Cinq ans et demi pour les résoudre, ça va

Lors d’un audit, des milliers de failles ont été découvertes dans le Système d’Information Schengen II, logiciel gérant le fichier mis en place dans le cadre de la convention de Schengen. Sopra Steria qui en est responsable a mis des mois, voire des années à corriger certains problèmes.

L’année dernière, la seconde version du Système d’Information Schengen (SIS) a essuyé un audit sévère du Contrôleur européen de la protection des données (CEPD). Ce logiciel est utilisé par les autorités aux frontières des pays de l’espace Schengen pour ficher les personnes recherchées et celles refoulées ou interdites de séjours.

La seconde version du système a été déployée en 2013, mais il a été « renouvelé » en mars 2023 et de nouvelles catégories de signalements, des données biométriques et des registres d’ADN de personnes disparues ont encore été ajoutées.

1,7 million de personnes concernées

Selon l’agence européenne eu-LISA qui utilise le système [PDF], plus de 93 millions d’alertes y étaient stockées au 31 décembre 2024, dont 1,7 million sur les personnes. Près de 1,2 million concerne des reconduites à la frontière, des refus d’entrée ou de rester sur le territoire et un peu plus de 195 000 personnes y sont fichées comme de possibles menaces pour la sécurité nationale.

Ce système stocke des données concernant des personnes visées par un mandat d’arrêt européen, mais aussi signalée, aux fins de non-admission ou d’interdiction de séjour, des personnes signalées dans le cadre d’infractions pénales ou recherchées pour l’exécution d’une peine, ou encore des personnes disparues.

Ces données comprennent l’état civil, des photographies, des empreintes digitales et d’autres informations biométriques réunies dans les textes officiels sous la dénomination de « signes physiques particuliers, objectifs et inaltérables ». Des données particulièrement sensibles, donc. Des commentaires peuvent être ajoutés comme « la conduite à tenir en cas de découverte », « l’autorité ayant effectué le signalement » ou le type d’infraction.

Des milliers de problèmes de gravité « élevée »

Selon les documents consultés par Bloomberg et par Lighthouse Reports, le logiciel était, à l’époque de l’audit, truffé de vulnérabilités. Des milliers de problèmes de sécurités étaient d’une gravité « élevée ». Le contrôleur a aussi pointé du doigt un « nombre excessif » de comptes administrateurs de la base de données, ce qui était « une faiblesse évitable qui pourrait être exploitée par des attaquants internes ». Dans l’audit du CEPD est indiqué que 69 membres de l’équipe de développement avaient un accès à la base de données du système sans avoir l’habilitation de sécurité nécessaire.

Pour l’instant, le Système d’Information Schengen II fonctionne sur un réseau isolé, les nombreuses failles détaillées dans cet audit ne peuvent donc être exploitées que par un attaquant interne. Mais il est prévu qu’il soit intégré au système, à terme, au « système d’entrée/sortie » des personnes de nationalités en dehors de l’UE, qui lui doit être mis en place à partir d’octobre 2025. Celui-ci est connecté à Internet. Le rapport d’audit s’alarme d’une facilité des pirates d’accéder à la base de donnéesà ce moment-là.

Une très lente réaction de Sopra Steria

Selon Bloomberg, l’audit explique que des pirates auraient pu prendre le contrôle du système et que des personnes extérieures auraient pu obtenir des accès non autorisés. Mais le média explique que des documents montrent que, lorsque l’eu-Lisa a signalé ces problèmes, Sopra Steria, qui est chargée du développement et de la maintenance du système, a mis entre huit mois et plus de cinq ans et demi pour les résoudre. Ceci alors que le contrat entre l’agence européenne et l’entreprise l’oblige à patcher les vulnérabilités « critiques ou élevées » dans les deux mois.

