|
|
IRIS
(Imaginons un réseau internet solidaire)
294 rue de Charenton
75012 Paris
Tél/Fax : 0144749239
URL : http://www.iris.sgdg.org
Email : iris-contact@iris.sgdg.org
Avant-projet de loi sur la
« société de l'information » :
analyse et recommandations d'Iris-+-
Rapport IRIS - 21 mai 2001
Préambule
Ce document constitue les commentaires de l'association Iris (Imaginons un réseau Internet solidaire : http://www.iris.sgdg.org) sur l'avant-projet de loi sur la « société de l'information » (LSI), transmis pour avis par le gouvernement aux autorités administratives indépendantes et organismes consultatifs concernés, ainsi qu'au Conseil d'État.
Ce document d'Iris s'inscrit dans la continuité des travaux de l'association en relation avec la LSI, recensés dans un dossier disponible à : http://www.iris.sgdg.org/actions/lsi. La première étape a été la publication d'un rapport en 1999, intitulé « 85 recommandations pour un Internet démocratique en l'an 2000 » (http://www.iris.sgdg.org/documents/rapport-lsi), dans le cadre de la consultation du gouvernement sur son document d'orientation pour la LSI.
Les présents commentaires d'Iris portent sur les textes de l'avant-projet de loi et de l'exposé des motifs, datés du 31 mars 2001 et transmis par le CSA à l'association en vue de son audition le 13 avril 2001.
Le document se compose de deux parties. Dans la première partie, Iris propose son analyse d'ensemble du texte de l'avant-projet. La deuxième partie est consacrée à une analyse détaillée des 61 articles du texte, accompagnée, pour chacun des articles, des modifications recommandées par l'association.
Ce document a été élaboré pour Iris par Meryem Marzouki (Meryem.Marzouki@iris.sgdg.org). Il a bénéficié de discussions avec Martine Bernis, Samuel Chabert, Jean-Philippe Donnio, Georges Malamoud, Kaïs Marzouki.
Première partie : analyse d'ensemble
1. LSI ou loi portant « diverses mesures d'ordre électronique » ?
Loin d'être la « grande loi sur la société de l'information » annoncée, la LSI comprend un ensemble de mesures, qui se propose de modifier pas moins de sept lois et autant de codes, sans parler des textes réglementaires. Certaines des mesures sont d'ailleurs plutôt hors de propos dans ce texte, c'est pourquoi Iris ne les commente pas. De très nombreux articles ne sont intelligibles qu'après examen de plusieurs textes déjà existants.Ce travail réalisé, un flou important demeure, d'autant moins acceptable qu'il concerne des questions de protection des libertés individuelles et des libertés publiques. Ainsi, la terminologie adoptée n'est pas toujours définie : qu'est-ce qu'une « donnée technique », ou encore une « donnée à caractère personnel » ? Cela reste à définir précisément dans le texte de loi. De même, le terme de « cryptologie » reste utilisé, à tort, en lieu et place des termes « cryptographie » ou « chiffrement ». Nous revenons plus en détail sur ces problèmes dans la deuxième partie du document.
Ces remarques ne sont pas anodines : tout au long des 61 articles de l'avant-projet de loi, cette inintelligibilité du texte cache d'importantes régressions sur le plan de la démocratie et des libertés, comme sur le plan des services publics. Nous en détaillons les éléments dans la deuxième partie du document, pour chaque article concerné. Sur un plan plus global, le nombre de renvoi à des décrets administratifs est proprement incroyable : pas moins de 20 articles sur 61 renvoient à de tels décrets. Il s'agit dans bien des cas d'articles ayant des conséquences importantes sur les libertés publiques. Cela nécessite donc que la loi précise explicitement les exceptions prévues au principe constitutionnel de liberté, comme le rappelle la jurisprudence constante du Conseil constitutionnel, concernant notamment le respect de l'article 34 de la Constitution. Le gouvernement semble en faire peu de cas, de même qu'il semble considérer le Parlement comme une simple chambre d'enregistrement de ses décisions.
Plutôt qu'une quelconque loi portant « diverses mesures d'ordre électronique », Iris revendique que le texte de l'avant-projet de loi donne lieu à plusieurs textes spécifiques, dont le plus important devrait être une « loi sur la liberté de communication en ligne », au même titre que la loi du 29 juillet 1881 sur la liberté de la presse et la loi du 30 septembre 1986 sur la liberté de communication audiovisuelle. Ce n'est qu'à travers une telle décision que l'article 10 de l'avant-projet, disposant que « la communication en ligne est libre », fera sens. Iris attend encore que le gouvernement manifeste une telle volonté politique, qui serait véritablement progressiste.
2. D'importantes questions non encore traitées
Cet avant-projet de loi, qui pourtant traite de nombreux domaines, reste complètement silencieux sur des questions importantes, dont certaines ont déjà commencé à faire débat.Ainsi, le texte ne comporte pas un seul mot sur l'utilisation des réseaux électroniques sur le lieu de travail : ni le problème de la surveillance des salariés, ni celui de leurs conditions de travail, notamment leur contrôle au moyens d'outils logiciels, ne sont abordés. L'utilisation du courrier électronique sur le lieu de travail n'est pas non plus mentionnée. De la même façon, l'adaptation des libertés syndicales à l'usage des réseaux n'a pas retenu l'attention du gouvernement. Iris estime nécessaire de légiférer sur ces questions, et réitère ses propositions émises lors de la consultation organisée par le gouvernement préalablement à l'élaboration de cet avant-projet de loi (cf. rapport Iris « 85 recommandations pour un Internet démocratique en l'an 2000 », novembre 1999).
Par ailleurs, la question de la prescription des infractions prévues dans la loi du 29 juillet 1881 sur la liberté de la presse n'est toujours pas résolue, lorsque ces infractions sont commises dans le cadre d'une communication en ligne. Iris reconnaît la complexité du problème, puisque la communication en ligne affecte de toute évidence l'équilibre subtil auquel la loi sur la liberté de la presse parvient. La question de la prescription demande donc une analyse approfondie, prenant en compte toutes les dimensions du problème (notamment le cas des archives), afin de parvenir à un équilibre mieux adapté à la situation de communication en ligne. Iris fera, dans un autre cadre, des propositions à ce sujet.
Les questions liées au droit d'auteur ne sont pas non plus traitées dans cet avant-projet de loi. Le Conseil supérieur de la propriété littéraire et artistique se chargera de faire des propositions à ce sujet. Rappelons que cet organisme vient d'être installé par le gouvernement, deux ans et demi après que le député Patrick Bloche en a fait la proposition et un an après sa création.
De nombreuses autres questions demeurent en suspens, comme par exemple le statut du lien hypertexte ou celui des moteurs de recherche et annuaires, pour n'en citer que quelques unes. Une seule loi ne peut les traiter toutes, à l'évidence, d'autant qu'elles n'ont pas forcément toutes atteint le même degré de maturité, ni d'urgence. À la différence des questions liées au droit d'auteur, qui bénéficient d'une structure de réflexion et de proposition dont la création répond à un encadrement réglementaire, les autres questions mentionnées devront donc continuer à faire l'objet du débat public. Iris veillera à ce que ce débat ne soit pas capturé par des structures privées dénuées de toute légitimité, telles que le « forum des droits de l'Internet ». Iris rappelle son refus de siéger au conseil d'administration de cette association prétendant à la représentation de tous les citoyens, et dont l'objectif est la dilution de la loi dans la convention privée sous couvert de « corégulation ».
