« Hein ? Des pétitions à l’Assemblée nationale ? Au Sénat ? » C’est au détour d’une vidéo et de divers échanges que j’ai constaté la chose suivante : peu de personnes semblent être au courant qu’il est possible de signer ou de déposer une pétition sur les sites de l’Assemblée nationale ou du Sénat. Pourquoi ? Comment ? Est-ce que c’est utile ? J’espère que la suite de ce billet pourra vous éclairer un peu.

NDLR : je ne fais qu’une présentation du site des pétitions de l’Assemblée nationale, mais l’ensemble de mes propos sont applicables au Sénat (exception faite du règlement de l’Assemblée Nationale, logique…)

Des pétitions ? Pourquoi ? Comment ?

Le site de l’Assemblée nationale permet donc de déposer et signer des pétitions.

Pour rappel, une pétition est une demande ou une suggestion qui doit être écrite et qui, dans le cas qui nous intéresse, est transmise par une ou des personnes au Président de l’Assemblée nationale.

Cette pétition peut suggérer ou demander « à peu près tout et n’importe quoi », comprenez par là que si l’objet de votre pétition est manifestement illicite, votre pétition sera très rapidement jetée à la poubelle, nous y reviendrons…

Cette possibilité de déposer une pétition est codifiée au sein du règlement de l’Assemblée nationale, chapitre VIII, articles 147 à 151 et via l’ordonnance n° 58-1100 du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires, bien que cette dernière renvoie au règlement des assemblées pour la présentation des pétitions (art. 4).

Dès lors qu’une pétition est déposée, elle est attribuée à une commission compétente sur le sujet (on ne va pas attribuer une pétition sur la pêche à la commission spécialisée dans les questions relatives au numérique, par exemple). Un rapporteur est nommé au sein de cette commission et sur proposition de ce dernier, la pétition est soit examinée et débattue, soit non retenue.

A noter que les pétitions ont deux objectifs significatifs, définis dans le règlement de l’Assemblée nationale : si la pétition atteint 100 000 signataires, elle est mise en ligne sur le site de l’assemblée, pour plus de visibilité et, si elle atteint plus de 500 000 signataires, elle est débattue dans l’hémicycle de l’assemblée.

Pour le Sénat, si une pétition atteint plus de 100 000 signataires, elle est transmise à la Conférence des Présidents.

Pour l’histoire, tout ceci est relativement récent : à titre d’exemple, les modifications du fonctionnement des pétitions de l’assemblée datent de la résolution n° 281 du 04 juin 2019 qui modifie le fonctionnement de l’Assemblée nationale au global.

Pour déposer ou signer une pétition, il faudra vous authentifier via FranceConnect, ceci afin de certifier que vous êtes bien une vraie personne, de nationalité française ou résidant en France. Les pétitions des deux assemblées ayant un caractère autrement plus formel qu’une pétition sur un « quelconque » site en ligne, on comprendra aisément ce besoin de vérification.

Bonne ou mauvaise idée ?

C’est une question délicate… L’outil utilisé par l’Assemblée nationale et le Sénat est le même, il n’est ni bon, ni mauvais, c’est un outil. Ce sont les pétitions qui vont faire la différence, ainsi, sur le site du Sénat, on pouvait retrouver il y a quelques semaines une pétition pour la désolidarisation des revenus du conjoint pour le paiement de l’Allocation aux Adultes Handicapés (AAH). L’objectif de cette pétition est que lorsque l’on calcule les revenus d’une personne en situation de handicap, on n’intègre plus le calcul des revenus du conjoint, mais Nicole Ferroni en parle bien mieux que moi

Mais… il y aussi les mauvaises idées, comme cette pétition pour rétablir la peine de mort ou encore celle pour armer le corps enseignant, pour qu’il puisse se défendre en cas d’attaque armée. Si cette dernière est désespérante, la première demande tout simplement l’impossible, c’est illégal.

On peut cependant retenir une chose de l’existence de ces deux pétitions : on peut déposer tout et n’importe quoi sur les pétitions.. et, en soi, c’est plutôt une bonne nouvelle.

Une forme de démocratie directe ?

Peut-on voir en cette possibilité de déposer une pétition un moyen d’expression de ses droits et devoirs de citoyen ? Après tout, il m’est possible de déposer une pétition, sur le site des deux institutions françaises, qui pourra être directement prise en charge, débattue, voire conduire à une loi, qui sait…

J’ai tendance à penser que cet outil peut représenter un vecteur d’expression de la démocratie, s’il est vraiment adopté par de nombreuses personnes. Il devient possible de « forcer » l’analyse d’une idée, de communiquer ce qui semble être important, directement aux personnes qui fabriquent la loi. Dans un pays où nous avons le sentiment de ne jamais être écoutés, c’est plutôt une bonne chose.

Est-ce efficace ?

Je n’ai pas la réponse à cette question, ce n’est pas parce qu’une pétition va recueillir 700 000 signatures que ce qu’elle demande sera inscrit dans la loi. Elle sera certes analysée, mais pas plus, elle pourra être balayée d’un revers de la main, balayée lors d’un vote, etc.

En revanche, je sais que les choses ne changent pas lorsqu’on ne fait rien pour les changer, lorsque l’on ne tente pas de le faire.

Si cet outil n’est pas énormément adopté, on restera dans des schémas traditionnels : des outils existent, ces outils sont « monopolisés » par des personnes déjà actives, déjà présentes dans la vie politique, voire chez des extrêmes… et rien ne changera.

Un point positif à noter : la pétition dont je parlais tout à l’heure, sur l’AAH, sera examinée à partir du 09 mars 2021, signe que « le peuple » a la capacité de faire bouger les choses, dès qu’il se motive et se mobilise pour une cause.

J’espère vous avoir fait découvrir quelque chose en présentant succinctement cette plateforme. Si c’est le cas, n’hésitez pas à partager l’article sur vos réseaux, pour diffuser l’information !

Le Conseil d’État s’est récemment prononcé sur un différend opposant la CNIL et un groupe d’éditeurs variés autour de point liés au consentement et au dépôt de cookies sur les terminaux des internautes. La décision du Conseil d’État a fait l’objet d’une reprise dans un certain nombre d’articles de presses, ces derniers clament que bloquer un internaute refusant les cookies est légal, que la CNIL a été désavouée, que « le Conseil d’État donne raison aux éditeurs ».