Dans des échanges de mails avec eu-LISA consultés par nos confrères, Sopra Steria demandait des frais supplémentaires à la hauteur de 19 000 euros pour la correction de vulnérabilités. L’agence européenne a, de son côté, répondu que cette correction faisait partie du contrat qui comprenait des frais compris entre 519 000 et 619 000 euros par mois pour la « maintenance corrective ».

Interrogée par nos confrères, Sopra Steria n’a pas voulu répondre à leurs questions, mais a affirmé : « En tant qu’élément clé de l’infrastructure de sécurité de l’UE, le SIS II est régi par des cadres juridiques, réglementaires et contractuels stricts. Le rôle de Sopra Steria a été joué conformément à ces cadres ».

Dans son audit, le CEPD vise aussi l’eu-LISA qui n’a pas informé son conseil d’administration des failles de sécurité. Il pointe aussi des « lacunes organisationnelles et techniques en matière de sécurité » et lui demandent d’établir un plan d’action et une « stratégie claire » pour gérer les vulnérabilités du système.

À Bloomberg, l’eu-LISA affirme que « tous les systèmes gérés par l’agence font l’objet d’évaluations continues des risques, d’analyses régulières de la vulnérabilité et de tests de sécurité ».

Cinq ans et demi pour les résoudre, ça va

Lors d’un audit, des milliers de failles ont été découvertes dans le Système d’Information Schengen II, logiciel gérant le fichier mis en place dans le cadre de la convention de Schengen. Sopra Steria qui en est responsable a mis des mois, voire des années à corriger certains problèmes.

L’année dernière, la seconde version du Système d’Information Schengen (SIS) a essuyé un audit sévère du Contrôleur européen de la protection des données (CEPD). Ce logiciel est utilisé par les autorités aux frontières des pays de l’espace Schengen pour ficher les personnes recherchées et celles refoulées ou interdites de séjours.

La seconde version du système a été déployée en 2013, mais il a été « renouvelé » en mars 2023 et de nouvelles catégories de signalements, des données biométriques et des registres d’ADN de personnes disparues ont encore été ajoutées.

1,7 million de personnes concernées

Selon l’agence européenne eu-LISA qui utilise le système [PDF], plus de 93 millions d’alertes y étaient stockées au 31 décembre 2024, dont 1,7 million sur les personnes. Près de 1,2 million concerne des reconduites à la frontière, des refus d’entrée ou de rester sur le territoire et un peu plus de 195 000 personnes y sont fichées comme de possibles menaces pour la sécurité nationale.

Ce système stocke des données concernant des personnes visées par un mandat d’arrêt européen, mais aussi signalée, aux fins de non-admission ou d’interdiction de séjour, des personnes signalées dans le cadre d’infractions pénales ou recherchées pour l’exécution d’une peine, ou encore des personnes disparues.

Ces données comprennent l’état civil, des photographies, des empreintes digitales et d’autres informations biométriques réunies dans les textes officiels sous la dénomination de « signes physiques particuliers, objectifs et inaltérables ». Des données particulièrement sensibles, donc. Des commentaires peuvent être ajoutés comme « la conduite à tenir en cas de découverte », « l’autorité ayant effectué le signalement » ou le type d’infraction.

Des milliers de problèmes de gravité « élevée »

Selon les documents consultés par Bloomberg et par Lighthouse Reports, le logiciel était, à l’époque de l’audit, truffé de vulnérabilités. Des milliers de problèmes de sécurités étaient d’une gravité « élevée ». Le contrôleur a aussi pointé du doigt un « nombre excessif » de comptes administrateurs de la base de données, ce qui était « une faiblesse évitable qui pourrait être exploitée par des attaquants internes ». Dans l’audit du CEPD est indiqué que 69 membres de l’équipe de développement avaient un accès à la base de données du système sans avoir l’habilitation de sécurité nécessaire.

