privilégiée des espions industriels et du crime économique et une analogie avec les banques peut être faite à ce titre. Il y a des risques physiques, logiques et humains qui impliquent que la sécurité tant intérieure qu'extérieure, soit contrôlée à tous les niveaux. Sauf à diminuer la sécurité, des conditions administratives et techniques strictes vont devoir être imposées aux tiers de confiance, qui vont se traduire en terme de coûts. Les auteurs du rapport « The Risks of key recovery, key escrow and trusted party Encryption » indiquent que le déploiement d'infrastructures de tiers de confiance va avoir pour résultat des sacrifices en terme de sécurité et à un coût accru pour l'utilisateur final. Construire un tel environnement pourrait s'avérer d'une énorme complexité et nécessiter un haut degré de confiance dans les personnes chargées de gérer le système.
Un autre problème évoqué par les techniciens est celui de l'évaluation de la sécurité du produit offert par le tiers de confiance. Les procédures et algorithmes utilisés seront propriétaires, c'est-à-dire qu'ils ne sont connus que du tiers de confiance (et du SCSSI). Il ne sera donc pas possible pour le public et les experts en cryptographie d'apprécier le degré de fiabilité du logiciel de cryptage, le risque qu'il soit cassé par un professionnel du chiffre, comme cela peut se faire pour des logiciels développés à partir de systèmes connus comme RSA ou DES.
La reconnaissance des besoins légitimes en matière de cryptographie implique que la cryptographie ne soit plus réservée aux grandes entreprises du secteur militaro-industriel et financier, mais soit d'un coût abordable aussi bien pour les entreprises de toutes tailles, que les PME, les professions libérales, les associations et d'une manière générale tous les citoyens.
Les logiciels de chiffrement doivent pouvoir être utilisés de manière conviviale, et être d'un bon rapport coût-efficacité. Organiser un système de tiers de confiance a un coût économique élevé alors qu'il existe des moyens de cryptographie sûrs et gratuits ou d'un coût tout à fait abordable : PGP for Personnal Privacy version 5.0 coûte 49 $ pour un américain ou un canadien (prix indiqué sur le site http://www.pgp.com au 7 octobre 1997). Les moyens de cryptographie devront être infalsifiables pour garantir la possibilité d'interception. Donc il est probable qu'ils comprendront des éléments matériels et non seulement logiciels, d'où un coût supplémentaire. En pratique, le système des tiers de confiance risque d'être d'un coût inabordable pour les petites et moyennes structures et les particuliers.
La Commission européenne relève sur la question des coûts que : « Jusqu'à présent, les questions concernant les coûts et celui qui les assumera n'ont jamais été abordées par les décideurs politiques. Des facteurs pouvant générer des coûts importants découleront des obligations spécifiques imposées aux TC, par exemple le temps de réponse pour la livraison des clés, le temps d'archivage pour les « clés de session », les demandes d'authentification émanant d'agences gouvernementales, le transfert sécurisé de clés recouvrées, les mesures de sécurité internes, etc. De plus, des coûts supplémentaires indéterminés résulteront du besoin d'adaptabilité des schémas d'accès par clé, c'est à dire la capacité de les rendre opérationnels dans un environnement de plusieurs millions d'usagers. Jusqu'à présent, ces systèmes ont, au mieux, été développés pour un usage à petite échelle. Les coûts nécessaires à leur fonctionnement dans le contexte d'une économie mondialisée seront probablement énormes. »
Le métier de tiers de confiance va être un métier à risque, à contrainte, à responsabilité, dont on ignore totalement le seuil de la rentabilité économique.
Le marché des technologies de l'information est un marché qui connaît une évolution rapide des normes et des produits. Les contraintes techniques qui seront imposées aux tiers de confiance seront sans doute difficilement compatibles avec le suivi des évolutions du marché.
En matière informatique et de communication, la question de l'interopérabilité des normes et produits est fondamentale. La question se pose donc de savoir si les produits proposés par les tiers de confiance seront compatibles entre eux.