3. Aspects les plus importants commentés par Iris
Si quasiment l'intégralité des 61 articles de l'avant-projet de loi fait l'objet d'analyses et propositions de modification par Iris dans la deuxième partie de ce document, deux tiers d'entre eux ont plus particulièrement retenu l'attention de l'association. Il s'agit de thèmes sur lesquels Iris a toujours été et restera spécialement vigilante. Ils concernent les questions suivantes :- L'accès au réseau et les services publics (articles 1er, 2, 20 et 30)
- Les droits et devoirs de chacun dans la communication en ligne (articles 9 à 13 )
- La responsabilité des intermédiaires techniques (articles 14 à 16)
- La protection de la confidentialité, de la vie privée et des données personnelles (articles 17, 24 et 26)
- La protection du consommateur (article 22)
- La lutte contre la cybercriminalité (articles 36 à 40)
- La libéralisation de la cryptographie (article 42)
- Les obligations des prestataires de moyens de cryptographie (articles 43 et 44)
- Les « écoutes électroniques » et le déchiffrement des données (articles 47 à 56)
Deuxième partie : analyse détaillée et recommandations
1. TITRE Ier - DE L'ACCÈS À L'INFORMATION
1.1. CHAPITRE Ier - L'accès aux services
Article 1er
Analyse:
La modification du code des postes et télécommunications proposée (Art.L.35-5) n'implique en rien l'inclusion de l'accès à Internet dans le service universel des télécommunications, et encore moins la mise en place d'un service public d'accès à Internet. Elle prend simplement en compte le fait qu'actuellement l'accès aux communications en ligne à bas débit via le réseau téléphonique commuté est accessible à tous. On notera que l'article L.35-5 du code des postes et télécommunications définit les services obligatoires fournis par France Télécom aux autres opérateurs privés de télécommunications. C'est l'article L.35-1 du même code qui détermine les conditions du service universel des télécommunications.
Proposition de modification:
Ce qui est à l'ordre du jour, c'est l'inclusion de l'accès haut débit dans le service universel, c'est-à-dire le droit à l'accès haut débit pour le même tarif en tout point du territoire, quitte à définir un calendrier pour la mise en place d'une véritable politique publique d'accès de tous à Internet, prenant en compte toutes ses dimensions : diversité des modes de communication, dont le haut débit (ADSL et câble), diversité des acteurs publics et privés impliqués, diversité des lieux d'accès (domicile, point d'accès public, ...), etc.
Il nous semble également nécessaire de corriger l'exposé des motifs de l'avant-projet de loi, afin de supprimer le leurre consistant à dire que cet article 1er permet l'inclusion de l'accès à Internet dans le service universel des télécommunications. Pour les mêmes raisons, cet article trouverait mieux sa place dans le titre IV de cet avant-projet de loi, intitulé « De l'accès aux réseaux ».
Article 2
Analyse:
Cet article n'apporte absolument aucune nouveauté par rapport à la situation actuelle, sauf peut-être la satisfaction intellectuelle de voir reconnaître les domaines de premier niveau dans la zone correspondant aux codes pays de la France comme une ressource publique. Son caractère limité reste à prouver, étant donné la possibilité - déjà utilisée aujourd'hui - de déterminer autant de sous-domaines que souhaité. On s'interroge sur le sens du pluriel utilisé pour les organismes de gestion, alors que l'exposé des motifs ne mentionne qu'un seul organisme.
Aucune mention n'est faite des sous-domaines (ou domaines génériques de deuxième niveau), laissés à l'entière discrétion du (des) opérateur(s) choisi(s). Les règles de définition de ces sous-domaines ne peuvent être le fait de ce(s) seul(s) organisme(s) sans faire référence à des règles fixées par la loi et ses décrets.
Les conditions d'accès et de coût doivent être définies de manière plus précise dans la loi, comme proposé ci-dessous. On note toutefois avec satisfaction que le respect des droits de propriété intellectuelle (et non simplement industrielle) est mentionné.
Proposition de modification:
Précisions sur les conditions d'accès objectives, transparentes et non discriminatoires, applicables tant au domaine de premier niveau ( .fr par exemple) qu'aux domaines génériques de deuxième niveau (actuellement .asso.fr ou .nom.fr par exemple) :
- Indiquer que toutes les preuves de légitimité à prétendre à un nom dans l'un de ces domaines doivent être considérées de façon équivalente (pas de pré-éminence du droit des marques, par exemple) ;
- Indiquer que, à légitimité équivalente et éventuellement dans une catégorie définie correspondant à un sous-domaine donné, les demandes doivent être traitées dans leur ordre d'arrivée.
Précisions sur les conditions de coût :
- Instaurer un coût maximal par domaine pour les personnes physiques et les groupements à but non lucratif, ne devant pas dépasser le double du prix unitaire le plus bas reversé à l'organisme international en charge de la gestion technique pour les noms de domaine génériques.
Précisions sur la gestion :
- Distinguer le service public d'attribution d'un nom de domaine et le recours éventuel à un prestataire intermédiaire entre l'usager et l'organisme de gestion ;
- Instaurer des téléprocédures pour faciliter l'attribution des noms de domaines, y compris la vérification de la légitimité à prétendre à un nom ;
- Fixer un délai au bout duquel la déshérence des noms de domaines non activement utilisés peut être déclarée.
1.2. CHAPITRE II - L'accès aux données publiques
Articles 3 à 6
Articles ne posant pas de problème spécifique. Satisfaisants dans l'ensemble.
1.3. CHAPITRE III - L'accès aux archives publiques
Articles 7 et 8
Articles en dehors de la compétence d'Iris, tels que traités. Par ailleurs probablement hors de propos dans une telle loi.
1.4. CHAPITRE IV - Le dépôt légal des services de communication en ligne
Article 9
Analyse :
Le dépôt légal des contenus mis en ligne à disposition du public est souhaitable, pour des considérations de politique patrimoniale et de conservation de la mémoire nationale. Le délai de trente-six mois après la publication de la LSI, prévu pour l'application de la mesure, montre la conscience partagée de la difficulté de sa réalisation. Toutefois, la loi devrait d'ores et déjà limiter le dépôt légal aux contenus vraiment publics, donc hors contenus accessibles sur mots de passe ou via des systèmes d'Intranet. On s'interroge à ce titre sur la signification de la mention « d'un public ». Par ailleurs, le dépôt légal doit être sélectif et n'être pratiqué ni à l'insu de l'éditeur ou du producteur de contenus, ni sans son accord, ce qui risque de se produire si les personnes qui stockent ces contenus sont aussi soumises à dépôt légal. C'est pourquoi nous proposons certaines modifications.
Proposition de modification :
- Soumettre le dépôt légal à l'accord de l'éditeur ou du producteur de contenus
- Exclure du champ de l'article les personnes physiques ou morales qui se contentent de stocker les contenus. Leur collaboration matérielle à la réalisation du dépôt peut être toutefois retenue.
- Préciser que les contenus concernés sont ceux mis à disposition de tout public et non d'« un » public.
2. TITRE II - DE LA LIBERTÉ DE COMMUNICATION EN LIGNE
2.1. CHAPITRE Ier - Les communications en ligne
Article 10
Analyse :
Article de principe, qui ne prendrait toute sa force que dans une loi spécifiquement consacrée à la liberté de communication en ligne, en écho à la loi sur la liberté de communication (audiovisuelle) et à la loi sur la presse.