Pour l’instant, le Système d’Information Schengen II fonctionne sur un réseau isolé, les nombreuses failles détaillées dans cet audit ne peuvent donc être exploitées que par un attaquant interne. Mais il est prévu qu’il soit intégré au système, à terme, au « système d’entrée/sortie » des personnes de nationalités en dehors de l’UE, qui lui doit être mis en place à partir d’octobre 2025. Celui-ci est connecté à Internet. Le rapport d’audit s’alarme d’une facilité des pirates d’accéder à la base de donnéesà ce moment-là.

Une très lente réaction de Sopra Steria

Selon Bloomberg, l’audit explique que des pirates auraient pu prendre le contrôle du système et que des personnes extérieures auraient pu obtenir des accès non autorisés. Mais le média explique que des documents montrent que, lorsque l’eu-Lisa a signalé ces problèmes, Sopra Steria, qui est chargée du développement et de la maintenance du système, a mis entre huit mois et plus de cinq ans et demi pour les résoudre. Ceci alors que le contrat entre l’agence européenne et l’entreprise l’oblige à patcher les vulnérabilités « critiques ou élevées » dans les deux mois.

Dans des échanges de mails avec eu-LISA consultés par nos confrères, Sopra Steria demandait des frais supplémentaires à la hauteur de 19 000 euros pour la correction de vulnérabilités. L’agence européenne a, de son côté, répondu que cette correction faisait partie du contrat qui comprenait des frais compris entre 519 000 et 619 000 euros par mois pour la « maintenance corrective ».

Interrogée par nos confrères, Sopra Steria n’a pas voulu répondre à leurs questions, mais a affirmé : « En tant qu’élément clé de l’infrastructure de sécurité de l’UE, le SIS II est régi par des cadres juridiques, réglementaires et contractuels stricts. Le rôle de Sopra Steria a été joué conformément à ces cadres ».

Dans son audit, le CEPD vise aussi l’eu-LISA qui n’a pas informé son conseil d’administration des failles de sécurité. Il pointe aussi des « lacunes organisationnelles et techniques en matière de sécurité » et lui demandent d’établir un plan d’action et une « stratégie claire » pour gérer les vulnérabilités du système.

À Bloomberg, l’eu-LISA affirme que « tous les systèmes gérés par l’agence font l’objet d’évaluations continues des risques, d’analyses régulières de la vulnérabilité et de tests de sécurité ».

La question revient à chaque changement de génération de l’interface PCIe : que risque-t-on à installer une carte récente, par exemple une RTX 5090, sur un PC plus ancien qui n’aurait qu’une interface PCIe 4.0, voire 3,0 ? Bien que le bus soit rétrocompatible, c’est-à-dire qu’il est possible de fair...

Read more of this story at Slashdot.

Read more of this story at Slashdot.

Il y a peu de temps, le Journal du CNRS publiait une interview maison de Delphine Moreau-Plachy (postdoctorante en sociologie et en sciences de l’information et de la communication) sur ce sujet. La mise en bouche est tout aussi intrigante qu’effrayante : « Cimetières numériques, deadbots… Le développement des outils digitaux nous amène-t-il à requestionner notre rapport à la mort et au deuil, comme y invite le film « Les Linceuls », de David Cronenberg ? »

Pour rappel, ce film est sorti en avril et voici son synopsis : « Karsh, 50 ans, est un homme d’affaires renommé. Inconsolable depuis le décès de son épouse, il invente un système révolutionnaire et controversé, Gravetech, qui permet aux vivants de se connecter à leurs chers disparus dans leurs linceuls […] ». Le film ne cartonne pas sur SensCritique avec une moyenne de 5,2 sur 10. Le sujet n’est pas nouveau, aussi bien au cinéma que dans les séries, notamment avec l’épisode Bientôt de retour de Black Mirror ou le plus léger Upload.

Pour revenir à l’interview, la chercheuse rappelle qu’il existe déjà « des cimetières ou mémoriaux numériques qui fonctionnent comme des lieux de mémoire et de recueil d’informations ». Elle a mené des dizaines d’entretiens pour son étude, avec parfois des résultats surprenants.