Est-ce vraiment ce que dit la décision rendue par le Conseil d’État ? C’est ce que nous allons voir (spoiler : non).

Les griefs des requérants

L’association des agences-conseils en communication, la fédération du e-commerce et de la vente à distance, le groupement des éditeurs de contenus et services en ligne, l’Interactive Advertising Bureau France, la Mobile Marketing Association France, le syndicat national communication directe de la data à la logistique, le syndicat des régies internet, l’union des entreprises de conseil et d’achat media et l’union des marques, demandaient au Conseil d’État :

• d’annuler la décision d’adoption des lignes directrices relative aux cookies et autres traceurs
• de statuer sur un certain nombre de question préjudicielles sur l’interprétation de deux directives et du RGPD.
• de contraindre la CNIL à indemniser les requérants ayant subi le contentieux, à hauteur de 15 000€ (article L. 761 du code de justice administrative) ou, pour « vulgariser », les requérants demandaient à la CNIL de payer les frais engagés dans la procédure.

Les « cookie walls »

Un point très attendu de cette décision concerne les cookies walls. Les cookies walls, ce sont ces petites choses là…

Ces « murs » sont la première et parfois la seule chose que vous voyez d’un site lorsque vous arrivez dessus. Le but est d’interpeller l’internaute et de lui dire, en substance « si tu viens sur mon site Internet, tu acceptes que je viennes déposer des cookies dans ton terminal, voire des cookies publicitaires et des cookies tiers et, si tu refuses, tu peux partir de mon site Internet. »

Le désaccord entre les requérants et la CNIL est le suivant : dans sa ligne directrice relative aux cookies, la CNIL a déclaré que ces « cookies walls » n’étaient pas légaux. Elle fondait son propos sur la ligne directrice (PDF) relative au consentement, édictée par le Comité Européen à la Protection des Données, ou CEPD, qui explique que cette pratique est contraire au RGPD (le soulignage est fait par mes soins) :

39. In order for consent to be freely given, access to services and functionalities must not be made conditional on the consent of a user to the storing of information,or gaining of access to information already stored,in the terminal equipment of a user (so called cookie walls).

40. Example 6a: A website provider puts into place a script that will block content from being visible except for a request to accept cookies and the information about which cookies are being set and for what purposes data will be processed. There is no possibility to access the content without clicking on the “Accept cookies” button. Since the data subject is not presented with a genuine choice, its consent is not freely given.

41. This does not constitute valid consent, as the provision of the service relies on the data subject clicking the “Accept cookies” button. It is not presented with a genuine choice.

Source : EDPB (CEPD en français)

Les éditeurs, on peut s’en douter, ne partagent pas cette vision et cette orientation de la CNIL. Certains déclarent que les cookies walls sont parfaitement conformes au RGPD, d’autres que de cette pratique dépend leur business model voire leur survie et d’autres expliquent que la CNIL n’est pas compétence pour se prononcer sur ces aspects.

Le Conseil d’État a tranché : la CNIL n’est effectivement pas compétente pour déclarer que les cookies walls sont contraires au droit. Une telle disposition ne peut pas être déclarée dans une mesure de droit souple.

Droit souple ? Depuis quand le droit c’est souple ?

Je vous vois venir : « non mais le droit, c’est binaire, c’est absolu, c’est simple !!!!! » Jean Claude, chut. Tu vas te rasseoir, tu reprends ton cahier et tu notes.

Le droit souple est une « façon » d’exprimer le droit, dans des mesures contradictoires et moins contraignantes. Le droit « dur », le droit « classique » si vous préférez est défini par son caractère incontournable, contraignant et obligatoire. Il interdit strictement quelque chose, des exceptions strictement encadrées à ce droit peuvent voir le jour mais il reste obligatoire. Ce n’est pas le cas du droit « souple ». Les lignes directrices, les recommandations, les avis ou les chartes de bonne conduite sont, par exemple, des mesures de droit souple.

Ce droit se caractérise donc par son critère non obligatoire, il indique les lignes à suivre, le principe général. Il est possible dans certains cas spécifiques de déroger à ces règles.

On comprendra donc qu’il n’est pas possible, au travers d’une mesure de droit souple, d’interdire formellement un usage, une technologie, … Tout au plus cela relèvera de l’avis et de l’interprétation de l’autorité qui aura édicté cette mesure de droit souple, mais ne pas la respecter ne fera pas tomber un organisme dans l’illégalité. Il pourra contester, devant les autorités compétentes, la capacité de l’autorité ayant émis la mesure de droit souple… C’est ce qui s’est produit dans le présent cas.

En portant le litige au Conseil d’État, les plaignants ont souhaité trancher sur la capacité de la CNIL à interdire formellement les cookies walls au travers d’une mesure de droit souple. C’est pour cette raison que le Conseil d’État a décidé que l’interdiction de la CNIL était entachée d’illégalité, la CNIL n’étant pas compétente pour édicter de telles restrictions au travers d’une mesure de droit souple.

Donc les cookies walls sont légaux et on peut interdire l’accès à un site à un internaute ?

Du calme, Jean Claude.

La réponse n’est pas aussi évidente que ça. Les journaux ont certes titré « Selon le Conseil d’Etat, un éditeur peut bloquer l’accès à son site à un internaute qui refuserait les cookies » (Le Monde) mais dans les faits, c’est un poil plus compliqué.

Le Conseil d’État n’a pas dit que les cookies walls étaient légaux. Il n’a pas non plus dit que les sites pouvaient bloquer les accès à internaute qui refuserait les cookies. Il a simplement souligné que la CNIL n’était pas compétente pour décider d’interdire les cookies walls au travers d’une mesure de droit souple. Ni plus, ni moins.

Cela ne rend pas la pratique licite, cela ne l’interdit pas non plus. Cette question de fond n’a pas trouvé réponse et le débat n’est donc pas encore terminé. La CNIL a pris acte de la décision du Conseil d’État et va modifier ses lignes directrices en conséquence, mais la licéité des cookies walls n’est, au final, pas tranchée.