Un problème fondamental réside dans les relations internationales. Le système des tiers de confiance est inadapté aux échanges internationaux. La loi indique que les organismes « doivent exercer leurs activités agréées sur le territoire national ». Pour que le système remplisse l'objectif d'accès simplifié aux clés privées, l'Etat français doit se réserver non seulement l'accès aux clés de ses ressortissants, mais également l'accès aux clés des correspondants ressortissants d'autres pays.
Par exemple, pour communiquer avec un correspondant étranger, il va être nécessaire que le correspondant étranger utilise un produit agréé par l'administration française. Si l'on peut concevoir, dans le cadre de relations entre sociétés du même groupe français, que le recours à un procédé agréé par l'administration française puisse être organisé, il en va en revanche différemment dans le cadre de relations entre partenaires, avec des clients potentiels, des fournisseurs. Bien plus, si chaque État impose son propre système de tiers de confiance, l'utilisation de produits chiffrés dans les relations internationales va devenir impossible. Par exemple, si l'administration américaine réussissait à imposer son programme de « key-recovery » aux entreprises américaines, il est peu probable que ces produits américains, dont l'accès aux clés privées serait alors réservé aux institutions américaines soient ensuite autorisés en France.
Il faudrait imaginer un accord entre pays pour organiser l'accès réciproque aux clés privées.
Or l'existence des tiers de confiance est justifiée par des impératifs de sécurité nationale et de défense, un domaine où précisément les États refuseront vraisemblablement d'abandonner toute parcelle de souveraineté nationale qu'implique un accord international. Du point de vue technique, se pose la question de savoir si les produits proposés par les organismes agréés français seront compatibles avec les standards internationaux en matière de cryptographie.
Les services qui délivrent les agréments sont les mêmes que ceux qui ont besoin des écoutes, notamment en ce qui concerne les écoutes administratives, sans qu'aucune garantie contre les abus et les pressions n'ait été prévue. Le respect du secret par le tiers de confiance et ses employés et agents en cas demande de clés privées par l'administration va devoir être également être assuré. Pour la Commission européenne : « Davantage de gens seront informés sur les « clés secrètes » et les « architectures de système », ce qui entraînera de plus grands risques d'abus internes ainsi que d'abus des TC. Ces risques ne concernent pas seulement les criminels, mais également des personnes ou des sociétés « innocentes » qui seraient impliquées dans une communication avec un suspect. Ces nouvelles vulnérabilités sont complexes et nécessitent d'être comprises, dans la mesure où elles sont liées à d'importantes questions en matière de responsabilité juridique. »
La question de la responsabilité du Tiers de Confiance a été sous-évaluée dans la loi qui se borne à renvoyer aux peines en matière de secret professionnel (un an d'emprisonnement maximum, article 226-13 du Code pénal). Cela semble peu dissuasif et peu proportionné aux enjeux en cause. La question du risque de divulgation des clés privées ou d'un usage frauduleux par le tiers de confiance n'a pas été prise en considération. A titre de comparaison, l'article 432-9 du Code pénal sur l'atteinte au secret des correspondances prévoit que le fait par une personne dépositaire de l'autorité publique, l'exploitant d'un réseau de télécommunications ou le fournisseur d'un service de télécommunications, agissant dans l'exercice de ses fonctions « d'ordonner, de commettre ou de faciliter, hors les cas prévus par la loi, l'interception ou le détournement des correspondances » est puni de trois ans d'emprisonnement et de 300 000 F d'amende.
C'est dans le décret ou le contrat que devront être réglées les obligations de sécurité et les règles de responsabilité. La question se pose de savoir comment seront réglés les litiges, étant précisé qu'en tout état de cause, la preuve de la défaillance du tiers de confiance sera sans doute difficile à apporter en pratique.