« Par exemple, l’une de mes enquêtées avait publié pour sa mère, sur Facebook, car sa famille considérait qu’elle « n’avait pas l’air en deuil ». Elle affirmait de cette manière sa peine auprès de ses proches », explique la postdoctorante. Dans d’autres cas, les réseaux sociaux deviennent « une forme de soutien et de reconnaissance communautaire » dans le deuil.

• Le deuil à l’ère du numérique

Dans un sujet proche, le LINC de la CNIL a publié cette année un article intitulé « Données post-mortem : y a-t-il une vie numérique après la mort ? »

Il y a peu de temps, le Journal du CNRS publiait une interview maison de Delphine Moreau-Plachy (postdoctorante en sociologie et en sciences de l’information et de la communication) sur ce sujet. La mise en bouche est tout aussi intrigante qu’effrayante : « Cimetières numériques, deadbots… Le développement des outils digitaux nous amène-t-il à requestionner notre rapport à la mort et au deuil, comme y invite le film « Les Linceuls », de David Cronenberg ? »

Pour rappel, ce film est sorti en avril et voici son synopsis : « Karsh, 50 ans, est un homme d’affaires renommé. Inconsolable depuis le décès de son épouse, il invente un système révolutionnaire et controversé, Gravetech, qui permet aux vivants de se connecter à leurs chers disparus dans leurs linceuls […] ». Le film ne cartonne pas sur SensCritique avec une moyenne de 5,2 sur 10. Le sujet n’est pas nouveau, aussi bien au cinéma que dans les séries, notamment avec l’épisode Bientôt de retour de Black Mirror ou le plus léger Upload.

Pour revenir à l’interview, la chercheuse rappelle qu’il existe déjà « des cimetières ou mémoriaux numériques qui fonctionnent comme des lieux de mémoire et de recueil d’informations ». Elle a mené des dizaines d’entretiens pour son étude, avec parfois des résultats surprenants.

« Par exemple, l’une de mes enquêtées avait publié pour sa mère, sur Facebook, car sa famille considérait qu’elle « n’avait pas l’air en deuil ». Elle affirmait de cette manière sa peine auprès de ses proches », explique la postdoctorante. Dans d’autres cas, les réseaux sociaux deviennent « une forme de soutien et de reconnaissance communautaire » dans le deuil.

• Le deuil à l’ère du numérique

Dans un sujet proche, le LINC de la CNIL a publié cette année un article intitulé « Données post-mortem : y a-t-il une vie numérique après la mort ? »

Bah, et IPv7 alors ?!

La France est à la première place sur le taux d’utilisation d’IPv6. Ce bon résultat cache de grosses disparités entre les clients fixes et mobiles des opérateurs. La situation est aussi bien différentes selon les services : DNS, sites et emails. IPv6 est pour rappel l’avenir, sans être compatible avec IPv4, avec donc un risque de scission d’Internet.

L’Arcep vient de mettre en ligne son rapport annuel sur l’état de l’internet en France. Dans cette édition 2025 (basée sur des données de 2024), le régulateur des télécoms revient sur la transition vers l’IPv6 face à la pénurie d’IPv4.

Pour commencer, la France est passée en première position mondiale en juin 2025 pour ce qui est du taux d’utilisation d’IPv6, alors qu’elle était deuxième en décembre 2024 et huitième en 2022. Il reste encore du travail, comme l’indique rapidement l’Arcep : « Il reste néanmoins à finaliser l’activation d’IPv6 sur le réseau entreprises des opérateurs et à accélérer la migration vers IPv6 des hébergeurs et fournisseurs de contenu ».

Déjà deux rappels importants : la situation est connue depuis des années (depuis novembre 2019, le RIPE NCC qui alloue les IPv4 pour l’Europe et le Moyen-Orient est en pénurie d’IPv4) et IPv6 n’a rien de nouveau puisque les spécifications datent de 1998.