La suite ?

C’est un peu la question que je me pose… Il est possible que la décision change la donne entre les internautes et les éditeurs qui font usage des cookies walls.

Premièrement car si ces derniers interprètent mal la décision du Conseil d’État, ils risquent vraiment de bloquer les internautes qui refuseraient le dépôt de cookies. Nous pourrions donc en arriver à une situation d’opposition entre les éditeurs et les internautes, les premiers défendant qu’ils ont le droit et que leur survie en dépend, les second refusant d’être dans l’obligation d’accepter un quelconque tracking non justifié pour accéder à un contenu en ligne.

La suite pourrait très bien être parfaitement identique à l’actuelle situation : les éditeurs gardent leurs cookies walls, la CNIL ne les considérera simplement plus comme étant contraires au RGPD et « basta ».

Il existe une possibilité que j’entrevois au loin : comme je l’écrivais plus haut, le CEPD, dans ses lignes directrices, a explicitement dit que les cookies walls n’étaient pas conformes au RGPD. Il est donc possible, pour la CNIL, dans le cadre de ses contrôles ou son alignement, de faire appel aux orientations du CEPD pour condamner la pratique.

Seule problématique, d’ailleurs identifiée dans la décision du Conseil d’État : les lignes directrices du CEPD sont des mesures de droit souple, il est possible d’attaquer ces dernières devant la cour de justice compétente, la CJUE dans ce cas, et de la forcer à statuer, mais c’est risquer gros : elle pourrait très bien déclarer que c’est effectivement contraire au RGPD, cela mettrait un coup d’arrêt définitif aux cookies walls…

A suivre…

Il y a un an ou presque, j’écrivais mon dernier papier sur le blog. Il avait pour sujet le projet de loi Avia ou « proposition de loi visant à lutter contre la propagation des propos haineux sur Internet », de son petit nom tout gentil tout mignon.

Un an après, le projet de loi est passé par le Sénat, puis à fait un retour à l’Assemblée Nationale pour être voté définitivement. C’était prévisible, c’est arrivé. Que le texte fasse l’objet d’une saisine au Conseil Constitutionnel après son vote et… sans grande surprise, fasse l’objet d’une non conformité à la constitution, c’était aussi assez prévisible.

Ce qui devait donc arriver arriva, le Conseil Constitutionnel, dans sa décision n°2020-801 DC du 18 juin 2020, a – et c’est peu de le dire – décapité et mis en charpie la loi Avia.

Un texte équilibré…Pourtant…

Selon Laetitia Avia (et bien d’autres au sein du groupe LREM), ce texte semblait avoir tout pour plaire : un texte nécessaire, juste, équilibré, bien pensé. Un travail sur le long terme, plus de deux années d’échanges, une écoute et un travail poussé avec les associations pour s’assurer que ce texte respecte les besoins, les attentes et les principes fondamentaux de notre état de droit.

Dans l’autre camp – si tant est qu’on puisse parler de camp – le discours était, disons, diamétralement opposé. Si tout le monde s’entendait – et s’entend – à dire qu’il faut effectivement lutter contre la haine en ligne, nombreuses étaient les voix qui s’élevaient contre les dispositions du texte. Je fais d’ailleurs partie de ces derniers : oui, lutter contre la haine en ligne est une nécessité mais non, lutter avec des dispositifs comme la loi Avia, ce n’est pas envisageable.

Il y a un an…

Nous nous alarmions, ici ou ailleurs, sur un ensemble de dispositions du texte, spécifiquement les délais de suppression des contenus, allant de 1 à 24 heures et accompagnés de sanctions pénales et financières si les contenus n’étaient pas supprimés dans ces délais.

Ici même, je m’inquiétais plus spécifiquement du « manifestement illicite », expliquant que ce « manifestement » était laissé à la main du service de communication qui devait bloquer le contenu :

« Le texte prévoit que l’appréciation des « contenus gris » revienne aux opérateurs, afin d’aller plus vite dans le blocage ou la suppression des contenus. Par ailleurs, le texte réduit de façon significative le temps dont disposent les opérateurs pour retirer du contenu. Dès lors, les problèmes de censure ne peuvent que s’accentuer, les blocages à tort aussi, le « zèle » des opérateurs privés également. Les obligations de la future loi sont extrêmement contraignantes pour ces derniers, ils appliqueront le même procédé qu’actuellement : bloquer plus que nécessaire, pour éviter des risques. »

Je m’inquiétais aussi des dispositions du texte, qui représentaient une menace que je qualifiais alors de sérieuse sur la liberté d’expression.

Bilan, un an après, me conduisant à penser que j’avais vu juste : la décision du Conseil Constitutionnel partage ces observation et avis.

La décision du Conseil Constitutionnel en détail

Sur le délai de retrait des contenus en une heure

Le conseil décide la chose suivante :

« 7. Toutefois, d’une part, la détermination du caractère illicite des contenus en cause ne repose pas sur leur caractère manifeste. Elle est soumise à la seule appréciation de l’administration. D’autre part, l’engagement d’un recours contre la demande de retrait n’est pas suspensif et le délai d’une heure laissé à l’éditeur ou l’hébergeur pour retirer ou rendre inaccessible le contenu visé ne lui permet pas d’obtenir une décision du juge avant d’être contraint de le retirer. Enfin, l’hébergeur ou l’éditeur qui ne défère pas à cette demande dans ce délai peut être condamné à une peine d’emprisonnement d’un an et à 250 000 euros d’amende. 

8. Dès lors, le législateur a porté à la liberté d’expression et de communication une atteinte qui n’est pas adaptée, nécessaire et proportionnée au but poursuivi.

9. Par conséquent, sans qu’il soit besoin d’examiner les autres griefs, le paragraphe I de l’article 1er de la loi est contraire à la Constitution. »

Fin du game. Le retrait des contenus en une heure est jugé contraire à la constitution car il porte atteinte, de façon disproportionnée, à la liberté d’expression.