Article 11
Analyse :
Cet article considère la communication en ligne comme un sous-ensemble de la communication audiovisuelle. Iris défend au contraire l'idée que la communication en ligne a ses propres spécificités, et ne doit pas être définie en référence à la communication audiovisuelle. Par ailleurs, la spécification proposée (« [transmission] sur demande individuelle ») n'est pas adéquate : la télévision ou la vidéo à la demande répondent par exemple à une telle définition. Enfin, si l'article 11 limite l'application de la loi n°86-1067 aux services de communication en ligne (limitation au chapitre VI de son titre II, ainsi qu'à ses articles 17 et 41-4), il demeure possible de considérer que l'ensemble de la loi n°86-1067 peut s'appliquer à la communication en ligne, en ce qu'elle n'est définie que comme un sous-ensemble de la communication audiovisuelle. Cette approche laisse demeurer un flou artistique sur une question qui a déjà fait l'objet d'enjeux politiques, voire politiciens, par le passé. Elle ne nous semble donc pas du tout souhaitable, et à tout le moins incohérente.
Proposition de modification :
Ainsi que proposé dans les commentaires généraux d'Iris, la liberté de communication en ligne devrait faire l'objet d'une proposition de loi spécifique. Les dispositions du chapitre VI du titre II de la loi n°86-1067 devraient être transférées dans cette loi, sans que soient excluent la reprise et/ou l'adaptation d'autres dispositions, lorsqu'elles sont pertinentes dans le cas de la communication en ligne.
Article 12
Analyse :
L'article 12 vise à étendre la compétence du CSA aux prolongements en ligne de programmes audiovisuels. Si cette disposition fait sens, elle n'en pose pas moins le problème de l'évaluation de la limite, sur le site d'une radio ou d'une télévision, entre les contenus en ligne directement liés à un programme audiovisuel et les autres contenus en ligne de ce site.
Article 13
Analyse :
Cet article instaure le droit de réponse sur les services de communication en ligne et précise les conditions de son exercice. Iris soutient le principe de l'existence du droit de réponse sur les services de communication en ligne, mais la rédaction actuelle de l'article 13 pose un problème de fond, qui d'ailleurs argumente en faveur de nos analyse et proposition relatives à l'article 11 de l'avant-projet.
En accordant le bénéfice du droit de réponse à « toute personne nommée ou désignée », l'article 13 instaure en effet le droit de réponse dans les conditions de la presse écrite (loi de 1881 sur la liberté de la presse) et non dans les conditions de la loi n°82-652 sur la communication audiovisuelle, à savoir : « toute personne physique ou morale dispose d'un droit de réponse dans le cas où les imputations susceptibles de porter atteinte à son honneur ou à sa réputation auraient été diffusées dans le cadre d'une activité de communication audiovisuelle ». Cela est bien incohérent lorsque la communication en ligne est définie comme un sous-ensemble de la communication audiovisuelle.
En fait, des conditions différentes pour le bénéfice du droit de réponse se justifient à la fois par la spécificité du support (notamment des considérations d'espace disponible), par l'impact du mode de communication (notamment la taille et la diversité du public atteint), la périodicité, la responsabilité éditoriale en cascade (et donc la relecture assurée par des professionnels de la communication avant diffusion) ainsi que le pluralisme des offres de communication. Le caractère spécifique de la communication en ligne selon chacun de ces critères étant avéré (considérant notamment les immenses potentialités d'autopublication, sans aucune commune mesure avec la presse écrite ou l'audiovisuel), il convient de définir des conditions de bénéfice du droit de réponse qui soient à la fois moins larges que celles de la presse écrite dans l'état actuel, qui pourraient étouffer le droit de critique dans la communication en ligne, et moins restrictives que celles de la communication audiovisuelle, qui sont proches des conditions de diffamation ou d'injure publiques.
Les conditions d'exercice du droit de réponse sont adaptées de celles de la loi n°82-652 sur la communication audiovisuelle.
En matière de délai pour l'exercice du droit de réponse, l'article 13 introduit toutefois une spécificité de la communication en ligne tant par rapport à la communication audiovisuelle (loi n°82-652) que par rapport à la presse (loi du 29 juillet 1881). Cette condition établit en effet implicitement que la publication dans le cadre de la communication en ligne est une publication continue, puisque l'exercice du droit de réponse est possible « tant que [le message] est accessible au public » (premier alinéa) et puisque sa demande « doit être présentée au plus tard dans un délai de trois mois suivant celui de la cessation de la mise à disposition du public du message concernant la mise en cause qui la fonde » (deuxième alinéa). Cela renforce notre position exprimée dans nos commentaires généraux au sujet du silence de cet avant-projet de loi sur la prescription des infractions commises dans le cadre de la communication en ligne, et sur la nécessité d'une réflexion approfondie à ce sujet, avant de légiférer sur cette question.
Proposition de modification :
- Limiter la possibilité de droit de réponse aux cas où la personne physique ou morale est nommée ou désignée avec des imputations inexactes ou susceptibles de porter atteinte à son honneur ou à sa réputation.
- Dans l'attente d'une nécessaire réflexion globale sur la prescription des infractions commises dans le cadre de la communication en ligne, tenant notamment compte de la question de l'accès aux archives en ligne, la position la plus raisonnable en matière de délai d'exercice du droit de réponse reste l'harmonisation de ce délai pour tous les supports, dans l'immédiat et sans préjuger de modifications ultérieures plus globales.
2.2. CHAPITRE II - La responsabilité des opérateurs
Article 14
Analyse :
L'article comporte plusieurs mesures capitales sur la responsabilité des intermédiaires techniques et, par conséquent, sur la liberté de communication en ligne.
D'abord, le I de l'article 14 revient aux dispositions adoptées par les parlementaires dans le cadre de la loi n°2000-719 modifiant la loi n°86-1067, et censurées par le Conseil constitutionnel. La nouvelle rédaction consiste, par rapport au texte précédemment voté : d'une part à s'affranchir des imprécisions relatives à la responsabilité pénale du fournisseur d'hébergement, ces imprécisions ayant motivé la censure, par une suppression pure et simple de mention spécifique à cette responsabilité pénale ; d'autre part à étendre la responsabilité civile des fournisseurs d'hébergement au cas où, « ayant effectivement connaissance [du] caractère manifestement illicite [d'un contenu qu'ils hébergent], [ils] n'ont pas agi promptement pour le retirer ou en rendre l'accès impossible ».
Le procédé est aussi sournois qu'affligeant, et ne brille ni par sa créativité, ni par son courage politique. Sur le fond, le résultat est une inacceptable régression.
Contrairement à ce qu'ont déclaré certains commentateurs peu avertis, cette rédaction ne signifie aucunement que le fournisseur d'hébergement est affranchi de toute responsabilité pénale. Bien au contraire, la rédaction de l'article 43-8 utilisant une construction grammaticale restrictive (actuellement : « ne sont [...] responsables [...] que si [....] »), la modification de l'article 14 n'entraîne aucune restriction de la responsabilité pénale de l'hébergeur, applicable en vertu du droit commun.
Par ailleurs, le gouvernement ne fait aucun cas de tout le débat qui a eu lieu pendant plus d'une année lors de la discussion de la loi n°2000-719. Il se contente de reproduire mot à mot un alinéa de l'article correspondant dans la Directive européenne sur le commerce électronique. C'est d'abord inutile, car, en l'état, la loi française n'est pas en contradiction avec cette Directive. C'est ensuite et surtout une grave atteinte, une fois de plus, à la démocratie et aux droits fondamentaux. Nous l'avons dit sur tous les tons, avec l'argumentation la plus complète, nous le répéterons tant que cela sera nécessaire : la notion de « manifestement illicite » est trop vague pour avoir un sens quelconque, et seule l'autorité judiciaire est habilitée, dans une démocratie, à dire le droit, jugeant du légal et de l'illégal. La méthode qui consiste à légitimer, par la loi, le rapport de force qui seul décidera l'hébergeur à agir pour supprimer ou non l'accès à un contenu, c'est-à-dire à porter atteinte à une liberté constitutionnelle, est une méthode profondément antidémocratique.