IPv4 vs IPv6 : la pénurie contre l’abondance sur fond d’incompatibilité

Par rapport à IPv4, les adresses IPv6 « intègrent des fonctionnalités permettant de renforcer la sécurité par défaut et d’optimiser le routage. Par ailleurs, IPv6 offre une quasi-infinité d’adresses : 667 millions d’IPv6 pour chaque millimètre carré de surface terrestre ».

IPv4 et IPv6 « ne sont pas compatibles », impliquant un risque de scission d’Internet. Par exemple, un service ou un site en IPv6 seulement (sans adresse IPv4) n’est pas accessible aux utilisateurs qui n’ont qu’une adresse IPv4, et vice-versa.

Terminons cette semaine d'articles avec Kiwi Ears et les écouteurs Spark. Des modèles ouverts, ce qui signifie qu'il n'y a pas besoin de basculer sur un ANC de type environnement pour faire du sport en toute sécurité. Mais il ne faut pas s'arrêter là, il y a bien plus à faire avec de tels écouteurs ! Et à 99 U+20AC, ces Spark ont plus d'un tour dans leur boite. A découvrir ici : Kiwi Ears Spark ou sur la source. […]

En 2021, Samsung avait annoncé sa décision de construire une nouvelle usine moderne aux USA, un plan alors baptisé "Project Silicon Silver". À l'époque, 17 milliards de dollars se devaient d'être investis à Taylor, aux Texas, pas trop loin des installations existantes à Austin. Enfin, l'entrée en se...

Laissez-nous jouer !

La pétition Stop Killing Games, qui cherche à interpeller la Commission européenne sur la question des éditeurs de jeux vidéo qui n’assurent pas la pérennité de leurs titres, a dépassé jeudi le seuil cible du million de signatures. Ce cap ouvre la voie à un processus d’examen au terme duquel Bruxelles devra décider de l’éventuelle action à entreprendre.

Ce devait être le chant du cygne, mais l’appel a finalement galvanisé les troupes : la pétition Stop Killing Games a franchi jeudi, en fin d’après-midi, le cap du million de signatures, alors que le recueil reste possible jusqu’au 31 juillet. Ce seuil du million n’a pas qu’une valeur symbolique : c’est lui qui, dans le processus d’« initiative citoyenne européenne », valide que l’objet de la pétition recueille un assentiment populaire suffisamment important pour que la Commission européenne soit officiellement saisie du sujet.

Une réponse sous six mois

Maintenant que ce cap est atteint, quelle est la suite ? Le processus officiel prévoit que l’initiative qui a recueilli le soutien d’au moins un million de personnes, avec un nombre plancher de signatures dans au moins sept pays de l’Union européenne, donne lieu à une présentation formelle devant des membres de la Commission européenne.

« Il s’agit d’une discussion structurée sur le contenu de l’initiative, visant à permettre à la Commission de comprendre clairement ses objectifs (et d’obtenir les éventuelles clarifications nécessaires) avant qu’elle prépare sa réponse », explique Bruxelles.

L’exécutif européen dispose ensuite d’un délai de six mois pour produire une réponse, dont la teneur n’est pas garantie : c’est en fonction de son examen que la Commission décide si et comment il est de son ressort d’intervenir sur le sujet.

En cas de conclusion favorable à une réponse législative, le dossier emprunte alors le circuit traditionnel : la Commission mène des travaux préparatoires (consultations publiques, analyses d’impact, etc.), puis présente une proposition législative au Parlement et au Conseil, qui doivent l’approuver pour que la loi devienne applicable. Cette option n’est cependant pas la seule envisageable.

« [La Commission] n’est pas tenue de proposer un acte législatif en réponse à une telle initiative : elle peut décider d’autres types de suivi, par exemple des actions non législatives ou la mise en œuvre de la législation existante. Quelle que soit la décision prise par la Commission en réponse aux demandes d’une initiative, elle en expliquera clairement les raisons. »

C’est cette incertitude quant aux suites que pourrait donner l’Europe à l’initiative, qui justifie selon ses partisans une forme de flou dans la formulation de la pétition.