Sur le retrait des contenus en 24 heures

Le conseil étrille également les dispositions du retrait des contenus en 24 heures (points 10 à 19 de la décision du Conseil, je cite certains points, la mise en gras est de mon fait si vous souhaitez lire l’essentiel) :

« 14. Toutefois, en premier lieu, l’obligation de retrait s’impose à l’opérateur dès lors qu’une personne lui a signalé un contenu illicite en précisant son identité, la localisation de ce contenu et les motifs légaux pour lesquels il est manifestement illicite. Elle n’est pas subordonnée à l’intervention préalable d’un juge ni soumise à aucune autre condition. Il appartient donc à l’opérateur d’examiner tous les contenus qui lui sont signalés, aussi nombreux soient-ils, afin de ne pas risquer d’être sanctionné pénalement.

15. En deuxième lieu, s’il appartient aux opérateurs de plateforme en ligne de ne retirer que les contenus manifestement illicites, le législateur a retenu de multiples qualifications pénales justifiant le retrait de ces contenus. En outre, son examen ne doit pas se limiter au motif indiqué dans le signalement. Il revient en conséquence à l’opérateur d’examiner les contenus signalés au regard de l’ensemble de ces infractions, alors même que les éléments constitutifs de certaines d’entre elles peuvent présenter une technicité juridique ou, s’agissant notamment de délits de presse, appeler une appréciation au regard du contexte d’énonciation ou de diffusion des contenus en cause.

16. En troisième lieu, le législateur a contraint les opérateurs de plateforme en ligne à remplir leur obligation de retrait dans un délai de vingt-quatre heures. Or, compte tenu des difficultés précitées d’appréciation du caractère manifeste de l’illicéité des contenus signalés et du risque de signalements nombreux, le cas échéant infondés, un tel délai est particulièrement bref.

18. En dernier lieu, le fait de ne pas respecter l’obligation de retirer ou de rendre inaccessibles des contenus manifestement illicites est puni de 250 000 euros d’amende. En outre, la sanction pénale est encourue pour chaque défaut de retrait et non en considération de leur répétition.

19. Il résulte de ce qui précède que, compte tenu des difficultés d’appréciation du caractère manifestement illicite des contenus signalés dans le délai imparti, de la peine encourue dès le premier manquement et de l’absence de cause spécifique d’exonération de responsabilité, les dispositions contestées ne peuvent qu’inciter les opérateurs de plateforme en ligne à retirer les contenus qui leur sont signalés, qu’ils soient ou non manifestement illicites. Elles portent donc une atteinte à l’exercice de la liberté d’expression et de communication qui n’est pas nécessaire, adaptée et proportionnée. Dès lors, sans qu’il soit d’examiner les autres griefs, le paragraphe II de l’article 1^er est contraire à la Constitution. »

En résumé, si vous n’aimez pas les grandes explications

le caractère « manifestement illicite » est laissé à l’appréciation des opérateurs de plateforme en ligne (point 15 et 16), ils doivent, dans un temps très court, estimer le caractère manifestement illicite des contenus. S’ils ne le font pas pour l’ensemble des contenus, c’est terminé pour eux (point 18).

Le risque est le même que le retrait des contenus en une heure : un blocage par défaut pour éviter de laisser passer quoi que ce soit, quitte à bloquer des choses parfaitement légitimes. Les risques encourus en cas de manquement à ces obligations étant trop important et la complexité d’un blocage efficace et juste étant soit trop technique, soit juridiquement trop complexe, soit les deux, les opérateurs préfèreront bloquer beaucoup plus que nécessaire… Ce que le Conseil Constitutionnel considère, à juste titre, comme une atteinte disproportionnée à la liberté d’expression.

Sans ses deux points, le cœur du dispositif de la loi Avia est mort. La quasi totalité de la loi dépendant de ces dispositions, Il n’est pas disproportionné de dire que la quasi totalité de la loi est censurée. La décision du conseil, en plus de censurer les paragraphes I et II de l’article 1^er, censure les articles 3, 4, 5, 7, 8, 9 et 11 ainsi une partie des articles 10, 12 et 19.

A titre informatif, le texte est composé de 19 articles. La quasi totalité de la loi est censurée par la décision du Conseil Constitutionnel.

Pour vous donner une image encore plus représentative, le texte fait 17 pages (PDF). Sur ces 17 pages, deux pages n’ont pas été censurées… dont la page de garde qui, à première vue, semble conforme à la constitution. (Ça va on peut bien rigoler, rohlalalalala.)

En résumé : la décision du Conseil Constitutionnel résonne comme une grosse claque très douloureuse, envoyée en pleine tête. Propre, soignée, mais terriblement brutale.

Elle est d’autant plus brutale que le texte a été défendu bec et ongles par la principale intéressée, suivie par de nombreuses personnes. Il était porté haut et présenté comme un texte exemplaire. La décision du conseil doit, j’imagine, assez mal passer.

Et la suite ?

Bon. La décision du Conseil Constitutionnel est tombée. Soit. Chouette. Champagne toussa. La loi est morte née. Toujours chouette, toussa toussa… Il a fallu plus de deux années pour qu’elle sorte et elle est censurée à plus de 80 %. Quelle perte de temps, d’énergie, quel gaspillage. Le conseil d’État avait alerté sur un potentiel risque d’inconstitutionnalité, les associations, les expert.e.s aussi.

Dans un monde « normal », pour toute personne normalement constituée, deux claques et un échec aussi cuisant signifient qu’il faut arrêter, lâcher l’affaire et passer à autre chose… Sauf que nous ne sommes pas dans un monde « normal » et que Laetitia Avia est du genre très… obstinée.

Cette claque, elle l’envisage comme une feuille de route donnée par le conseil des sages, comprenez donc que le texte va – encore – revenir à l’Assemblée Nationale. Quand ? On ne sait pas, mais la députée et le groupe LREM ne s’arrêtera pas à cet échec.

Dans un prochain billet, on s’interrogera sur les raisons qui ont conduit ce texte (et d’autres) à en arriver à « ça ». Entre ignorance, incompétence et manque de moyens, je vous livrerai mon avis sur le sujet suivant « Pourquoi, en matière de législation et d’application de cette législation sur Internet, la France est totalement à la ramasse ? »

Hier soir, jeudi 04 juillet 2019, se terminaient les débats de l’Assemblée Nationale sur la proposition de loi contre la cyber haine, rebaptisée « proposition de loi visant à lutter contre la propagation des propos haineux sur Internet » par les députés, dans les derniers amendements discutés.