Les traités internationaux, la Convention Européenne des Droits de l'Homme et les lois garantissent le droit fondamental à la vie privée, y compris le caractère secret des communications. En ce qui concerne la sécurité des données, pèse sur le responsable d'un traitement informatique une obligation d'assurer la sécurité des informations traitées (article 29 de la loi Informatique et Libertés, article 17 de la directive sur le traitement des données personnelles). La négligence dans la mise en oeuvre de cette obligation peut engager la responsabilité pénale du responsable du traitement (article 226-17 du Code pénal). En conséquence, dans le contexte du passage vers la circulation de l'information en ligne, le public doit avoir accès à des outils techniques permettant une protection efficace de la confidentialité des données et des communications contre les intrusions arbitraires. Le chiffrement des données est très souvent le seul moyen efficace et d'un bon rapport coût-efficacité de répondre à ces exigences. Pour la Commission européenne, le débat sur l'interdiction ou la limitation de l'usage du chiffrement a une incidence directe sur le droit à la vie privée et sa mise en oeuvre réelle, et l'harmonisation des lois sur la protection des données dans le marché intérieur. Si le système des tiers de confiance n'est pas d'un bon rapport coût-efficacité, il empêche l'application effective d'autres droits garantis par la loi.
Cette question est analysée dans la Communication de la Commission sur la sécurité et la confiance dans la communication électronique.
La cryptographie est un moyen technique important permettant d'assurer l'intégrité des données et leur confidentialité. Afin d'assurer également la circulation de données personnelles dans le Marché intérieur, de tels moyens techniques doivent être en mesure de « voyager » avec les informations personnelles qu'il protègent. Toute réglementation entravant l'usage de produits et de services de chiffrement à travers le Marché intérieur entrave donc la circulation sécurisée et libre des informations personnelles, et la fourniture des biens et services qui y sont liés.
Sur les systèmes de tiers de confiance, la Commission indique que : « L'acceptabilité d'une telle démarche reste à démontrer, mais compte tenu des frais généraux qu'elle implique, elle ne sera pas considéré comme un encouragement au développement du commerce électronique. En tout état de cause, les restrictions imposées par les schémas nationaux d'octroi de licence pourraient facilement créer des obstacles dans le cadre du Marché intérieur et réduire la compétitivité de l'industrie européenne, en particulier si ces systèmes sont obligatoires. Indépendamment de la compatibilité de restrictions avec les dispositions du Traité en matière de libre circulation des biens et des services, des contrôles nationaux spécifiques pourraient également avoir des effets secondaires sur la libre circulation des personnes similaires à ceux identifiés par le Comité Veil [11]. »
Si des restrictions nationales sont établies, elles doivent rester compatibles avec la législation communautaire. La Commission va examiner si des restrictions nationales peuvent être totalement ou partiellement justifiées, en particulier au vue des dispositions du Traité en matière de libre circulation et des dispositions de la Directive communautaire sur la protection des données.
Aujourd'hui, personne ne peut être totalement empêché de chiffrer des messages et notamment pas les criminels ou les terroristes qui peuvent également avoir recours au chiffrement dans leurs activités. L'accès aux logiciels de chiffrement est relativement aisé, par exemple en les chargeant simplement à partir d'Internet. La circulation des informations concernant la cryptologie ne peut être empêchée, sachant en outre que des livres sur le thème sont en vente libre, y compris en France. Ainsi, profitant du fait que l'exportation de la version imprimée de codes sources de produit de cryptographie n'est pas soumise aux mêmes restrictions à l'exportation que la même version sous forme numérique, des hackers, à l'occasion d'une conférence internationale qui se tenait en Europe, ont emporté le code source de la dernière version de PGP, qui après avoir été scannée et compilée est désormais disponible en Europe, y compris sur des sites situés dans des pays de l'Union européenne [12]. Divers procès en inconstitutionnalité de la loi américaine à l'exportation sont actuellement en cours devant les tribunaux américains, ce qui pourrait encore augmenter la disponibilité de produits de cryptographie sur Internet, selon le résultat de ces procédures.
Il est ensuite difficile de prouver qu'une personne déterminée a envoyé un message chiffré non-autorisé. Le contrôle du respect de la loi supposerait d'intercepter des volumes d'informations considérables, selon des protocoles variés, dans lesquels la présence d'une information chiffrée n'est pas facilement décelable.