« La formulation de l’Initiative citoyenne européenne est très intentionnelle et est destinée à résoudre le problème de la destruction des jeux vidéo, tout en restant suffisamment flexible pour donner aux éditeurs et développeurs autant de liberté que possible. Si l’initiative est adoptée, c’est la Commission européenne qui décide des termes finaux, pas nous. À la lumière de cela, il est préférable de garder la demande aussi simple que possible pour minimiser tout risque d’interprétation erronée. Non seulement les spécificités peuvent être ignorées par la Commission européenne, mais plus elles sont nombreuses, plus elles peuvent détourner l’attention du problème principal, qui est celui des jeux vidéo vendus intentionnellement détruits. »

La mobilisation se poursuit

Techniquement, la pétition n’est pas encore validée : il faut encore que les signatures recueillies via l’outil central de la Commission européenne soient vérifiées, l’objectif étant bien sûr de prévenir un bourrage des urnes virtuel. Pour ce faire, Bruxelles fait appel à une autorité nationale dans chacun des États membres, à qui les signatures sont envoyées, de façon chiffrée, pour contrôle. En France, c’est au Bureau des élections politiques de l’une des directions du ministère de l’Intérieur qu’incombe cette tâche. C’est cette étape de vérification qui justifie que la pétition demande, outre l’identité du signataire, une adresse postale.

Problème : l’engouement massif suscité par la pétition ces derniers jours pourrait avoir incité des internautes à multiplier les signatures. Une fraction du million déjà recueilli pourrait ainsi se voir invalidée. Sur le salon Discord dédié à l’initiative, les organisateurs invitent donc leurs soutiens à ne pas lever le pied sur la mobilisation, et à viser au moins 1,5 million de signatures avant la date butoir.

Hébergées sur un site satellite de l’initiative, les courbes qui retracent l’évolution du volume de signatures, pays par pays, au fil du temps, montrent une première vague d’accélération à partir du 23 juin, suivie d’un second mouvement nettement amplifié à partir du 1er juillet, auquel le soutien de PewDiePie (youtubeur spécialisé dans le jeu vidéo, fort de plus de 110 millions d’abonnés) n’est sans doute pas étranger. Au 4 juillet, l’Allemagne figure en tête de la mobilisation, avec 221 000 signatures, devant la Pologne (115 000) et la France (106 000).

Jeudi après-midi, la page dédiée à l’enregistrement des soutiens à la pétition a par ailleurs souffert d’un accès très ralenti, voire indisponible par moments, ce que son instigateur, Ross Scott, a attribué à des tentatives de déni de service distribué, sans que la véracité d’une attaque coordonnée ait été démontrée depuis. Il appelle désormais ses soutiens à ne pas relâcher la mobilisation, et signale dans le même temps que l’initiative Stop Killing Games a également franchi une étape significative au Royaume-Uni. La pétition nationale visant à faire étudier le sujet de la fin de vie des jeux vidéo par le Parlement britannique a, elle aussi, largement dépassé le seuil de validation fixé à 100 000 signatures.

Reste une inconnue : les éditeurs de jeu vidéo tiendront-ils compte de cet élan de mobilisation avant même une éventuelle réponse législative ou réglementaire en adaptant leurs pratiques ? Hasard du calendrier, EA a annoncé cette semaine la fermeture prochaine des serveurs d’Anthem, un jeu exclusivement multijoueur intégré à son offre d’abonnement et lancé en 2019.

C’est en effet depuis le 3 juillet 2012 que l’enregistrement des noms de domaines avec des caractères spéciaux est ouvert à tous. Pendant deux mois avant cette ouverture des vannes, l’Afnic avait mis en place une période « Sunrise » pendant laquelle « seuls les titulaires de .fr, .re, .yt, .pm, .wf et .tf en version ASCII [étaient] autorisés à déposer des variantes de leurs noms de domaine en utilisant ces nouveaux caractères ».