Cette proposition de loi se fixe comme but de combattre la haine en ligne sous toutes ses formes, sur l’ensemble des canaux qu’ils soient publics ou privés. Les réseaux sociaux, les forums, les blogs, tout espace de communication se retrouverait concerné, dans l’état actuel de la loi.

En préambule, il faut retenir que ladite loi a passé l’étape des débats de l’assemblée, elle devra être votée par cette même assemblée, puis transmise au Sénat, qui va amender le texte (ou non), qui devra le voter, etc. Comprenez donc qu’il reste encore du chemin à cette loi avant qu’elle soit promulguée et qu’elle entre en vigueur. Nous devrions, si le calendrier est tenu, voir arriver la proposition de loi au Sénat vers septembre.

Je vous passe les arguments entendus depuis des années, les « Internet est une zone de non droit », « tout est autorisé sur Internet » et autres, utilisés par les députés et autres camarades pour justifier la nécessité de rajouter, encore, des textes et des textes de loi pour encadrer cet espace.

Ironie du sort, cela fait une dizaine d’années qu’au moins un texte de loi par an vient encadrer Internet… l’argument de la zone de non droit est aberrant, pour ne pas dire honteux… mais il semble fonctionner, encore et toujours.

Ça fait quoi… 14, 15 ans, que j’observe l’évolution du cadre juridique autour d’Internet, alors je vous livre ici mon avis de jeune vieux con des Internet.

Mon but, c’est de vous amener à réfléchir, alors ça va être long, prenez du temps pour lire la suite, et commentez si vous le souhaitez, ici, sur Twitter, par e-mail, comme vous le sentez.

TL;DR : c’est de la merde.

Appelons un chat un chat, ce projet de loi est nauséabond au possible.

Entendons-nous bien, lutter contre la haine en ligne, c’est une nécessité. Personne ne remet cela en question. Pour autant, afin de lutter contre cette haine, il faut deux choses extrêmement importantes : savoir qualifier avec une précision sans failles ladite haine et disposer de moyens concrets pour faire appliquer la loi.

Au passage, petite remarque : ce texte n’a pas vocation à lutter contre la haine, en y réfléchissant bien. Ce texte a vocation à la faire disparaitre de la surface visible, à stopper net sa propagation. Cela ne la fera pas disparaitre pour autant, l’esprit humain est assez tordu pour trouver d’autres vecteurs de diffusion de la haine… l’espèce humaine ne semblant être bonne qu’à s’insulter et se détester. Bref, revenons-en à nos moutons…

Combattre la haine est un exercice difficile car il faut identifier ce qui se cache derrière ce mot. C’est fondamental. Ne pas le faire, c’est prendre le risque de considérer des opinions contraires comme des propos haineux. C’est prendre le risque d’entraver la liberté d’opinion, la liberté d’expression, la capacité à avoir des avis contradictoires, des débats, parfois intenses certes, mais généralement intéressants.

Si je dis « Éric Ciotti est, à mes yeux, un mauvais député, ses propos sont dangereux, il est néfaste, toxique, mauvais et il représente tout ce que je déteste », est-ce de l’incitation à la haine ? l’expression d’un sentiment de haine ? un avis ? une opinion ?

A première vue, mon propos n’est pas haineux, mais aux yeux de la loi, qu’en est-il ? Et aux yeux du principal intéressé, qu’en est-il ?

Si un youtubeur se plaint d’une personne, sur Twitter, en disant « elle me fatigue » et que cette personne se fait défoncer sur les réseaux, est-ce de la haine ? Le Youtubeur est-il, au regard de la loi, responsable du déferlement de haine à l’encontre de la personne ? Sans doute pas, pour autant, c’est son message qui est responsable du déferlement de haine que la personne va se prendre en pleine face…

« Manifestement »

Pour protéger la liberté d’expression, il y a déjà bien longtemps, la loi a commencé à définir ce qu’on appelle le « manifestement … », « manifestement injurieux », « manifestement illicite », « propos manifestement haineux »… Manifestement signifiant qu’il n’existe aucun doute quant à la teneur du propos : dire « Éric Ciotti, j’aimerais bien voir sa tête accrochée sur un lampadaire de Paris », c’est haineux et c’est de l’incitation à la violence, il n’existe aucun doute quant à la teneur de ce propos qui, je le précise, est donné à titre d’exemple… parce que j’aimerais bien ne pas avoir d’ennuis avec la justice, ni avec Ciotti, donc je préfère préciser que c’est un exemple et que je ne souhaite la mort de personne.

Il existe, en résumé, deux grandes catégories de propos : ceux « manifestement » illicites, où il n’existe absolument aucun doute quant à la teneur des propos, et ceux où… c’est plus compliqué, plus nuancé, ceux qui ont besoin d’une analyse, d’un contexte.

Ces contenus, qu’on appelle généralement des « contenus gris », doivent être traités avec beaucoup de précautions car ils peuvent être une simple manifestation de la liberté d’expression d’une personne. Interdire les propos en question revient alors à les censurer, à limiter la liberté d’expression à tort. Et censurer, interdire les opinions, limiter la capacité qu’ont les citoyens à pouvoir les exprimer, c’est l’arme des gouvernements totalitaires, des états policiers et des dictatures.

Si la définition du « manifestement » existe plus ou moins, elle ne représente qu’une infime partie des cas de diffusion et de propagation de la haine en ligne. Lors de la première séance sur le texte, des députés expliquaient, dans 100% du contenu haineux observé, le contenu « manifestement haineux » représentait environ 20% du contenu (ndlr : je n’ai pas trouvé la source de leurs propos mais le chiffre me semble cohérent), les 80% restants sont donc des contenus gris.

Qui devrait observer ces « contenus gris » ?

Observer la qualité de ces « contenu gris » nécessite du temps, des capacités juridiques certaines, une capacité d’interprétation, une connaissance de la loi fine. Qualifier ces propos comme licites ou comme illicites est une chose sensible, puisque c’est directement relié à la liberté d’expression, droit fondamental. Ainsi, l’idéal est que ce soit un juge qui s’en charge.