Le II de l'article 14 transpose, par un article 43-8-1 à insérer dans la loi n°86-1067, une autre disposition de la Directive européenne sur le commerce électronique, affranchissant les fournisseurs d'accès et d'hébergement d'une obligation générale de surveillance. Iris soutiendrait cette disposition, si le gouvernement ne l'avait pas assortie, de son propre chef, d'un appel à la délation. Le droit commun, qui impose à tous de dénoncer les crimes (et non pas les « activités ou informations illicites »), reste amplement suffisant.
Le II de l'article 14 précise ensuite, dans un un article 43-8-2 à insérer dans la loi n°86-1067,les pouvoirs du juge des référés pour faire cesser un dommage occasionné par le contenu d'un service de communication en ligne. Là encore, Iris soutiendrait cette disposition (cohérente avec l'actuel article 43-8 de la loi n°86-1067), si elle ne comportait qu'une injonction au fournisseur d'hébergement (et non également au fournisseur d'accès), et si elle ne concernait précisément que les contenus hébergés par le fournisseur d'hébergement en question. En effet, dans sa rédaction actuelle, le III de l'article 14 autorise l'injonction de filtrage de certains contenus par les fournisseurs d'accès, ces contenus pouvant être hébergés en France ou partout ailleurs dans le monde. Le jugement rendu dans l'affaire Yahoo! ne constituerait donc plus une simple jurisprudence, contestable et contestée, mais une disposition inscrite dans la loi française.
Cette analyse nous amène à une proposition de ré-écriture en profondeur de l'article 14. Notre proposition consiste à supprimer le I. de cet article (la rédaction actuelle de l'article 43-8 de la loi n°86-1067 nous satisfait pleinement), et à modifier le II. de ce même article.
Proposition de modification:
- Conserver en l'état l'article 43-8 de la loi n°86-1067 (supprimer le I. de l'article 14 de l'avant-projet de loi)
- Limiter le nouvel article 43-8-1 à l'absence d'obligation générale de surveillance pour les fournisseurs d'accès et d'hébergement. Supprimer l'appel à la délation.
- Exclure les fournisseurs d'accès du champ du nouvel article 43-8-2. Limiter les injonctions faites aux fournisseurs d'hébergement à des actions sur les contenus qu'ils hébergent.
Article 15
Analyse :
Cet article étend d'abord aux contenus en ligne les dispositions de l'article L.332-1 du code de la propriété intellectuelle prévues en matière de saisie-contrefaçon. Comme dans le cas du II. de l'article 14, Iris soutiendrait cette précision des pouvoirs du président du tribunal de grande instance s'ils excluaient explicitement l'injonction de filtrage systématique (cf. affaire Yahoo! et analyse de l'article précédent).
Les dispositions de l'article L.332-1 sont prévues à la demande d'un auteur ou de ses ayants droit. L'article 15 prévoit l'extension de cette demande aux titulaires de droits voisins. Là encore, on s'étonne du procédé : le gouvernement utilise la loi sur la société de l'information pour modifier le code de la propriété intellectuelle par des changements non anodins. Iris estime que cette disposition est hors de propos dans cet avant-projet de loi, et qu'elle mérite un plus large débat sur le droit d'auteur et les droits voisins.
Proposition de modification :
- Exclure la possibilité d'injonction de filtrage systématique
- Retirer de cet avant-projet l'extension aux titulaires de droits voisins
Article 16
Analyse :
Cet article dégage les opérateurs de télécommunications, fournisseurs d'accès inclus, de toute responsabilité civile à raison des contenus qu'ils transmettent ou des activités de stockage automatique, intermédiaire et temporaire (« cache ») qu'ils assurent. Il s'agit là encore d'une transposition de la Directive européenne sur le commerce électronique. Iris soutiendrait cette disposition, moyennant une modification de la proposition de nouvel article L.32-3-2 du code des postes et télécommunications. Cette modification demandée est justifiée par les mêmes raisons que celles invoquées pour la suppression du I. de l'article 14.
La modification préconisée par Iris pourrait consister à remplacer la mention « dès qu'il a effectivement connaissance du fait que les contenus transmis initialement ont été retirés du réseau ou du fait que l'accès aux contenus transmis initialement a été rendu impossible, ou du fait que les autorités judiciaires ont ordonné de retirer du réseau les contenus transmis initialement ou d'en rendre l'accès impossible. » par la mention « dès qu'il a effectivement connaissance du fait que les autorités judiciaires ont ordonné de retirer du réseau les contenus transmis initialement ou d'en rendre l'accès impossible. ».
Toutefois, pour des raisons de simplicité et d'efficacité, il nous semble préférable de supprimer carrément cette mention, pour la remplacer par une obligation générale de rafraîchissement fréquent du « cache », par exemple avec une périodicité maximale de 48 heures, sachant que ces rafraîchissements sont de toutes façons effectués, de manière automatique, afin d'assurer les mises à jour des informations contenues dans les « caches ».
Proposition de modification :
- Dans le nouvel article L.32-3-2, conditionner l'absence de responsabilité civile et pénale à l'obligation de rafraîchissement automatique des contenus ainsi stockés avec une périodicité maximale de 48 heures.
2.3. CHAPITRE III - L'effacement des données relatives aux communications
Article 17
Analyse :
L'article 17 précise, par un article L.32-3-3 à insérer dans le code des postes et télécommunications, les obligations des opérateurs de télécommunications (fournisseurs d'accès inclus) en matière d'effacement, de conservation, de traitement et/ou de transmission à des tiers des données techniques en leur possession. Cet article est donc capital pour la protection de la vie privée.
Le I. de l'article 32-3-3 est une transposition d'une Directive européenne sur les télécommunications. Il indique que les opérateurs « sont tenus d'effacer ou de rendre anonyme toute donnée technique relative à une communication dès que celle-ci est achevée. ». Iris soutient cette disposition.
Le II. et le III. de ce même article posent en revanche des problèmes très importants, bien que le IV. implique que la conservation et le traitement autorisés pour les données restent soumis à la loi Informatique et libertés, et que les données techniques concernées sont limitées, de sorte que ces données « portent exclusivement sur l'identification des personnes utilisatrices des services fournis par l'opérateur et sur les caractéristiques techniques des communications assurées par ce dernier. », et « ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit, dans le cadre de ces communications. ». Notons que ces formules excluent de la conservation et du traitement (outre bien entendu le contenu des correspondances privées) les données de navigation (consultation de sites web), et Iris se félicite particulièrement de voir l'une de ses revendications ainsi satisfaite. Toutefois, elles n'excluent pas les données relatives à l'identité des personnes impliquées dans une communication, y compris une communication privée.
