Alors que ce jour marque la reprise des débats au sein du Parlement européen, autour du thème du Paquet Télécom, un ensemble de directives touchant le cadre des communications électroniques, un acteur de poids vient jouer les trublions.

Le Contrôleur européen de la protection des données (CEPD) a tout juste rendu son avis sur une partie des mesures et amendements soutenus dans ce Paquet Télécom, et spécialement au regard du Service Universel (directive 2002/22/EC) et de la protection de la vie privée dans le secteur des communications électroniques (directive 2002/58/EC). Son rapport est à la fois un échec, pour les partisans d’un contrôle serré du Web, et une victoire pour la Quadrature du Net, qui retrouve dans ses lignes nombre de ses critiques combattues par certains parlementaires. En 13 pages (télécharger le PDF en anglais), cette autorité européenne pointe plusieurs amendements « préoccupants ».

L’adresse IP est une donnée personnelle

Un exemple ? Celui qui cherche à définir quand une adresse IP est personnelle (amendement 30 du rapport IMCO), laissant entendre que certaines fois, l’IP n’est plus une donnée personnelle et que tout et n’importe quoi peut être fait sur son dos sans contrôle.

Le texte en cours de vote indique par exemple que pour l’application de la directive sur les données personnelles, l’adresse IP est personnelle seulement si elle possède des liens avec un individu seul, ou en conjonction avec d’autres données. On le voit : il s’agit de définitions très restrictives qui permettent d’abattre du même coup les garanties jusqu’alors placées par les divers textes touchant aux données personnelles. Pour ce cas, estime le Contrôleur, il n’y a aucune raison justifiant l’abandon de la définition actuelle des données personnelles « interprétées par le Groupe de l’article 29 (NDLR : l’assemblée des CNIL européennes) et la jurisprudence ».

Du flou autour des concepts de sécurité

Un autre amendement a été taillé en pièce par cette autorité. C’est l’amendement K2 du député Kamal. Ce texte permet à n’importe quelle entité « naturelle ou légale » d’implanter des mesures techniques pour assurer la stricte sécurité du service public de communication électronique, voire des réseaux privés.

Les termes sont généreux, mais surtout très flous. Pour le Contrôleur européen de la protection des données, il ne faut pas s’y méprendre : si ces termes permettent de justifier la mise en place de verrous contre les attaques de masse sur les réseaux, l’usage du mot « sécurité » est un arbuste qui cache une forêt d’insectes et des débordements sont largement à craindre faute d’une définition droite et carrée de cette expression (sécurité technique, sécurité des ayants droit ?) et des personnes en charge de les appliquer (FAI, ayants droit…)

La riposte graduée torpillée en règle

Sur la lutte contre le piratage et la mise en place de la riposte graduée, le CEPD prend note que plusieurs amendements pourraient parfaitement servir de cadre au mécanisme très français de la riposte graduée. Mme Albanel n’a-t-elle pas dit à Versailles qu’elle se ferait VRP de cette mesure dans le cadre des discussions du Paquet Télécom ?

Sur ce thème, le CEPD indique qu’il ne soutient pas un tel cadre juridique « qui permet la surveillance systématique des usages des utilisateurs d’Internet ». Pour l’autorité, « un tel cadre est très envahissant pour la sphère privée de l’individu et met en péril la liberté d'expression ».

Et pour enfoncer le clou plus profondément dans la porte de la riposte graduée, le CEPD suggère de procéder à des ajustements (amendement 9) pour préciser que les procédures de coopération mijotées ne peuvent pas   «  autoriser  [cette] surveillance systématique et proactive de l'utilisation d'Internet »

Ces démarches frappent tous les utilisateurs, elles peuvent conduire à des déconnexions de l’accès Internet, et sont le fait d’une autorité en forte intimité avec les ayants droit ou les FAI. Si la surveillance de cas très spécialisés est acceptable, ce que dessinent la France et le Paquet Télécom ne l’est sûrement pas. Le CEPD souligne au contraire la nécessité de suivre une voie mesurée, tenant compte à la fois du principe de nécessité et de proportionnalité qu’on retrouve dans la législation sur la protection des données personnelles (et qui fut mis en avant par la CNIL ou le Conseil d’État à la lecture de l’avant-projet Hadopi)

L’envoi de messages d’information, critiqué

Les critiques ne s’arrêtent pas là puisque le Contrôleur va encore dézinguer les différents textes qui obligent un FAI à envoyer des messages d’information à ses abonnés, notamment en liaison avec les propriétaires de contenu. Là encore, le personnage devine que ces différents textes vont faciliter la mise en place de la riposte graduée tout en empruntant des termes vagues alors qu’on parle de manipulation de données personnelles. On ne sait pas, par exemple, quelles pourront être exactement ces « informations envoyées » par les FAI et des clarifications s’imposent avant tout vote aveugle.

Halte aux verrous techniques sur les terminaux

Un des articles des directives modifiées du Paquet Télécom traite des mesures qui peuvent être adoptées pour s’assurer que les équipements terminaux sont construits d’une manière compatible avec les droits des utilisateurs à protéger et contrôler leurs données personnelles.

Un amendement K1 du député Kamal a complètement renversé la vapeur en autorisant la mise en place de solutions DRM techniques pour la détection, l’interception et la protection des ayants droit dans les matériels de télécommunication (Modem, box, ordinateurs, etc.) sous la seule petite réserve que ces données n’entravent pas la liberté de circulation des marchandises. Le Contrôleur aux données personnelles tire à vue contre cette proposition totalement éloignée de la philosophie des textes initiaux qui était de définir des standards pour le respect de la vie privée. Et sûrement pas pour la fracasser à coup de DRM.

Un exemple : votées, ces mesures « permettraient à un ayant droit de savoir quelles pages un individu a vues, copiées ou transférées » depuis sa machine… Un autre amendement connaîtra les mêmes critiques alors que des représentants européens tentent de permettre aux États de définir des usages à imposer aux produits logiciels et matériels afin d’autoriser les accès ou la distribution aux contenus ou applications légaux. Un comble.

« Afin d’éviter les effets non désirables, et s’assurer d’une correcte protection de la vie privée et de la protection des données des utilisateurs d’Internet », le Contrôleur aux données personnelles demande ouvertement aux autorités européennes de faire preuve de discernement et de ne surtout pas voter cette série d’amendements sans tenir compte de ces intérêts supérieurs.

Le texte discuté aujourd’hui sera présenté au vote vers le 23 septembre 2008.