Cette période « Sunrise » était un succès, expliquait l’Afnic dans le courant du mois de mai 2012 : « Dans les 3 premières heures qui ont suivi l’ouverture des IDN, 32 bureaux d’enregistrement ont soumis des opérations de création pour 1 009 noms de domaine avec des caractères diacritiques ». Les caractères é, è, à et ç étaient les plus populaires.

Depuis le 3 juillet 2012, les noms de domaines accentués sont ouverts à tous avec la même règle de base de l’Afnic : « premier arrivé premier servi ».

En 2020, Stéphane Bortzmeyer, ingénieur expert R&D, revennait sur cette histoire des IDN pour l’Afnic :

« En toute rigueur, les noms de domaine ont toujours pu comporter des caractères composés. Mais en pratique, cela n’était pas utilisable pour différentes raisons, certaines techniques (l’absence d’encodage standard, avec ses règles d’insensibilité à la casse) et d’autres politiques (règles d’enregistrement).

Après plusieurs essais, et pas mal de polémiques (la question des langues et des écritures est toujours très sensible), ce n’est qu’en mars 2003 qu’une norme technique a été développée. Ce fut le document « RFC 3490 » de l’IETF (Internet Engineering Task Force, organisme de normalisation), permettant d’avoir ces IDN (Internationalized Domain Names, noms de domaine internationalisés), et qu’ils marchent dans les logiciels existants, sans nécessiter de changer toute l’infrastructure de l’Internet ».

Le 3 juillet est aussi la date d’un second anniversaire pour l’Afnic, comme le rappelle Nicolas Pawlak de Red Flag Domains : le lancement en 2023 de son service de médiation (en plus de la procédure classique Syreli), avec un premier formulaire de demande de saisine d’une médiatrice le jour même. L’année dernière, un rapport avait été mis en ligne à l’occasion de la première bougie.

• Syreli de l’Afnic : la résolution des litiges sur les noms de domaine .fr

Laissez-nous jouer !

La pétition Stop Killing Games, qui cherche à interpeller la Commission européenne sur la question des éditeurs de jeux vidéo qui n’assurent pas la pérennité de leurs titres, a dépassé jeudi le seuil cible du million de signatures. Ce cap ouvre la voie à un processus d’examen au terme duquel Bruxelles devra décider de l’éventuelle action à entreprendre.

Ce devait être le chant du cygne, mais l’appel a finalement galvanisé les troupes : la pétition Stop Killing Games a franchi jeudi, en fin d’après-midi, le cap du million de signatures, alors que le recueil reste possible jusqu’au 31 juillet. Ce seuil du million n’a pas qu’une valeur symbolique : c’est lui qui, dans le processus d’« initiative citoyenne européenne », valide que l’objet de la pétition recueille un assentiment populaire suffisamment important pour que la Commission européenne soit officiellement saisie du sujet.

Une réponse sous six mois

Maintenant que ce cap est atteint, quelle est la suite ? Le processus officiel prévoit que l’initiative qui a recueilli le soutien d’au moins un million de personnes, avec un nombre plancher de signatures dans au moins sept pays de l’Union européenne, donne lieu à une présentation formelle devant des membres de la Commission européenne.

« Il s’agit d’une discussion structurée sur le contenu de l’initiative, visant à permettre à la Commission de comprendre clairement ses objectifs (et d’obtenir les éventuelles clarifications nécessaires) avant qu’elle prépare sa réponse », explique Bruxelles.

L’exécutif européen dispose ensuite d’un délai de six mois pour produire une réponse, dont la teneur n’est pas garantie : c’est en fonction de son examen que la Commission décide si et comment il est de son ressort d’intervenir sur le sujet.

En cas de conclusion favorable à une réponse législative, le dossier emprunte alors le circuit traditionnel : la Commission mène des travaux préparatoires (consultations publiques, analyses d’impact, etc.), puis présente une proposition législative au Parlement et au Conseil, qui doivent l’approuver pour que la loi devienne applicable. Cette option n’est cependant pas la seule envisageable.

