Dans une note confidentielle de l’ASIC, l’Association des Services Internet Communautaires, les acteurs du web Français émettent de sérieuses réserves à l’encontre de la LOPSSI (le projet de loi d'orientation et de programmation pour la performance de la sécurité intérieure) (LOPPSI). Plusieurs chapitres font l’objet d’une analyse critique et juridique, nous retiendrons l’usurpation d’identité et le filtrage des sites pédopornographiques. Examinons chacun de ces points.


Usurpation d’identité, le poison du web 2.0

L’article 2 de la LOPPSi sanctionne l’usurpation d’identité numérique, une infraction qui n’existait pas en tant que telle, car seuls les effets de l’usurpation étaient jusqu’alors sanctionnés (escroquerie, etc.). Voilà ce que dit le texte : « Le fait d’utiliser, de manière réitérée, sur un réseau de communication électronique l’identité d’un tiers ou des données qui lui sont personnelles, en vue de troubler la tranquillité de cette personne ou d’autrui, est puni d’un an d’emprisonnement et de 15 000 € d’amende. Est puni de la même peine le fait d’utiliser, sur un réseau de communication électronique, l’identité d’un tiers ou des données qui lui sont personnelles, en vue de porter atteinte à son honneur ou à sa considération. » Nous l’avions examiné dans cette actualité.

Sur ces lignes, l’Asic estime cependant que « s’il est important de lutter efficacement contre l'usurpation d'identité, les mesures envisagées par le projet ne doivent pas pour autant empiéter sur tous les usages inoffensifs liés au web - en particulier au web communautaire - qui lient des profils les uns aux autres, facilitent l’autoproduction, l’information et la publication de contenus ». Passant du théorique au pratique, l’association ne comprend pas pourquoi l'alinéa 1er (menace/harcèlement) implique un acte réitéré, tandis que l'alinéa 2nd (atteinte à la réputation) se suffit d'un seul acte.

De même, rien n’est dit sur le degré de rapprochement des actes qu'on considère qu'il y a réitération. « Un billet blog publié en 2007 puis un autre en 2009 seront-ils analysés en un acte réitéré? »

Le texte en question pourrait même se révéler un véritable poison pour les services web 2.0 ; L’ASIC constate que « dans la mesure où ils ne visent pas seulement l’usurpation d’identité, mais aussi tout usage de toute donnée personnelle d’autrui d’une manière qui trouble sa tranquillité, les 2 alinéas pourraient s’appliquer à :

• Le fait de « tagger » quelqu’un sur une photo sur un réseau social sans son accord !
• Le fait de critiquer qui que ce soit sur un blog (beaucoup de personnes perdent leur tranquillité dès qu’ils lisent des propos non élogieux !) !
• Le fait de critiquer un artiste, une personnalité, une personne publique sur un forum ! La vidéo de Sarkozy au salon de l’agriculture disant « casse-toi pauv’con » ! »
• Cet article de la LOPPSI pourrait même s’appliquer au « fait de poster les coordonnées d’un député sur un site en invitant les citoyens à le contacter pour exprimer leur opposition à un texte de loi (s’il s’en suit un nombre important d’appels pouvant nuire à la tranquillité du député) ! ». Une initiative qui a été de nombreuses fois menée lors des débats autour de l’Hadopi.

L’ASIC estime donc que l’article devrait se cantonner à la seule usurpation de l’identité pour endiguer tout risque de surinterprétation des mentions «usages de données personnelles ». « On notera, au surplus, que les abus dans l’usage de données personnelles sont déjà punis par la loi Informatique et Liberté de 1978, de sorte que la rédaction proposée n’apporte pas de réelle évolution, si ce n’est une insécurité juridique due à son imprécision ».

Le blocage des sites pédopornographiques

Dans sa note, l’ASIC rappelle avant tout sa démarche proactive en matière de contenus pédopornographiques. « Chacun des membres coopère de manière étroite avec les différents services de l’Etat compétents, et notamment avec l’Office Centrale de Lutte contre la Criminalité liée aux Technologies de l’Information (OCLCTIC) qui fait un travail remarquable et qui doit être saluée. Chacun des membres de l’ASIC répond évidemment aux demandes de retrait de contenus pédopornographiques conformément à la loi pour la confiance dans l'économie numérique et aux réquisitions judiciaires dans le cadre d'éventuelles investigations ».