Imaginons qu’une plateforme ait un doute sur le caractère « manifestement illicite » d’un contenu, malgré son armée de juristes : elle fait appel à un juge, qui tranche le sujet, et « voilà ». C’est ce qui devrait se faire, pour garantir que le propos considéré comme haineux le soit réellement, pour être sûr de ne pas entraver la liberté d’expression des personnes…

Mais.

Actuellement, les plateformes ont des interprétations larges du « manifestement illicite ».  Elles ne savent pas correctement catégoriser des « contenus gris » et, par sécurité, elles bloquent et censurent bien que nécessaires.

A titre d’exemple, on peut citer …

• Tumblr, qui censure la nudité pour lutter contre le contenu « manifestement » pornographique… mais qui censure des photos artistiques, des contenus interprétés par les robots comme contenus pornographiques, qui censure des dessins qui ne présentent aucune nudité, qui censure de l’art, qui censure des tableaux d’artistes dans lesquels on peut voir un bout de peau de trop.
• Facebook, qui censure tout une ribambelle de propos et de contenus, le plus connu étant la censure de l’origine du monde ou, plus récemment, le blocage de vidéos relatives aux violences policières sur les manifestations des Gilets Jaunes.
• Les réseaux sociaux, de façon générale, qui préfèrent bloquer des contenus qui pourraient être illicites, pour ne pas prendre de risques
• YouTube, qui démonétise, désindexe ou censure des vidéos sur des sujets sensibles, où le risque de tenir des propos manifestement illicites est grand. La politique de YouTube étant « on ne se passe pas la tête, on bloque pour ne pas prendre de risques. »

Les plateformes d’échange, les réseaux sociaux, les blogs, sites Internet et autres ne veulent pas voir leur responsabilité engagée, ils sont déjà assujettis à des obligations fortes de gestion des contenus… ainsi, ils mettent en place une politique extrêmement restrictive, font du sûr-blocage, censurent, …

Les « gros », Facebook & Co., disposent d’armées de juristes pour trancher sur le sujet et pourtant, le constat est de pire en pire : des propos ou des vidéos entières sont censurées.

On peut leur reprocher le fait de le faire, on peut critiquer la décision de le faire, on peut se plaindre du dispositif, il n’en est pas moins révélateur d’un problème : les opérateurs privés ont leur propre interprétation des contenus gris, interprétation qui consiste à dire « dans le doute, on bloque. », ils ont bien du mal à catégoriser avec justesse le « manifestement illicite ».

On rajoutera à cette difficulté le fait qu’ils soient obligés d’agir rapidement pour retirer le contenu, ils n’ont pas le temps de se prononcer correctement, pas les moyens nécessaires pour analyser en détail le contenu, et ne souhaitent pas mettre les moyens nécessaires pour le faire.

La logique voudrait donc que la loi vienne corriger le problème. Ainsi, on pourrait imaginer que la proposition de loi dont nous parlons introduise le juge afin de répondre aux doutes sur les « contenus gris », la loi pourrait dire « en cas de doute sur un contenu illicite (ndlr : donc non « manifestement illicite »), l’opérateur privé saisit le juge judiciaire (ndlr bis : garant des libertés individuelles dont la liberté d’expression fait partie) afin d’obtenir un avis de ce juge. Cet avis est rendu en 24 heures maximum après la saisine du juge. ». Cela représenterait un bon équilibre, le contenu est rapidement retiré, un juge se prononce sur le sujet, la liberté d’expression est préservée, les propos manifestement illicites sont supprimés, tout le monde est content.

Sauf que cette idée a été rejetée par la rapporteuse de la proposition de loi, Mme Avia, et Mme Belloubet, ministre de la Justice, et que l’amendement qui proposait ce dispositif a été rejeté par les députés lors du vote à l’Assemblée Nationale.

Le texte prévoit que l’appréciation des « contenus gris » revienne aux opérateurs, afin d’aller plus vite dans le blocage ou la suppression des contenus. Par ailleurs, le texte réduit de façon significative le temps dont disposent les opérateurs pour retirer du contenu. Dès lors, les problèmes de censure ne peuvent que s’accentuer, les blocages à tort aussi, le « zèle » des opérateurs privés également. Les obligations de la future loi sont extrêmement contraignantes pour ces derniers, ils appliqueront le même procédé qu’actuellement : bloquer plus que nécessaire, pour éviter des risques.

Ironie du sort, la loi prévoit des sanctions en cas de sûr-blocage. Les opérateurs privés vont donc se faire taper dessus s’ils ne bloquent pas les propos mais vont aussi se faire taper dessus s’ils bloquent à tort des propos qui n’auraient pas dû être bloqués. Tout en sachant qu’ils sont incapables de catégoriser correctement du contenu « manifestement » illicite. C’est mal pensé, dangereux pour tout le monde, ça va nécessairement conduire à des situations anormales… et en attendant, la liberté d’expression qu’a chacun va se faire raboter, encore une fois.

Vous voulez savoir le pire : les députés, la rapporteure du texte et la ministre le savent. Un député, lors des débats à l’assemblée, l’a dit « oui, Madame Dumas (ndlr : une députée), il y aura sans doute du sûr-blocage, mais bon […] c’est un choix politique. »

Traduisons un peu cette phrase, avec des choses plus explicites : « Oui, Madame Dumas, il y aura sans doute des cas de blocage et de limitation de la liberté d’expression… mais c’est un choix politique. »

Vous le voyez mieux, le malaise ? Ne pas inclure le juge, pour des motifs d’efficacité, c’est induire un risque énorme, qui est connu de surcroit, de blocage à tort des propos. Cela arrivera, tout le monde le sait, les députés le savent et ils ont tout de même voté pour cet amendement.

L’observatoire de la haine

Autre point, un observatoire de la haine en ligne va être mis en place. Bonne idée sur le fond, non ?

Cet observatoire, introduit par l’article 7 de la proposition de loi, aura pour rôles le suivi et l’analyse de l’évolution en ligne des contenus illicites sur Internet et la formulation des propositions de sensibilisation, de prévention, de répression des propos haineux sur Internet.