Le III. autorise les opérateurs de télécommunications à utiliser et conserver certaines données pour des besoins de facturation et de paiement, ainsi que pour d'éventuels problèmes de contentieux, jusqu'à prescription. Cette disposition serait tout à fait acceptable si les données concernées étaient précisées dans la loi, et non en référence à un décret en Conseil d'État, même pris après avis de la CNIL. En revanche, la possibilité de « transmettre à des tiers » ces données est inacceptable, d'autant qu'on ne sait ni de quelles catégories de données il s'agit, ni de quels tiers il est question, ni dans quel cas « échéant » ces données peuvent être transmises. Le III. dispose également que les opérateurs peuvent effectuer un traitement des données en vue de commercialiser leurs propres services de télécommunications, sous réserve du consentement exprès de leurs usagers. Ce consentement exprès est une garantie minimale, étant donné d'une part le manque d'information et d'éducation des usagers en cette matière, et d'autre part les possibilités de duplication et d'interconnexion de fichiers. Iris préférerait que les données relatives aux usagers soient interdites de commercialisation.
Enfin, le II. de l'article 32-3-3 prévoit la possibilité, en dépit du I. du même article, de conserver jusqu'à un an toute donnée technique relative à une communication (y compris donc les personnes impliquées, en tant qu'expéditrices ou destinataires d'une communication privée). Bien que cette conservation ait pour unique but éventuel leur mise à la disposition de l'autorité judiciaire, on ne peut ni comprendre ni accepter que la teneur des données et leur temps de conservation soient déterminées par décret et non par la loi. D'autre part, on ne sait pas sur quel critère cette conservation pourrait être ordonnée pour utilisation ultérieure « en tant que de besoin ». La seule conclusion possible est que la conservation de toutes les données concernant tous les usagers devra être systématique (d'autant qu'il s'agit de répondre non seulement à des besoins de poursuite d'infractions pénales, mais aussi de leur simple recherche), faisant du I. de cet article une pure clause de style. Iris n'acceptera évidemment pas une telle disposition.
Proposition de modification :
- Limiter les exceptions au principe d'effacement de toute donnée relative à une communication aux besoins de facturation. Par conséquent, limiter strictement les données ainsi conservées aux données d'identification de l'usager et de connexion de cet usager aux services de son fournisseur d'accès.
- Exclure la possibilité de transmettre ces données à des tiers
- Exclure la possibilité de traiter ces données en vue de leur commercialisation.
Article 18
Analyse :
L'article 18 établit les sanctions applicables à un opérateur de télécommunication (fournisseur d'accès inclus) ou à ses agents en cas d'infraction aux dispositions de l'article 17.
Proposition de modification :
Celles découlant naturellement des modifications demandées de l'article 17 (mise en cohérence).
Article 19
Analyse :
Cet article fixe à un an le délai de prescription s'appliquant tant aux opérateurs de télécommunications qu'aux usagers de leurs services en cas de défaut de paiement des prestations. Considérant le III. de l'article 17, Iris insiste sur la nécessité de définir de faon très précise et limitative dans la loi la nature des données de facturation qui devront être ainsi conservées.
3. TITRE III - DU COMMERCE ÉLECTRONIQUE
3.1. CHAPITRE Ier - Principes généraux
Article 20
Analyse :
L'article définit le commerce électronique comme « la fourniture de biens ou de services faite à distance, par voie électronique, par des personnes physiques ou morales agissant à titre professionnel ». Il en exclut certaines activités réglementées par ailleurs. la mention « à titre professionnel » est imprécise. À titre d'exemple, doit-on considérer la fourniture de biens ou de services par des associations ou des syndicats vendant leur documentation comme un acte de commerce électronique ? Plus généralement, comment considérer les activités non marchandes de « fourniture de biens ou de services » ? Le problème n'est pas anodin, puisqu'il est au centre d'enjeux économiques et politiques très importants aux niveaux européen et international (Accord général sur le commerce et les services de l'OMC). On ne peut pas accepter qu'au détour d'une formule imprécise la définition des actes de commerce soit élargie à quasiment toute activité, y compris les activités non marchandes, publiques ou privées. On peut d'autant moins l'accepter que les règles de la concurrence s'appliqueront aux actes de commerce électronique : ce serait la remise en cause de nombreux services publics.
Proposition :
- Définir le commerce électronique comme les actes de commerce, au sens du titre Ier du code du commerce, lorsque la prestation est réalisée à distance et par voie électronique.
Article 21
Analyse :
Cet article définit les conditions d'établissement d'un prestataire sur le territoire français. La détermination du lieu d'établissement est assujettie à l'exercice effectif de l'activité sur le territoire. Ces conditions ne sont en fait qu'une transposition directe de la Directive européenne sur le commerce électronique.
Article 22
Analyse :
Cet article traite de la loi applicable, s'agissant des activités de commerce électronique réalisées par des prestataires d'autres États membres de l'Union européenne. Si la prestation est soumise à la loi du pays d'établissement, sous réserve de la commune intention des parties, la loi du pays du consommateur reste applicable dans tous les cas. Iris soutient les dispositions de cet article, qui assure une protection correcte des droits du consommateur. Il conviendrait toutefois de préciser explicitement que la juridiction compétente par défaut en cas de litige est celle du pays du consommateur.
Article 23
Analyse :
L'article 23 permet des limitations à la libre circulation des biens et des services au sein de l'Union européenne. Si de tels limites sont compréhensibles, voire souhaitables dans certains cas, il semble que les cas énumérés ouvrent un champ bien trop vaste, d'autant que les mesures limitatives peuvent être prises par l'autorité administrative dans des conditions définies par décret. Ainsi, le « maintien de l'ordre public » ou la « préservation de la sécurité publique » sont des notions bien trop vagues, surtout lorsque le commerce électronique est défini aussi largement que le propose l'article 20.
Proposition de modification :
- Limiter plus strictement les dérogations au principe de libre circulation.
- Définir les conditions de ces limitations dans la loi et non en référence à un décret
Article 24
Analyse :
Cet article précise les informations que doit fournir au public un prestataire de commerce électronique. Iris soutient cette disposition. En outre, l'existence de cet article permet à présent l'abrogation de l'article 43-10 de la loi n°86-1067 sur la liberté de communication. En effet, les dispositions du I. de cet article 43-10 deviennent redondantes (elles étaient justifiées pour les prestations de commerce électronique). Quant aux dispositions du II. de l'article 43-10, elles sont rendues inutiles par l'article 17 de cet avant-projet de loi, ainsi que par l'article 43-9 de la loi n°86-1067. Il découle de cette demande d'abrogation de l'article 43-10 la suppression, pour cohérence, du deuxième alinéa de l'article 43-9 de la loi n°86-1067.
Proposition de modification :
- Ajouter à cet article l'abrogation de l'article 43-10 de la loi n°86-1067
- Ajouter à cet article la suppression du deuxième alinéa de l'article 43-9 de la loi n°86-1067
3.2. CHAPITRE II - La publicité par voie électronique
Article 25
Analyse :
Cet article vise à identifier clairement les contenus publicitaires et leurs commanditaires. Iris soutient cette disposition.
Article 26
Analyse :
Cet article pose le principe de l'« opt-out » pour les publicités non sollicitées.
Iris défend au contraire le principe de l' « opt-in », c'est-à-dire de la nécessité du consentement exprès du destinataire.
Proposition de modification :
- Soumettre la réception de messages publicitaires au consentement exprès du destinataire, ou, à tout le moins, obliger les prestataires de services de messagerie à proposer par défaut l'inscription sur les registres d'opposition au moment de la création du compte de messagerie pour tous les nouveaux comptes, et par un message exprès pour les anciens comptes.
3.3. CHAPITRE III - Les contrats par voie électronique
Article 27
Article plutôt de la compétence des associations de consommateurs. Là encore, la mention des offres faites « à titre professionnel » devrait être précisée, de même que la nécessité de proposer le Français comme l'une des langues possibles pour la conclusion des contrats.