Toutefois, cela n’empêche pas là encore la mise en éclairage de point noir dans le projet LOPPSI. Il y a des critiques d’opportunité, d’autres nettement plus juridiques qui touchent au droit européen mais aussi à la toute fraîche décision du conseil constitutionnel sur l’Hadopi

Adopter le principe de subsidiarité de la LCEN

« Le retrait des contenus auprès des hébergeurs demeure la seule solution réellement efficace pour rendre les contenus en question inaccessibles. Les dispositifs de blocage par l’accès sont contournables » prévoit l’Asic. Celle-ci a cependant en mémoire la directive européenne sur le commerce électronique qui pose le principe d'absence de surveillance des réseaux par les opérateurs de télécommunications. « Le dispositif de blocage constitue un risque de porter atteinte à ce principe essentiel de neutralité vis-à-vis des contenus et correspondances privées transportés sur les réseaux. Par conséquent, un dispositif de blocage doit bien être considéré comme exceptionnel et limité définitivement aux contenus pédopornographiques ». L’association pressent sans trop de mal un risque de contagion.

Pour les aspects plus juridiques, l’Asic demande que soit adopté d’abord un principe de subsidiarité tel qu'il existe déjà dans la loi pour la confiance dans l'économie numérique (on s’adresse d’abord à l’éditeur, puis à l’hébergeur, puis au FAI). Pourquoi ? Tout simplement parce que le retrait est la mesure la plus efficace. « Outre une plus grande efficacité, cette suggestion permettrait aussi de limiter la taille de la "liste noire", et ainsi le coût du dispositif supporté par l'État (et donc les contribuables) mais également le risque d'erreur dans les pages web placées sur la liste noire ».

Limiter le blocage qu'aux URL

Elle demande aussi de préciser que la "liste noire" doit bien être constituée d'URL précises et non de domaines entiers. Il s’agit là d’éviter les risques de surblocage que plusieurs études ont déjà mis en avant (et même la LOPPSI). « Imaginons par exemple qu'une plateforme de blog entière soit bloquée au motif qu'un blog relève de la "liste noire" ou encore qu'une plateforme de partage de vidéos soit censurée dans son intégralité parce qu'une vidéo est passée à travers les mailles du filet et relève de la "liste noire". Le risque de surblocage n'est pas théorique comme en témoignent les cas de membres de l'ASIC bloqués dans des pays plus ou moins  éloignés de l'Europe ».


Cette hypothèse serait en pleine conformité avec la décision du Conseil constitutionnel sur l’Hadopi (10 juin 2009) qui a encadré le filtrage (les mesures doivent respecter la liberté d’expression et de communication et dans ces conditions, elles doivent être « strictement nécessaires à la préservation des droits en cause »).

Confier la validation du blocage à l'autorité judiciaire

Enfin, prévoir une validation de la liste noire par l’autorité judiciaire. Là encore, l’Asic prend appuie sur la décision Hadopi : « le Conseil constitutionnel a rappelé que toutes mesures susceptibles d’aboutir à un blocage de l’accès à l’internet se devaient d’être conciliées avec « l'exercice du droit de libre communication et de la liberté de parler, écrire et imprimer ». En effet, « la liberté d'expression et de communication est d'autant plus précieuse que son exercice est une condition de la démocratie et l'une des garanties du respect des autres droits et libertés ; que les atteintes portées à l'exercice de cette liberté doivent être nécessaires, adaptées et proportionnées à l'objectif poursuivi ». »

Seule l’autorité judiciaire serait donc compétente pour valider le blocage d’une liste de site. La décision Hadopi est d’ailleurs conforme à la ligne jurisprudentielle du Conseil constitutionnel (décision du 28 juillet 1989) selon laquelle on peut confier un pouvoir de sanction à une autorité administrative indépendante (AAI) « dès lors, d’une part que la sanction susceptible d’être infligée est exclusive de toute privation de liberté et, d’autre part, que l’exercice des pouvoirs de sanction est assorti par la loi de mesures destinées à sauvegarder les droits et libertés constitutionnellement garantis ».

Dans la décision Hadopi, le Conseil constitutionnel indiquait, à propos des pouvoirs confiés à une AAI que ceux-ci « peuvent conduire à restreindre l'exercice, par toute personne, de son droit de s'exprimer et de communiquer librement, notamment depuis son domicile ; que, dans ces conditions, eu égard à la nature de la liberté garantie par l'article 11 de la Déclaration de 1789, le législateur ne pouvait, quelles que soient les garanties encadrant le prononcé des sanctions, confier de tels pouvoirs à une autorité administrative dans le but de protéger les droits des titulaires du droit d'auteur et de droits voisins ».

Or, qu'a-t-on avec la LOPSSI ? « le présent projet de loi envisage de confier ce pouvoir de sanction, débouchant sur un filtrage à l’accès, non pas à une autorité administrative indépendante mais à l’autorité administrative – en l’espèce le ministre de l’Intérieur. Un tel choix est donc incompatible avec la jurisprudence constante du Conseil constitutionnel. Dans ces conditions, l’ASIC invite le législateur à confier à la seule autorité judiciaire le pouvoir de décider toute mesure de filtrage à l’accès » conclut l’ASIC.