Chouette, chouette, chouette !!

Sauf que les associations, les professionnels, les organismes de régulation et les experts du sujet se sont déjà prononcés sur le contenu de la proposition de loi, qu’ils estiment dangereuse et, devinez quoi, ils n’ont pas été écoutés et leur avis n’ont pas été pris en compte.

Dès lors, nous pouvons nous poser les questions suivantes : soit l’organisme en question fait correctement son travail, émet des critiques, des recommandations, … sans être écoute (ce qui est déjà le cas actuellement), soit l’organisme n’est qu’un relais du ministre, auquel cas son travail n’est pas impartial et il n’est qu’un organisme fantoche qui représente la validation morale des experts…

Dans les deux cas, nous avons un problème : dans le premier ils ne sont pas écoutés, dans le second ils ne servent à rien.

Des experts du numérique il y en a… comme le Conseil National du Numérique ou CNNum, qui s’est opposé à la loi en question. Il n’est pas le seul, le Conseil National des Barreaux ou encore la Ligue des Droits de l’Homme se sont également opposés à ce texte… et pourtant, ils n’ont pas été écoutés.

Surprise, dans une lettre ouverte d’un certain nombre d’organisation, dont celles précédemment mentionnées, on retrouve des critiques sur l’absence de juge judiciaire, sur l’absence de procédures sur les « contenus gris », sur le risque d’une censure qui cache son nom…

La lettre est ici, prenez le temps de la lire : https://www.renaissancenumerique.org/publications/lettre-ouverte-relative-a-la-proposition-de-loi-visant-a-lutter-contre-la-haine-sur-internet [PDF]

Il y aurait tant à dire sur cette loi mal faite, mal pensée, mais il serait possible de résumer tout à un seul point : les gouvernements successifs ne cherchent pas à être efficaces, ils ne cherchent pas à faire bien, ils ne cherchent pas à faire les bonnes choses, dans le bon sens, en respectant des principes fondamentaux de notre semblant de démocratie. Non. Les gouvernements successifs cherchent à dire « regardez, nous faisons des textes de loi, nous faisons des choses, nous au moins nous faisons des choses », tout en se fichant éperdument de l’efficacité desdits textes de loi. Ils ont besoin, désespérément, de montrer au monde, au peuple, qu’ils font quelque chose. Alors ils grattent des textes entiers, dangereux, inadaptés, inutiles, qui ne font que surcharger la justice, qui délèguent à des opérateurs privés comme Facebook des principes constitutionnels, fondamentaux. Nos gouvernements successifs nous dépossèdent de nos droits et des gardiens de ces derniers, les juges.

Crédit Photo de l’image à la une : Bertrand Guay de l’AFP

Nous avons vu dans un premier article ce qu’était la blockchain, quelques points propres au RGPD, l’interaction nécessaire entre la technologie et la réglementation,… Nous sommes entrés, ensuite, dans le détail des incompatibilités entre la loi et la technologie. Nous allons maintenant nous attarder sur les mesures à mettre en place afin de gérer les problèmes et les écarts entre la loi et la blockchain.

Surfer sur la « hype » de la blockchain, c’est dangereux.

La blockchain, c’est à la mode. C’est en plein boom, tout le monde saute dessus, des banques aux groupes agroalimentaires. Mais est-ce vraiment une bonne idée ?

Le premier point qui peut vous éviter des ennuis avec la blockchain, c’est vous, c’est votre réflexion sérieuse sur le sujet.

La question à vous poser est la suivante : « Est-ce que j’ai réellement besoin de mettre en place une blockchain ? Est-ce que d’autres mesures existent et permettent d’arriver au même résultat ? Si oui, alors pourquoi mettre en place une blockchain ? »

Ça semble évident, mais la folie de la technologie fait qu’on se lance parfois dans des projets sans réfléchir aux conséquences de leurs choix.

La solution pour arriver à une blockchain globalement conforme, c’est essentiellement une chose : se poser les bonnes questions.

Mais quelles questions ?

La première, nous l’avons déjà abordée : « Est-ce que j’ai vraiment besoin d’une blockchain ? ». Si vous poursuivez un objectif précis, il faut vous interroger quant au réel besoin de la blockchain.

Si la réponse est oui, la seconde question doit arriver très rapidement : « de quelles informations j’ai besoin, dans cette blockchain ? »

Il faut garder à l’esprit que ce qui est dans une blockchain reste dans une blockchain ! Il sera toujours possible d’invalider des informations, en injectant des ordres d’annulation dans la blockchain, ordres qui seront par la suite validés par la majorité… mais les informations ne seront pas pour autant supprimées.

Ainsi, il est préférable (et recommandé) d’injecter des informations qui ne permettent pas d’identifier directement ou indirectement des personnes. Il est globalement envisageable d’injecter un identifiant qui, pris seul, permet de suivre des transactions sans permettre d’identifier une personne et de disposer de ces informations d’identification à part, hors blockchain. Il devient alors possible de procéder à l’effacement de données d’identification et d’arriver à une anonymisation des personnes, avec une blockchain.

Attention cependant, une anonymisation réelle, efficiente, est un procédé qui ne permet pas de connaitre ou de déduire l’identité d’une personne. C’est un procédé irréversible et total, si on peut ré-identifier des personnes, le but de l’anonymisation n’est pas atteint.

De la même façon, il faut s’interroger sur la donnée saisie dans la blockchain. « Est-ce que les données intégrées dans cette dernière sont des données à caractère personnel ? » « Dans quelle mesure elles permettent d’identifier une personne ? » « Sommes-nous dans le cadre d’une identification très difficile (il faut recouper de nombreuses informations pour déduire un nom) ou alors extrêmement facile et précise (sans efforts, je sais qui est la personne et je l’identifie de façon formelle) ? » En fonction de la facilité à identifier une personne, il faudra mettre en place des mesures techniques et organisationnelles plus ou moins poussées. Tout dépend de la vraissemblance à identifier une personne et des conséquences de cette identification ou des conséquences de l’usage de ses données liées à son identité.

Finalement, toute la conformité d’une blockchain au RGPD se résume en un concept : le privacy-by-design (bon, deux, le by-default aussi). Ces concepts s’appliquent à l’ensemble des traitements de données à caractère personnel et sont cruciaux dans les réflexions à avoir sur la blockchain.