« [La Commission] n’est pas tenue de proposer un acte législatif en réponse à une telle initiative : elle peut décider d’autres types de suivi, par exemple des actions non législatives ou la mise en œuvre de la législation existante. Quelle que soit la décision prise par la Commission en réponse aux demandes d’une initiative, elle en expliquera clairement les raisons. »

C’est cette incertitude quant aux suites que pourrait donner l’Europe à l’initiative, qui justifie selon ses partisans une forme de flou dans la formulation de la pétition.

« La formulation de l’Initiative citoyenne européenne est très intentionnelle et est destinée à résoudre le problème de la destruction des jeux vidéo, tout en restant suffisamment flexible pour donner aux éditeurs et développeurs autant de liberté que possible. Si l’initiative est adoptée, c’est la Commission européenne qui décide des termes finaux, pas nous. À la lumière de cela, il est préférable de garder la demande aussi simple que possible pour minimiser tout risque d’interprétation erronée. Non seulement les spécificités peuvent être ignorées par la Commission européenne, mais plus elles sont nombreuses, plus elles peuvent détourner l’attention du problème principal, qui est celui des jeux vidéo vendus intentionnellement détruits. »

La mobilisation se poursuit

Techniquement, la pétition n’est pas encore validée : il faut encore que les signatures recueillies via l’outil central de la Commission européenne soient vérifiées, l’objectif étant bien sûr de prévenir un bourrage des urnes virtuel. Pour ce faire, Bruxelles fait appel à une autorité nationale dans chacun des États membres, à qui les signatures sont envoyées, de façon chiffrée, pour contrôle. En France, c’est au Bureau des élections politiques de l’une des directions du ministère de l’Intérieur qu’incombe cette tâche. C’est cette étape de vérification qui justifie que la pétition demande, outre l’identité du signataire, une adresse postale.

Problème : l’engouement massif suscité par la pétition ces derniers jours pourrait avoir incité des internautes à multiplier les signatures. Une fraction du million déjà recueilli pourrait ainsi se voir invalidée. Sur le salon Discord dédié à l’initiative, les organisateurs invitent donc leurs soutiens à ne pas lever le pied sur la mobilisation, et à viser au moins 1,5 million de signatures avant la date butoir.

Hébergées sur un site satellite de l’initiative, les courbes qui retracent l’évolution du volume de signatures, pays par pays, au fil du temps, montrent une première vague d’accélération à partir du 23 juin, suivie d’un second mouvement nettement amplifié à partir du 1er juillet, auquel le soutien de PewDiePie (youtubeur spécialisé dans le jeu vidéo, fort de plus de 110 millions d’abonnés) n’est sans doute pas étranger. Au 4 juillet, l’Allemagne figure en tête de la mobilisation, avec 221 000 signatures, devant la Pologne (115 000) et la France (106 000).

Jeudi après-midi, la page dédiée à l’enregistrement des soutiens à la pétition a par ailleurs souffert d’un accès très ralenti, voire indisponible par moments, ce que son instigateur, Ross Scott, a attribué à des tentatives de déni de service distribué, sans que la véracité d’une attaque coordonnée ait été démontrée depuis. Il appelle désormais ses soutiens à ne pas relâcher la mobilisation, et signale dans le même temps que l’initiative Stop Killing Games a également franchi une étape significative au Royaume-Uni. La pétition nationale visant à faire étudier le sujet de la fin de vie des jeux vidéo par le Parlement britannique a, elle aussi, largement dépassé le seuil de validation fixé à 100 000 signatures.

Reste une inconnue : les éditeurs de jeu vidéo tiendront-ils compte de cet élan de mobilisation avant même une éventuelle réponse législative ou réglementaire en adaptant leurs pratiques ? Hasard du calendrier, EA a annoncé cette semaine la fermeture prochaine des serveurs d’Anthem, un jeu exclusivement multijoueur intégré à son offre d’abonnement et lancé en 2019.