Il est même possible de dissimuler une information chiffrée de manière à ce qu'elle semble anodine, à travers les méthodes stéganographiques. Ces méthodes permettent de cacher un message dans d'autres données (par exemple une image), de telle manière que l'existence même d'un message secret, et donc du recours même au chiffrement, ne peuvent être détectés.
Le système des tiers de confiance pouvait sembler un pas dans la bonne direction, mais on peut rester sceptique sur la possibilité d'une mise en oeuvre qui offre toutes les garanties de sécurité souhaitable, qui permette de répondre rapidement à l'évolution des besoins, qui soit compatible avec les communications internationales, et d'un coût abordable.
On ne peut réellement empêcher les criminels d'avoir accès à un chiffrement puissant et de contourner le chiffrement avec dépôts des clés privées obligatoire. Si des mesures de contrôle peuvent rendre le recours au chiffrement à des fins criminelles plus difficile, les bénéfices de la réglementation en termes de lutte contre la criminalité sont difficiles à évaluer, et sont souvent exprimés en termes généraux. Pour la Chambre de Commerce Internationale, la limitation de l'utilisation du chiffrement en raison de la lutte contre la grande criminalité est sujette à caution, car les auteurs d'actes délictueux ne se sentiront pas obligés de se plier aux règlements applicables à la communauté économique [13]. Restreindre l'usage du chiffrement pourrait en réalité empêcher les entreprises et les citoyens respectueux des lois de se protéger des criminels.
En l'absence d'étude sur la question, on ignore leur effectivité et leur utilité réelle. L'ampleur des écoutes illégales, émanant tant de personnes privées que de fonctionnaires outrepassant leurs pouvoirs, est dénoncée dans les rapports de la CNCIS. L'Etat n'est pas une entité abstraite, mais un organisme composé d'individus qui ont leurs faiblesses et leurs tentations. L'objectif des administrations chargées de la lutte contre la délinquance et le crime n'est pas seulement d'avoir accès aux clés, mais d'avoir accès à un texte non-chiffré, en temps réel, de manière discrète. Or la mise en oeuvre dans un cadre légal de ce type d'accès en temps réel dans le cadre des nouvelles formes de communication, est rendu plus difficile en pratique par la multiplicité des intervenants : les services concernés n'ont plus affaire à un opérateur unique organisme de service public (France Télécom).
L'interception des communications doit être considérée au regard des autres moyens d'investigation pouvant être mis en oeuvre dans la lutte contre la délinquance : analyse du trafic, des informations diffusées en clair (surveillance des forums et listes publiques) par exemple. L'information, même chiffrée à des fins de communication, peut souvent être trouvé non-chiffrée à la source, comme dans les formes de communication traditionnelles, par exemple auprès des banques, magasins et agences de voyage qui sont parties prenantes dans une communication avec un suspect, ou à certaines étapes d'une communication. Les clés privées des produits de chiffrement puissants sont difficilement mémorisables et doivent être conservées quelque part.
Les services spécialisés du renseignement disposent quant à eux de moyens d'investigation sophistiqués (ex : interception du rayonnement électromagnétique).
En réalité, la loi a sans doute pour but que les systèmes non décryptables ne se répandent dans le grand public : s'il n'existe pas d'outils conviviaux commercialisés, il faut faire plus d'effort pour se procurer les outils non commercialisés et les utiliser. Les citoyens sont -ils tous considérés comme des délinquants en puissance ?
Les considérations en matière de protection de la vie privée ne limitent pas l'usage de la cryptographie en tant que moyen d'assurer la sécurité des données et la confidentialité. Le droit fondamental à la préservation de la vie privé doit être assuré, mais peut être limité pour d'autres raisons légitimes, telles que la sauvegarde de la sécurité nationale ou la lutte contre le crime, si ces restrictions sont appropriées, efficaces, nécessaires et proportionnées afin d'atteindre ces autres objectifs. Ce critère de proportionnalité qui ressort de la jurisprudence européenne a été mis en avant par la Commission dans sa Communication sur la communication électronique. En l'état, la législation française reste une législation inspirée par des motifs militaires qui ne prend pas suffisamment en compte les besoins légitimes en matière de cryptographie et ne semble pas remplir le test de proportionnalité.