Privacy-by-quoiquoi ?

Design ! La définition donnée par la Commission Nationale pour la Protection des Données (CNPD, l’équivalent luxembourgeois de notre CNIL française), définit le privacy-by-design comme ceci :

« Le concept de “Privacy by Design” a pour objectif de garantir que la protection de la vie privée soit intégrée dans les nouvelles applications technologiques et commerciales dès leur conception. Pour chaque nouvelle application, produit ou service traitant des données à caractère personnel, les entreprises et autres responsables du traitement devraient offrir à leurs utilisateurs ou clients le plus haut niveau possible de protection des données. » (https://cnpd.public.lu/fr/dossiers-thematiques/nouvelles-tech-communication/privacy-by-design.html)

La définition est simple, claire, mais sous-entend un ensemble d’éléments techniques et organisationnels large. Elle rejoint la notion de privacy-by-default, selon laquelle « chaque entreprise traitant des données personnelles doit garantir par défaut le plus haut niveau possible de protection des données. », comme l’explique la CNPD.

Elle consacre d’ailleurs une page entière à l’explication du privacy-by-design, consultable ici : https://cnpd.public.lu/fr/dossiers-thematiques/nouvelles-tech-communication/privacy-by-design/Le-Privacy-by-Design_-de-quoi-s_agit-il_.html

Vous disposez des idées générales mais, dans la mesure où chaque implémentation de blockchain dispose de propriétés uniques, je ne rentrerai pas davantage dans le détail. L’objectif de cette série de billets est que toute personne travaillant de près ou non avec la blockchain puisse comprendre qu’il est temps de se questionner.

Un dernier point cependant… Parce que je l’ai vu, lu, et rencontré pas mal de fois…

Arrêtez de faire n’importe quoi avec la blockchain

C’est un peu direct, mais c’est le reflet d’une bien triste réalité dans le monde de la sécurité : la blockchain n’est, globalement, pas sécurisée. Si les informations inscrites dans ces dernières sont inscrites de façon non réversible, l’implémentation de la sécurité entourant le fonctionnement de la blockchain laisse à désirer.

De nombreuses personnes se lancent dans la blockchain. Pour cela, elle mettent en place des solutions gratuites, open-source, téléchargent un programme prêt à l’usage, modifient rapidement deux trois morceaux de code et mettent en production la blockchain, sans vérifier le niveau de sécurité de cette dernière.

Ainsi, il n’est pas rare de rencontrer une blockchain censée être sécurisée, alors que le SSL n’est pas activé, ou acceptant encore le TLS 1.0. Il n’est pas non plus rare de rencontrer une blockchain mise en service avec une configuration par défaut, des mots de passe par défaut, une gestion des accès inexistante, des failles identifiées et non patchées ou, comble du comble, des nœuds de blockchain qui tournent sur des systèmes informatiques sensibles, sur des environnements de production, créant ainsi des gros risques.

Afin de favoriser l’adoption de la blockchain, de nombreuses personnes cherchent à faire simple, facile d’usage, « quelques clics et c’est réglé ». Cela n’est pas sans conséquences : la sécurité de la blockchain s’en trouve amoindrie, elle est plus exposée aux risques et, dans une optique de conformité au RGPD, de privacy-by-default, cela ne devrait pas arriver, puisque par défaut on cherche le plus haut niveau de sécurité.

A qui la faute ?

A tout le monde et personne à la fois. La plupart du temps, les développeurs des solutions de blockchain sont des bénévoles, qui mettent à disposition des solutions et qui prônent l’usage du logiciel libre. Ils ne sont pas nécessairement spécialisés en sécurité, ni au fait des obligations réglementaires qu’ils devraient respecter.

Les entreprises qui implémentent de la blockchain sont partiellement responsables, elles n’ont généralement pas la connaissance suffisante pour pouvoir le faire de façon totalement sécurisée. La configuration d’une blockchain, dès qu’on plonge les mains dans le code, est compliquée. De nombreux fichiers s’appellent les uns les autres, des paramètres extrêmement importants sont à paramétrer dans les tréfonds des fichiers de configuration, d’autres fonctions sont dépendantes du système d’exploitation installé et ont des dépendances parfois non satisfaites.

Pire encore, certaines blockchains fonctionnent dans des environnement en conteneurs, où il « suffit » juste de lancer, et tout fonctionne… on ne sait pas trop comment exactement, on ne peut pas vraiment toucher au code, voir et comprendre le fonctionnement, mais d’expérience, la plupart du temps, ce n’est pas sécurisé.

Alors, sans agresser personne, dites-vous simplement que ces pratiques mériteraient une vaste remise en question.

Nous arrivons au terme de cette série d’articles sur le RGPD et la Blockchain. Globalement, tout ou presque est à penser, imaginer et construire pour sécuriser l’usage de la blockchain et assurer sa compatibilité avec le RGPD et la protection des données à caractère personnel de manière plus globale.

On peut comparer le développement de la blockchain aux premiers pas du WEB. La sécurité de ce dernier n’était pas la priorité à ses débuts, l’essentiel, c’est que ça fonctionnait. Nous en sommes à peu près à cette étape, dans l’univers de la blockchain, pas au tout début, mais pas très loin quand même. De nouvelles façons de faire arrivent régulièrement, de nouvelles blockchains se créent, des évolutions sur le service sont apportées, sur la façon de la faire fonctionner, mais pas sur la sécurité, tout simplement car la blockchain n’est pas assez mature.

Cette façon de faire, non sans risque, devra évoluer au fil des années, et elle évoluera, je n’ai aucun doute sur ce point. La CNIL travaille sur le sujet, des instances européennes également et on peut raisonnablement penser que des textes, des lignes directrices et un cadre réglementaire viendront se positionner sur la blockchain.

Mais sans les attendre, il est déjà possible de se poser beaucoup de questions.

J’espère que ces articles vous ont aidé à mieux comprendre le sujet et les enjeux ! N’hésitez pas à intervenir dans les commentaires, sur les réseaux sociaux ou par e-mail si vous souhaitez échanger sur le sujet.