Article 28
L'autorisation du gouvernement à procéder par ordonnances est une pratique à limiter strictement. Le besoin d'un tel procédé dans ce cas nécessite d'être précisé.
Article 29
Cet article contribue à la protection du consommateur. Iris soutient cette disposition.
4. TITRE IV - DE L'ACCÈS AUX RÉSEAUX
4.1. CHAPITRE Ier - La création d'infrastructures par les collectivités territoriales
Article 30
N.B. : cet article a fait l'objet d'un amendement au projet de loi portant « portant diverses dispositions d'ordre social éducatif et culturel ». Adopté le 10 mai 2001 en première lecture à l'Assemblée nationale, cet amendement devient l'article 15 de ce projet de loi (cf. http://www.assemblee-nationale.fr/dossiers/dmos.asp).
Analyse :
Cet article modifie en profondeur l'article L.1511-6 du code général des collectivités territoriales, qui fixe les conditions de création, par les collectivités territoriales, d'infrastructures destinées à supporter des réseaux exploitées par les opérateurs privés de télécommunications. L'ancien article est issu de la loi n°99-533 du 25 juin 1999 d'orientation pour l'aménagement et le développement durable du territoire.
L'exposé des motifs de l'avant-projet de loi justifie de telles modifications par la volonté du gouvernement de simplifier les modalités de création d'infrastructure. Au prétexte de la simplification des procédures, l'article 30 permet en fait une considérable régression par rapport à la situation actuelle.
Régression d'abord en matière de contrôle démocratique des investissements publics : ainsi, la décision de créer une infrastructure pour les réseaux de télécommunications n'est plus subordonnée à un constat de carence des acteurs du marché à fournir une offre de services ou de réseaux à un prix abordable et selon des exigences techniques et de qualités attendues ; ce constat de carence est remplacé par un simple recensement des besoins des opérateurs ou des utilisateurs. Mieux encore, les dépenses et recettes relatives à la construction, à l'entretien et à la location des infrastructures ne sont plus examinées de façon prévisionnelle par les organes délibérants dûment informés de la carence du marché, et il n'est plus fait mention des modalités de calcul de la location des infrastructures.
Régression ensuite en matière de service public : l'article L.1511-6, qui figure dans le code général des collectivités territoriales au chapitre de l'aide aux entreprises, permet dans sa nouvelle version encore plus d'aide aux opérateurs privés de télécommunications, en supprimant la plupart des contraintes dont cette aide était assortie. En effet, les références aux articles L.32 et L.33-1 du code des postes et télécommunications ont disparu de la définition des opérateurs privés susceptibles d'exploiter les infrastructures. Or ces mentions permettaient respectivement la référence aux définitions précises des opérateurs de télécommunications et des exigences essentielles de garantie de l'intérêt général (L.32) et à l'exigence de respect par les opérateurs concernés d'un cahier des charges, comportant notamment l'obligation de service universel définie aux articles L.35-2 et L.35-3 du code des postes et télécommunications (L.33-1).
En outre, l'article 30 introduit la possibilité de subventionner la mise en place d'infrastructures dans certaines zones géographiques. Iris soutient le principe d'une telle subvention, conforme au principe de péréquation tarifaire du service public. Toutefois, une telle subvention ne doit pas être financée par l'impôt, puisque le fond de service universel a été créé justement dans ce but. Ce fond de service universel est alimenté par les opérateurs privés et géré par la Caisse des dépôts et consignations. C'est ce fond qui doit être utilisé pour compenser les différences de coût des infrastructures entre les régions.
D'autre part, tant dans son ancienne version que dans la nouvelle, l'article L.1511-6 du code général des collectivités territoriales interdit aux collectivités territoriales d'exercer elles-mêmes l'activité d'opérateur de télécommunications. Cette interdiction est extrêmement regrettable : elle montre que le gouvernement souhaite interdire l'existence d'un vrai service public de l'accès à Internet, et témoigne de la vacuité des discours sur la « fracture numérique », et autre « société de l'information solidaire ». Iris revendique fermement que les collectivités territoriales, notamment à l'échelle intercommunale, puissent exercer l'activité d'opérateur de télécommunications, au sens de l'article L.32 du code des postes et télécommunications. Cette possibilité ne supprimera pas le recours, le cas échéant et sur décision des organes délibérants, à d'autres opérateurs, dont l'activité devrait être soumise au respect d'un cahier des charges établi notamment en fonction d'exigences de péréquation tarifaire pour le coût du service offert aux usagers et de participation à leur formation en matière d'usages des réseaux.
Notons enfin que le champ de l'article L.1511-6 est élargi dans sa nouvelle version, puisque tous les réseaux de télécommunications sont concernés, et non plus seulement les réseaux de télécommunications à haut débit.
Proposition de modification :
- Maintenir la version actuelle de l'article L.1511-6 du code général des collectivités territoriales, sauf en son deuxième alinéa.
- Modifier le deuxième alinéa de l'article L.1511-6 du code général des collectivités territoriales, afin de permettre aux collectivités d'exercer l'activité d'opérateur de télécommunications. Au cas où les organes délibérants décideraient plutôt le recours à d'autres opérateurs, prévoir dans la loi le respect d'un cahier des charges établi notamment en fonction d'exigences de péréquation tarifaire pour le coût du service offert aux usagers et de participation à leur formation en matière d'usages des réseaux.
4.2. CHAPITRE II - Les systèmes satellitaires
Articles 31 à 33
Articles en dehors de la compétence d'Iris. Par ailleurs probablement hors de propos dans une telle loi.
4.3. CHAPITRE III - La téléphonie mobile
Articles 34 et 35
Articles en dehors de la compétence d'Iris. Par ailleurs probablement hors de propos dans une telle loi.
5. TITRE V - DE LA SÉCURITÉ DANS LA SOCIÉTÉ DE L'INFORMATION
5.1. CHAPITRE Ier - Lutte contre la cybercriminalité
Article 36
Analyse :
Cet article a pour but d'adapter le code de procédure pénale (article 56) aux saisies et perquisitions de données informatiques. Il semble toutefois qu'une disposition ajoutée aille au-delà des possibilités actuelles : il s'agit de la possibilité de procéder à l'effacement définitif de données dans certains cas, sur instruction du procureur de le République, c'est-à-dire avant même que jugement soit rendu (l'article 56 du CPP est applicable en situation d'enquête préliminaire). Une telle action ne devrait être possible que sur instruction du juge.
Proposition de modification :
- Soumettre la possibilité d'effacement définitif de données à une décision du juge des libertés et de la détention
Article 38
NB. Un correctif a été apporté ici le 20-06-01. La version précédente du rapport comportait une erreur sur le numéro de l'article.
Analyse :
Cet article adapte l'article 97 du code de procédure pénale, dans le même sens que l'article 36.
Proposition de modification :
- Soumettre la possibilité d'effacement définitif de données à une décision du juge des libertés et de la détention
Article 39
Analyse :
Cet article alourdit les peines d'emprisonnement prévues dans la loi Godfrain contre l'atteinte à la sécurité des données et des systèmes d'information (piratage). Il n'appartient pas à Iris de se prononcer sur les catégories de sanctions.
Article 40
Analyse :
Cet article assimile le « fait d'offrir, de céder ou de mettre à disposition un programme informatique conçu pour commettre les infractions » liées aux atteintes à la sécurité des données et des systèmes d'information à l'infraction elle-même, et le punit des mêmes sanctions. Cette disposition est directement inspirée d'une version préliminaire du projet de traité du Conseil de l'Europe sur la cybercriminalité. À la suite de très nombreuses protestations, dont celles d'enseignants et de chercheurs en informatique, mais aussi celles d'organisations de protection des libertés publiques (actions auxquelles Iris a largement participé), une telle disposition a été considérablement allégée dans le projet de traité. Il est nécessaire que la France reconnaisse également au plan national que l'article 40 de la LSI va assimiler les chercheurs et spécialistes de la sécurité informatique à des pirates, et modifie par conséquent profondément cet article.