Nous avons examiné les différents problèmes posés par un recours généralisé et obligatoire à un système de tiers de confiance. D'un autre côté, les besoins des services chargés de lutter contre la criminalité ne peuvent non plus être niés. En l'état de la technique et des expériences en ce domaine, un compromis semble difficile à réaliser. C'est donc moins en terme de compromis qu'en terme de balance entre les inconvénients et les avantages que l'on peut tirer d'une réelle libéralisation de la réglementation de la cryptographie qu'il faudrait raisonner. On peut considérer que les bénéfices que l'on peut tirer d'un usage plus généralisé de la cryptographie sont supérieurs aux inconvénients que cet usage peut générer.
La Commission européenne a annoncé un plan de mise en oeuvre de l'action communautaire en matière de chiffrement, et envisage d'ici l'an 2000 la mise en place d'un cadre commun pour la cryptographie. Elle va également examiner si des restrictions nationales peuvent être totalement ou partiellement justifiées au regard des principes en matière de libre circulation et des dispositions de la directive sur la protection des données.
En attendant qu'une harmonisation se dégage au niveau européen, la loi française en matière de cryptographie devrait être abrogée ou assouplie de manière réellement significative (maintien des restrictions pour des cas limités : chiffrement dans les secteurs stratégiques et militaires par exemple). Cette abrogation aurait l'avantage de placer les entreprises françaises au même niveau que leur homologues de l'Union européenne et de l'Amérique du Nord, sans préjuger des solutions qui pourraient ultérieurement être trouvées pour concilier les objectifs d'ordre public et les besoins des utilisateurs. Le contrôle à l'exportation resterait en vigueur dans le cadre du Règlement européen sur les biens à double usage, en attendant son réexamen dans le cadre des instances communautaires.
La cryptographie, par les implications qu'elle a en matière de vie privée et de protection des données, soulève des questions mettant en jeu des choix de société. Le débat sur la cryptographie concerne tous les citoyens et entreprises et ne devrait plus être réservée à une poignée de spécialistes de la sécurité de l'information.
1 Article 28 de la loi 90-1170 du 29 décembre 1990 modifiée.
2 Comment PGP protège les messages, Libération, cahier multimédia, 19 janvier 1996, p.VIII ; Site web de l'entreprise : http://www.pgp.com.
3 Licensing of TTPs for the provision of encryption services - Document de consultation public du DTI concernant des propositions de législation détaillées, Mars 1997; http://www.dti.gov.uk/pubs
4 Voir la lettre du 23 septembre 1997 de 28 professeurs de droit à l'honorable Thomas J. Bliley, annexée.
5 Voir les URLs http://www2.nttca.com:8010/infomofa/press/c_s/wassenaar/wassenaar.html et http://ideath.parrhesia.com/wassenaar/wassenaar.html
6 Le Comité de coordination pour le contrôle multilatéral des exportations (Coordinating Committee fou Multilateral Export Control) était une organisation internationale de contrôle des exportations de produits et de technologies stratégiques vers des destinations interdites. Ses membres étaient pour l'essentiel les pays membres de l'OTAN ainsi que d'autres pays tels que le Japon et l'Australie.
7 Règlement CE n° 3381/94, 19 décembre 1994, JOCE 31 décembre, n° L 367.
8 Disponible à l'URL: http://www.bxa.doc.gov/eo13026.htm
9 Voir bulletin électronique de l'EPIC en date du 4 septembre 1997, Volume 4.12 de l'EPIC, annexé.
10 Recommandations du Conseil en date du 27 mars 1997, point 6, « accès légal ».
11 Rapport du comité de haut niveau présidé par Mme Simone Veil sur la libre circulation des personnes, présenté à la Commission le 18.3.97
12 Voir le site : The international PGP Home page, http://www.ifi.uio.no/pgp/
13 Prise de position de la CCI sur une politique internationale du chiffrement, Droit de l'informatique et des télécoms, 1994/2 p.70.