Proposition de modification :
- Modifier l'article en s'inspirant de l'article 6 (« Abus de dispositifs ») de la version 25 du projet de traité du Conseil de l'Europe sur la cybercriminalité. En particulier, la loi doit préciser que le programme doit être principalement conçu pour commettre les infractions concernées, et que le fait d'offrir, de céder ou de mettre à disposition un tel programme doit s'accompagner de l'intention qu'il soit utilisé pour commettre ces infractions.
5.2. CHAPITRE II - Liberté d'utilisation des moyens et des prestations de cryptologie
Article 41
Analyse :
Cet article définit les moyens et prestations de « cryptologie ». On notera que le gouvernement ne se résout toujours pas à abandonner cette terminologie. La question n'est pas que linguistique : la cryptologie est une science, sur laquelle il n'y a pas lieu de légiférer. C'est donc de cryptographie, ou de chiffrement, qu'il doit être question.
Proposition de modification :
- Remplacer toutes les occurrences du terme « cryptologie » par les termes « cryptographie » ou « chiffrement ».
5.2.1. Section 1 - Utilisation, fourniture, transfert, importation et exportation de moyens de cryptologie
Article 42
Analyse :
Cet article fixe les conditions d'utilisation et de prestations de moyens de cryptographie. L'utilisation est libre (1°). Toutes les prestations (y compris import-export) de moyens limités aux fonctions d'authentification et de contrôle d'intégrité sont libres (2°). En revanche, la fourniture et l'importation de moyens permettant la confidentialité sont soumises à déclaration préalable avec fourniture de toutes précisions techniques aux services du Premier ministre (3°). En outre, l'exportation de moyens de cryptographie assurant des fonctions de confidentialité est soumise à autorisation (4°). Les conditions de déclaration et d'autorisation sont fixées par décret.
Si cet article demeurait en l'état, la liberté d'utilisation des moyens de cryptographie deviendrait une clause de style, et la réglementation opérerait un net recul sur ce plan. Cette rédaction ne semble pas tenir compte du fait que la fourniture, l'importation ou l'exportation de moyens de cryptographie assurant la confidentialité peut prendre la forme d'un simple échange de courrier électronique, voire d'une discussion publique entre experts ou chercheurs. Comment alors respecter les dispositions du 3° ou du 4° ? Cette rédaction ne semble pas non plus tenir compte de l'existence et de l'usage de logiciels libres pour la cryptographie, et encore moins de leur développement collaboratif basé sur les échanges entre spécialistes de divers pays.
Le souci de protéger la sécurité de l'État est légitime, mais d'une part il reste à prouver que le risque est tel qu'il est acceptable de limiter les libertés constitutionnelles à ce point, et d'autre part la veille technologique par les services de sécurité et les développements innovants sont sans doute plus efficaces pour l'assurer. Par ailleurs, Iris rappelle que l'association est signataire d'une déclaration, élaborée par une coalition internationale d'organisations de défense des libertés publiques, demandant le retrait de la cryptographie de la liste de armes conventionnelles et des biens et technologies à double usage, civil et militaire, dont l'exportation est contrôlée en vertu de l'Accord de Wassenaar signé par la France.
En conséquence, nous proposons de modifier l'article 42 pour libéraliser totalement l'usage de la cryptographie, conformément aux promesses de Lionel Jospin en 1999.
Proposition de modification :
- Rendre totalement libres l'usage, la fourniture, le transfert de ou vers un État membre de la
Communauté européenne, l'importation ou l'exportation de ou vers un État n'appartenant pas à la Communauté européenne, de tout moyen de cryptographie assurant les fonctions d'authentification, de contrôle d'intégrité, et/ou de confidentialité.
5.2.2. Section 2 - Fourniture de prestations de cryptologie
Article 43
Analyse :
Cet article assujettit l'exercice de l'activité de fourniture de prestations de cryptographie au secret professionnel.
Iris soutient cette disposition, moyennant la réserve suivante : la définition des prestations de cryptographie (article 41) incluant le fait de gérer pour autrui des conventions secrètes ou publiques, il convient d'exclure explicitement du champ de l'article 43 l'activité de simple gestion d'annuaires de clés publiques, puisqu'elle n'implique pas la détention d'informations privées.
Par ailleurs, en cohérence avec nos propositions de modification de l'article 41, l'activité de fourniture de prestations de cryptographie ne doit pas être soumise à déclaration au Premier ministre.
Proposition de modification :
- Préciser que l'activité de simple gestion d'annuaires de clés publiques est exclue du champ de cet article.
- Ne pas soumettre l'activité de fourniture de prestations de cryptographie à déclaration au Premier ministre.
Article 44
Analyse :
Cet article rend responsable le fournisseur de prestations de cryptographie permettant la confidentialité du préjudice occasionné en cas d'atteinte à l'intégrité, la confidentialité ou la disponibilité des données qui leur ont été confiées. L'absence de responsabilité peut toutefois être acquise lorsque le prestataire prouve qu'il n'a commis aucune négligence.
Cet article est protecteur pour le bénéficiaire des prestations, mais le deviendrait encore plus si les prestataires étaient soumis à une obligation de résultat, notamment pour ceux d'entre eux qui auraient fait l'objet d'une accréditation, dans le cadre de l'article 43. Par ailleurs, on se demande dans quel cas il pourrait y avoir atteinte aux données confiées au prestataire, hormis lorsqu'une négligence a été commise.
Proposition de modification :
- Soumettre les prestataires à une obligation de résultat, au moins les prestataires accrédités
- À tout le moins, préciser les cas d'atteintes aux données ne résultant pas d'une négligence.
Article 45
Analyse :
L'article 45 est le pendant de l'article précédent, concernant la fourniture de certificats électroniques ou d'autres services liés aux signatures électroniques. Iris formule les mêmes remarques que pour l'article 44
Proposition de modification :
- Cf. article 44
5.2.3. Section 3 - Sanctions administratives
Article 46
Analyse :
Cet article fixe les sanctions administratives (interdiction de mise sur le marché) pouvant résulter de l'absence de déclaration préalable imposée par le 3° de l'article 42.
Proposition de modification :
- Supprimer cet article (mise en cohérence avec nos propositions de modification de l'article 42)
5.2.4. Section 4 - Procédure de saisine des moyens de l'État pour la mise au clair de données chiffrées
Article 47
Analyse :
Cet article autorise le procureur de la République, la juridiction d'instruction ou la juridiction de jugement à prescrire le déchiffrement de données saisies ou obtenues dans le cadre d'une enquête ou d'une instruction. Il peut être fait appel pour le déchiffrement à toute personne ou organisme qualifié, ou, si la peine encourue est au moins égale à deux ans d'emprisonnement, aux moyens de l'État couverts par le secret de défense nationale, dans des conditions précisées aux articles 48 à 51.
Il convient de mieux encadrer la prescription du déchiffrement, ainsi que les conditions de sa réalisation. À défaut, cet article pourrait porter atteinte au secret garanti par certaines professions (avocats, ...).
Proposition de modification :
- Soumettre la prescription de déchiffrement à une décision du juge des libertés et de la détention.
Article 48 et 49
Analyse :
Ces articles précisent les conditions de saisine des moyens de l'État couverts par le secret de défense nationale pour le déchiffrement.
Proposition de modification :
- Soumettre la prescription de déchiffrement à une décision du juge des libertés et de la détention.
Article 50
Analyse :
Cet article dispose que les décisions judiciaires prises en application des articles 46 à 51 n'ont pas de caractère juridictionnel et ne sont susceptibles d'aucun recours.
Cette disposition n'est absolument pas justifiée, et porte atteinte aux garanties qu'un citoyen est en droit d'attendre d'une justice loyale et équitable et d'un État démocratique. Elle est en outre plus répressive que celle relative à l'interception des télécommunications.
Proposition de modification :
- Supprimer cet article ou, à tout le moins, restreindre son application aux cas où la peine encourue est supérieure à un maximum donné.
Article 51
Article redondant par rapport à l'article 60 du code de procédure pénale.
5.2.5. Section 5 - Dispositions de droit pénal
Article 52
Analyse :
Cet article impose aux fournisseurs de prestations de cryptographie de fournir les conventions secrètes de déchiffrement, ou de les mettre en oeuvre sous peine de deux ans d'emprisonnement et de 45 000 Euros d'amende. Il s'agit d'une application de la loi réglementant les écoutes téléphoniques.
Cet article pose deux problèmes : d'une part les prestataires doivent s'exécuter à la demande des « autorités habilitées » ; d'autre part la procédure de mise en oeuvre de cette obligation sera fixée par décret. Il est nécessaire de préciser dans la loi qui sont ces « autorités habilitées » et les conditions dans lesquelles les prestataires sont saisis.
Proposition de modification :
- Définir les « autorités habilitées » comme l'autorité judiciaire et non administrative. Cette autorité judiciaire devrait être plus précisément le juge des libertés et de la détention.
- Préciser la procédure de mise en oeuvre de l'obligation (secret professionnel, information des personnes concernées par les données à déchiffrer)
- Restreindre le champ de cet article aux cas de crimes ou de délits graves.
Article 53
Analyse :
Cet article fixe les sanctions en cas de manquement aux dispositions des articles 42, 43 et 46. Il
n'appartient pas à Iris de se prononcer sur les catégories de sanctions. Toutefois, nous proposons ci-dessous des modifications de mise en cohérence avec les modifications proposées pour les articles concernés.
Proposition de modification :
- Supprimer le I (cohérence avec modifications article 42)
- Supprimer le II (cohérence avec modifications article 46)
- Garder le III, sous réserve des modifications de l'article 43
- Mise en cohérence du IV et du V avec le reste de l'article
Article 54
Analyse :
Cet article fixe les conditions de recherche et de constatation des infractions aux dispositions des articles 42, 43, 46 et 53, ainsi que des textes précisant leur application. Cet article est satisfaisant, moyennant la mise en cohérence avec les modifications proposées pour les articles concernés. Une autre réserve concerne les agents habilités par le Premier ministre à effectuer les perquisitions.
Proposition de modification :
- Mise en cohérence avec les propositions de modification aux articles 42, 43, 46 et 53.
- Soumettre les perquisitions à la demande et au contrôle du juge des libertés et de la détention.
Article 55
Analyse :
Cet article augmente considérablement les peines maximales encourues pour tout type d'infraction, lorsque un moyen de cryptographie a été utilisé pour propager ou commettre un crime ou un délit, ou pour en faciliter la préparation ou la commission. Ces circonstances aggravantes sont supprimées lorsque l'auteur ou le complice de l'infraction a permis lui-même le déchiffrement.
Iris ne voit aucune justification raisonnable à de telles dispositions qui, de fait, assimilent la cryptographie à une arme (c'est-à-dire à un objet conçu ou utilisé pour tuer, blesser ou menacer) et pénalisent tout usage de la cryptographie.
Que veut-on réprimer au juste : le crime ou le délit lui-même (ou encore le concours à sa préparation ou sa commission), ou l'utilisation de la cryptographie, malgré la proclamation que son usage est libre ? À titre d'exemple, un hold-up est-il plus sévèrement réprimé lorsque ceux qui le commettent se cachent le visage afin de ne pas être reconnus ?
Un tel article ouvrirait la porte à toutes les dérives autoritaires, et porterait gravement atteinte à la présomption d'innocence : il faudrait donc que chacun, pour ne pas être suspect en puissance, accepte de livrer ses clés de déchiffrement. À défaut, les pires soupçons pèseraient sur lui, tout comme sur les rares personnes qui n'accepteraient pas de faire analyser leur ADN dans un village suspecté d'abriter un criminel.
Proposition de modification :
- Supprimer cet article
Article 56
Analyse :
L'article 56 va encore plus loin que le précédent. Il oblige, sous peine de trois ans d'emprisonnement et de 45 000 Euros d'amende, toute personne ayant connaissance d'une convention de déchiffrement d'un moyen de cryptographie « susceptible d'avoir été utilisé pour la préparation, la facilitation ou la commission d'un crime ou d'un délit », à remettre cette convention aux autorités judiciaires.
Cet article impliquerait non seulement l'auto-incrimination, mais également l'incrimination par les proches. Il pourrait en outre porter atteinte au secret professionnel auxquels les avocats sont soumis.
Proposition de modification :
- Supprimer cet article
5.2.6. Section 6 - Dispositions diverses
Article 57
Article ne posant pas de problème spécifique.
Article 58
Analyse :
Cet article précise que les autorisations et déclarations accordées ou effectuées avant l'entrée en vigueur de la LSI restent valides jusqu'à leur terme.
Proposition de modification :
- Modifier cet article pour mise en cohérence avec les modifications proposées pour l'article 42.
6. TITRE VI - DISPOSITIONS FINALES
Article 59
Article spécifiant que la loi sera évaluée au bout de deux ans d'application, et éventuellement adaptée. Une mesure prudente, vu le nombre de décrets nécessaire à l'application de cette loi...
Article 60 et 61
Articles en dehors de la compétence d'Iris.Annexe : présentation d'IRIS
Iris (Imaginons un réseau Internet solidaire : http://www.iris.sgdg.org) est une association française à but non lucratif créée en octobre 1997.
L'objet d'Iris est la défense des libertés individuelles et des libertés publiques sur Internet, la promotion de l'accès à Internet en tant que service public, et la promotion des usages non marchands du réseau.
En France, Iris est membre de l'intercollectif DELIS (Droits et libertés face à l'informatisation de la société : http://www.delis.sgdg.org), et du R@S (Réseau associatif et syndical : http://www.ras.eu.org). Au plan international, Iris est membre de la coalition GILC (Global Internet Liberty Campaign : http://www.gilc.org).
L'association est active aux plans national (participation régulière à des auditions et consultations institutionnelles, sensibilisation du milieu associatif et syndical aux enjeux politiques, économiques et sociaux d'Internet : publication de rapports et analyses, initiative des Assises de l'Internet non marchand et solidaire, ...), européen (participation à des groupes de travail de la Commission européenne sur les contenus illégaux et offensants sur Internet et sur la résolution alternative de conflits) et international (organisation d'un forum sur la place du citoyen dans le commerce électronique, en liaison avec le forum de l'OCDE, interventions auprès du Conseil de l'Europe et de l'Unesco, notamment dans le cadre de la coalition GILC, etc.). Pour plus de renseignements, voir l'agenda d'Iris (http://www.iris.sgdg.org/info-debat/agenda01.html)
| Mai 2001 - webmestre@iris.sgdg.org |  |